当 Google 于两周前突然发布 Android 版 Samba 客户端的时候，并没有引发太多人的关注。借助它，用户可以方便地挂载 Windows 共享和移动文件。然而由于仅支持 SMBv1 协议，使得它难以成为一个理想的解决方案 —— 早在今年早些时候，Shadow Brokers 就爆料 NSA 已经发现了该协议中的漏洞，后续它又被 WannaCry、Petya、NotePetya 等勒索/恶意软件所滥用。 好消息是，Google 终于在今天放出了新版 Samba 客户端，禁用掉了 SMBv1 协议、并且启用了对 SMBv2 和 SMBv3 的支持。新版协议提供了额外的安全性，且不包含 SMBv1 中相同的漏洞。 考虑到这是一款在 GitHub 上开源的客户端，其实大家早在一周前就已经采取了行动，只是 Google 刚刚将它搬到 Play Store （传送门）。 [编译自：Neowin , via：GitHub] 稿源：cnBeta， 封面源自网络

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起，被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来，Fancy Bear 一直在进行网络间谍活动，入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示，Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动，是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而，微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件，将 Fancy Bear 带入法庭，没收属于 Fancy Bear 的几十个域名。 目前，微软已经设法获得了 70 个原本属于 Fancy Bear 的域名，这些域名曾经用来制造恶意行为，例如在电脑上注入恶意软件，并将虚假信息扩散到社交媒体网站。此外，被微软控制的域名，允许微软在其上设置拦截点，因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站，现在微软成为中间人，使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源：cnBeta；封面源自网络

据 ZDNet 报道，以色列移动安全公司 Zimperium 研究员 Adam Donenfeld 近日公布了苹果 iOS 存在 8 处安全漏洞，允许攻击者完全控制 iOS 设备，从而获得该设备的 GPS 数据、照片和联系方式等用户信息或进行 DoS 攻击。 调查显示，其中一处漏洞编号 CVE-2017-6979 是在 IOSurface 内核扩展中找到的。这一 “ 竞争条件 ” 漏洞可允许攻击者绕过 IOSurface 对象创建安全性检查。如果遭到利用，这一安全漏洞将允许本地特权提升或拒绝服务。 剩下的 7 个漏洞则是在 AppleAVEDriver.kext 驱动中找到的。其中漏洞编号 CVE-2017-6989 和 CVE-2017-6995 可用于删除内核中任意 IOSurface 对象的引用计数或发送被内核当做指向有效 IOSurface 对象的任意内核指针。两个漏洞中，任意一个都可以被攻击者利用来进行特权升级。 另外 5 个漏洞编号 CVE-2017-6994、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 以及 CVE-2017-6999 也均在 AppleAVEDriver.kext 驱动中找到。所有这些安全漏洞都会导致特权提升、拒绝服务或信息泄露。 稿源：、快科技；稿件以及封面源自网络

据路透社报道，黑莓于本周四（ 7 月 20 日）表示，该公司已赢得向美国联邦政府出售加密语音通话与消息工具的权利，而这些工具也获得了美国国家安全局（NSA）的认可。 黑莓表示，该公司已经获得了美国国家安全局下属国家信息安全保障合作组织（以下简称 “ NIAP ” ）的认可，该组织对商用科技产品进行审核，以确定它们是否能满足供政府使用的增强版安全标准。 NIAP 还曾向黑莓竞争对手开发的工具颁发过相关认证，比如苹果和三星电子，这些竞争对手在消费类智能手机的较量中曾经击败过黑莓。近年来，有关对不法分子正在窃听政府通信的担忧急剧上升，比如在 2014 年初，一位美国国务院高级官员和美国驻乌克兰大使之间的未加密手机通话就遭到窃听，谈话内容被发布到网上。 可供美国联邦政府使用的黑莓工具是基于 Secusmart 技术打造，Secusmart 是德国的一家创业公司，在 2014 年被黑莓收购。在一位美国情报机构前承包商宣称德国总理安吉拉·默克尔（Angela Merkel）的手机遭到美国国家安全局的窃听后，Secusmart 赢得一项政府合同，专门向默克尔提供手机产品。 德国检察官在 2015 年放弃了对有关默克尔手机遭窃听说法的调查，称他们并未发现足够的证据以继续推进这项调查。黑莓表示，欧洲、拉美、东南亚和非洲等地区的 20 个国家的政府机构都在使用该公司的加密语音与消息产品。德国也是黑莓公司最大的政府客户。 稿源：cnBeta、网易科技；封面源自网络

未知黑客利用以太坊钱包客户端 Parity 漏洞从多签名钱包中窃取超过 15.3 万以太坊，价格三千万美元。目前，该漏洞影响 Parity 1.5 及之后的版本。 Parity 1.5 于今年 1 月 19 日发布，其多签名钱包是指多个用户使用自己的私钥控制以太坊账号，需要在多数人使用私钥签名后才能转移资金。攻击发生后立即被 Parity 发现并发出警告。 据悉，被窃取的以太坊储存在地址 0xB3764761E297D6f121e79C32A65829Cd1dDb4D32。目前，攻击者已成功转出 5 万以太坊，并将其分散到更多账号。此外，The White Hat Group 组织在攻击发生后利用相同漏洞提取出未被黑客盗出的以太坊，储存在地址 “0x1DBA1131000664b884A1Ba238464159892252D3a ，该地址目前有 37.7 万以太坊，价值超过八千万美元。知情人士透露，该组织由安全研究人员和以太坊项目成员组成，他们表示此举是为保护资金的安全，会在攻击后退还给原拥有者。 稿源：solidot奇客；封面源自网络

平衡车也能被黑？这事儿真发生了。据外媒报道，研究机构 IOActive 的实验人员通过使用修改版本的 UART，黑入平衡车的蓝牙通讯系统，达到控制系统、调整设置目的。 此次被黑产品是赛格威 miniPRO 平衡车，入侵者可以远程通过手机对平衡车进行定位，甚至急刹或者让骑行者栽倒等。 不过，ZDNet 称，Segway 和其母公司 Ninebot 已经收到 IOActive 的漏洞报告，并在新版 APP 中修复了 BUG。 稿源：cnBeta、快科技；封面源自网络

继整治安卓手机预装应用之后，工信部旗下的中国信息通信研究院泰尔终端实验室又宣布，将成立 “ 安卓统一推送联盟 ”，打击安卓系统和应用消息推送的混乱状态。泰尔实验室表示，将在国内联合多家厂商，制定安卓统一推送服务（ Unified Push Service/UPS）技术标准，旨在为国内的安卓消息推送服务建立统一的标准，为终端用户提供更好的使用体验，同时为应用开发者更好解决消息推送需求。 据悉，在新标准下，安卓手机接收到消息后，无需频繁唤醒应用，从而能够大大减轻对用户的骚扰，并节省手机内存、电量，体验更接近苹果 iOS。目前，该标准已经进入厂商招募阶段。 泰尔实验室近期放出英雄帖，邀请安卓生态业内公司，参与安卓统一推送联盟，从事与安卓产业相关的服务或开发的产业人士、运营商、设备制造商均可参与。据了解，华为、OPPO、vivo、小米、三星、魅族、金立、nubia、Google 等手机厂商，百度、阿里巴巴、腾讯等互联网厂商，个推、极光等推送技术服务商，都已经加入了 UPS 标准的制定工作，自然最有希望成为安卓统一推送联盟的第一批会员。 稿源：cnBeta、快科技；封面源自网络

法国最高行政法院 7 月 19 日表示，已将谷歌与该国数据保护机构在 “ 被遗忘权 ” 方面的纠纷交由欧盟法院审理。 欧盟最高法院 2014 年 5 月裁定，允许用户从搜索引擎结果页面中删除自己的名字或相关历史事件，即所谓的 “ 被遗忘的权 ” 。根据该裁决，用户可以要求搜索引擎在搜索结果中隐藏特定条目。 当年 6 月，谷歌宣布开始根据欧盟最高法院的裁定，在搜索结果中删除一些特定内容，给予用户 “ 被遗忘权 ”。但法国数据保护机构国家信息与自由委员会（CNIL）认为，谷歌所有版本的搜索网站都要执行 “ 被遗忘权 ”， 包括 Google.com，而不只是欧洲网站。否则，CNIL 可能启动一项制裁程序。为此，双方已将该分歧诉诸于法庭。目前，法国最高行政法院表示，已将该分歧的解释权交由欧盟法院来处理。 稿源：cnBeta、；稿件以及封面源自网络

据外媒 7 月 19 日报道，俄罗斯男子 Mark Vartanyan（ 网名 Kolypto ）因协助开发以及传播窃取个人财务信息的恶意软件在美获刑 5 年。美地方法院法官 Mark Cohen 对其做出判决。 今年 3 月，Vartanyan 对自己犯下的电脑欺诈供认不讳。知情人士获悉，Vartanyan 于 2014 年 10 月在挪威被捕的，之后在那被拘 2 年多的时间。2012 年至 2014 年期间，Vartanyan 曾协助开发、改进以及维护恶意软件 Citadel。该软件只在需要邀请才能加入的俄罗斯语论坛上出售。检察官估算，Citadel 在全球大概已经感染了 1100 万台电脑，造成了 5 亿多美元的经济损失。 Citadel 恶意软件可以监控并记录受害者的键盘按键记录，另外，当用户访问网上银行时，犯罪分子还能窃取登录账号所需的信息以及个人详细信息。更可怕的是，它甚至还能屏蔽掉杀毒网站，这样被感染者就无法移除电脑上的恶意软件。 稿源：cnBeta；封面源自网络

据路透社 7 月 19 日报道，美国 “ 外国情报监察法（ FISA ）” 第 702 条款（ Section 702 ）允许美国国家安全局（ NSA ）收集和分析海外居住的外国人的电子邮件和其它数字通信内容，因此引发了很大争议。但消息人士透露，Facebook 、Alphabet 旗下谷歌、苹果等美国科技巨头基本没有参与有关修改该法规的辩论，从而让该法规获得修改的前景更为黯淡。 消息人士称，虽然美国科技公司经常在隐私问题上游说华盛顿政客，但美国主要科技公司对是否加入围绕 FISA 第 702 条款而引发的辩论犹豫不决。他们担心的是，这样做可能会危及跨大西洋数据传输协议，该协议是规模达数十亿美元的数字服务贸易的基石。 多年来，美国科技公司和隐私保护组织对 FISA 第 702 条款颇有抱怨，虽然其监控活动针对的是外国人，但 NSA 在没有搜索令的情况下，也收集了数量不明的美国公民数据。 FISA 第 702 条款的有效期将于今年年底终止，除非美国共和党控制的国会通过投票重新授权。美国白宫、情报机构和许多共和党参议员认为该条款对国家安全至关重要，因此希望让其重新获得授权，不要做出修改且让它成为永久法律。然而，美国民主党和有自由主义倾向的保守派组成的联盟希望修改这一条款，加入更多的隐私保护措施。目前，Facebook 拒绝发表评论，谷歌和苹果也未置评。 稿源：转载自 cnBeta、网易科技，内容有删减；封面源自网络