著名硬件黑客 Samy Kamka 发明了一种成本只有 5 美元的廉价黑客工具，但是该工具只需 30 秒就可轻易入侵被锁屏的 windows/Mac 电脑、劫持网络流量、安装网页式后门。 该黑客工具“ PoisonTap ”由一个运行 Node.js 代码的树莓派微型设备和 USB 适配器组成。值得一提的是，如果计算机的后台运行着浏览器应用，该工具在计算机锁屏时仍然有效。 PoisonTap 会通过 USB 端口冒充以太网连接 Windows 或 Mac 电脑，并作为一个低优先级的网络设备。此后，设备响应 DHCP 请求、提供 IP 地址，告诉系统整个 IPv4 地址空间是 PoisonTap 局域网的一部分。因此，PoisonTap 可在流量到达网关之前，拦截所有未加密的通信流量，并通过受害者的浏览器盗取 Alexa 排名前 100 万网站的 HTTP cookie ，从而劫持受害者的账户并绕过双因素验证（2FA）。黑客工具还允许攻击者在网站上安装安装基于 Web 的后门并建立 HTTP 通信。 Kamkar 指出他的工具还可以绕过其他安全机制。如同源策略（SOP）、X-Frame-Options HTTP response headers、HttpOnly cookies,、DNS pinning 以及跨域资源共享（CORS）。 Kamkar称可通过以下方法避免遭受攻击： ·设置你的电脑睡眠，而不是休眠，暂停计算机上的所有进程。 ·每次离开计算机时关闭所有 Web 浏览器。 ·耐心地清除浏览器缓存。 ·采用全磁盘加密的应用程序（如FileVault 2）结合“睡眠”模式。 ·直接禁用 USB端口。 稿源：本站翻译整理，封面来源：百度搜索

瞄准知名大佬推特帐号的黑客集团 OurMine 再次向 Facebook 现任首席执行官马克·扎克伯格下手了。本周二，OurMine 向外媒 CNET 发布邮件表示已经成功入侵扎克伯格的 Pinterest 帐号，并换上了“ Don’t worry, we are just testing your security ”（别担心，我们只是测试你是否安全）的标语和黑客集团的网站地址。 截至发稿至，这条代表被成功入侵的标语已经被移除。该黑客团队并未表明如何入侵扎克伯格的帐号，此前 OurMine 曾表示是通过 Pinterest 的漏洞但是并未提供具体的细节。 稿源：cnbeta.com，封面来源：百度搜索

不管你信不信，黑客只需按住“ Enter ”（回车）键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制。 Linux Unified Key Setup (LUKS，统一密钥设置) 是 Linux 下标准的设备加密格式，可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ，能够导致 Cryptsetup 解密过程失败，从而允许用户多次重试密码。更糟糕的是，如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒，将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell）。 一旦获得目标 Linux 设备上的 root shell ，黑客可以复制、修改、破坏硬盘，或者连接网络窃取数据。如果设备使用基于云的 Linux 服务，黑客可远程利用此漏洞，而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置，在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。 解决方法 首先，在 LUKS 密码提示下按 Enter 键约 70 秒钟，直到 shell 出现，查看您的系统是否容易受到攻击。 1、如果容易受到攻击，您需要与您的 Linux 系统支持供应商联系，查询是否有补丁可用。 2、如果修补程序不可用，则可以通过修改 cryptroot 文件 访问 hmarco.org 可以查看更多细节。 稿源：本站翻译整理，封面来源：百度搜索

VMware 紧急发布安全补丁修复了黑客大赛 PwnFest 上被发现的 VMware workstation 虚拟机逃逸漏洞 (CVE-2016-7461) 。 虽然官方没有公开报道该漏洞，但该漏洞是非常严重的，因为它允许攻击者通过虚拟机访问访问宿主主机并运行代码。发现漏洞的 Marvel Team 和韩国神童 Lokihardt 都获得了 15 万美金的奖金。 目前，VMware 是黑客大赛结束后最快修复漏洞的厂商，具体补丁已经在官方网站公布。 此图为“韩国神童” Lokihardt 展示“成果” 稿源：本站翻译整理，封面来源：百度搜索

Facebook 首席安全官 Alex Stamos 在里斯本举行的 Web 峰会上透露，为全方位保护用户的安全，Facebook 主动在黑市网络上购买黑客出售的用户密码。该举措旨在保护那些不主动使用 Facebook 的安全功能保护自己的用户。 Alex Stamos 称密码重用是造成互联网上伤害的首要原因。Facebook 会将网上泄露的密码与用户密码进行交叉对比，这是一个计算量非常大的任务，但效果很明显，公司已经提醒了数百万用户密码设置脆弱、避免密码重用造成的危害。 Alex Stamos表示公司致力于保证用户安全，除了修复安全漏洞，还为用户提供双因素身份验证、使用算法来确定帐户活动是否存在欺诈行为、允许在朋友的帮助下验证找回帐户等多种安全措施。 稿源：本站翻译整理，封面来源：百度搜索

上周，美国联邦调查局（ FBI ）宣布与 Twitter 数据业务分析公司 Dataminr 达成一项独家协议，获得 200 个许可证可访问 “高级告警工具”。该工具将为 FBI提供 Dataminr 的指示器和警告（I＆W）功能，此外，Dataminr 还允许 FBI 使用可自定义的过滤器实时搜索完整的 Twitter 消息。 Twitter 拥有数据分析公司 Dataminr 5％ 的股份，并授权它可访问全部实时 Twitter 消息。因而 Dataminr 拥有为任何人寻找非法活动的宝贵资源。但是，此前 Twitter 在开发者协议中却明确指出，禁止使用提供的数据来“ 调查、追踪或监视 Twitter 用户”。今年五月 Twitter 就曾禁止情报机构 CIA 通过 Dataminr 获得社交媒体活动中潜在的恐怖袭击和其他犯罪数据。这次，Dataminr 与 FBI 达成的协议似乎违反了 Twitter 的开发者协议。美国科技新闻网站 Verge 要求 Twitter 澄清 FBI 是否违反了相关开发商协议，目前，Twitter 还没有发表回应。 稿源：本站翻译整理，封面来源：百度搜索

黑客 Kapustkiy （@ Kapustkiy） 最近再次行动，入侵了弗吉尼亚大学两个子域和威斯康星大学子域，以及印度驻纽约大使馆数据库。他此前入侵了巴拉圭驻台湾大使馆，在这之前他和同伙 Kasimierz（@ Kasimierz_）入侵了印度驻瑞士、马里、罗马尼亚、意大利、马拉维和利比亚大使馆。 印度驻纽约大使馆泄露的数据库含姓名、邮箱、手机，此外，黑客称还有一个包含7000项的表“Newyork_contact”包含地址信息、城市、邮编、电话号码因隐私考虑没有公布出来。 高校的数据库包括用户的个人信息，如姓名，登录名，密码，电话以及学生和员工等诸多信息。 Kapustkiy 称之所以泄露数据，是因为管理员忽略了他发的电子邮件警告，继续重申此举只为得到媒体关注、迫使更多管理员意识到网络安全的重要性。这次攻击很可能还是基于之前的 SQL 注入漏洞。 稿源：本站翻译整理，封面来源：百度搜索

美国一群黑客因涉嫌通信欺诈（wire fraud）被提起公诉。FBI确信，他们通过不法手段窃取了大量 EA （美国艺电公司）旗下《 FIFA 》（国际足联）系列的游戏币—“FIFA币”，涉案金额高达 1500 万美元到 1800 万美元（ 1 亿到 1.2 亿人民币）之间，犯罪嫌疑人为 Anthony Clark 为首的黑客团伙 4 人。 在《 FIFA 》系列游戏中，FIFA 币可以用在 FUT 模式中购买球员、教练和足球、球场等各种道具。如果 FIFA 币不够用，玩家可以在游戏中内购，也能通过游戏内的比赛来获取。Anthony Clark 他们共同开发了一款自制工具，能够通过欺骗的手段从服务器获取大量游戏币，这类游戏货币大量流入中国和欧洲的黑市，在三方市场上销售换取现金。FBI 称自 2013 年 9 月 17 日，团伙已经通过该手段获得 1500 万美元到 1800 万美元之间的非法资金。 稿源：cnbeta.com，封面来源：百度搜索

黑客可以通过观察用户点击智能手机时，对手机无线信号的干扰变化，窃取密码、PIN 码、按键等敏感信息。 听起来不太可能，但是来自上海交通大学等众多研究人员展示了一种新技术“风语者”( WindTalker ),使用一个流氓 WiFi 热点并分析无线电信号干扰，据称手部覆盖和手指运动会对多路径信号产生干扰，再通过读取信道状态信息（ CSI ）的波动，即可判断触摸屏上的手指运动。 它依赖于一种称为多天线、多输入多输出（ MIMO ）的技术，对 WiFi 路由器功能有很大的要求。 研究人员对多款手机进行支付宝交易实际测试，发现成功率达到 68.3％ 。 稿源：本站翻译整理，封面来源：百度搜索

最近，索尼 PSN 网络再次遭到黑客攻击，本次的受灾程度不比2011年被黑导致大量用户信息泄露事件小。据称，黑客攻击事件仅限英国 PSN 网络，被攻击的用户 ID 被锁死，随即这些用户与 PSN 关联的银行账户也被窃取，因快快捷支付的额度为 120 英镑，所以基本上可以确定只要你的账户被窃，就等于瞬间损失了 120 英镑。 有受害者在视频网站YouTube 上讲述了受害经历。 稿源：搜狐新闻，封面来源：百度搜索