据外媒报道，研究人员发现继 Windows 和 Linux 设备之后，Android 设备也受到 Rowhammer RAM 攻击影响，即可提权获得设备 Root 权限，又能和现有漏洞如 Bandroid、Stagefright 相结合。Rowhammer 攻击是指在设备上反复访问一行内存，由重复的读取和写入操作引起电磁场变化，从而造成相邻内存行 0  和 1 比特翻转（bit flipping）的问题。这个漏洞可提供管理员权限或绕过软件安全措施。理论上，该攻击可以发生在任何基于 ARM 的设备上。 目前已发现 LG Nexus (4, 5, 5X)、 LG G4 、HTC 510 、小米 4 、三星 Galaxy (S4, S5, S6) 设备可复现该问题。 稿源：本站翻译整理，封面来源：百度搜索

美国知名 CTF 战队 Shellphish 成员 Amat Cama 在 GeekPwn2016 黑客大赛公布用于众多流行游戏的 Valve Source 游戏引擎存在漏洞，攻击者利用漏洞可以入侵玩家电脑。漏洞可能影响数以千万计的游戏玩家。 Source 引擎由 Valve 软件公司开发，广泛应用于多款主流游戏，如 CS、反恐精英、绝地要塞等。Amat 找到了 Source 游戏引擎可以任意代码执行的漏洞，破解过程中，Amat Cama 邀请了一位正在现场进行直播的美女游戏主播上台参与互动。就在美女主播开始操作游戏后不久，Amat 就在不接触对方设备，不知道对方账号信息的情况下，侵入了正在游戏的电脑，还通过电脑摄像头监控了美女主播的实时视频。 据悉，为了让全球的黑客粉丝可以实时观看现场动态， GeekPwn 上海站开启了全球直播模式。 稿源：中国科学网，封面来源：百度搜索

InTheCyber -情报 & 防护顾问（www.inthecyber.com）是攻防网络安全的领导者，其研发实验室发现一个新的危险漏洞可影响通信系统。 语音信箱来电显示欺诈是一种存在很久的漏洞，移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示，冒充用户并获得语音信箱访问权。目前，意大利最大的两个移动运营商都遭受这种攻击。 当登录某些应用（如 Telegram、WhatsApp 和 Signal ）时会请求发送一个验证码短信，如果不及时输入验证码，国外通信服务会通过自动调用功能重新发送验证码至语音信箱。 根据用户的语音信箱的配置，在以下几种情况中，验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景，攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景，攻击者可以向用户发送多个静默短信（ Silent-SMS ），判断电话是否断网离开通信网络，然后进行攻击。第三种场景，攻击者可以通过电话诈骗来保持电话占线。 除了，主叫来电显示欺诈，语音邮箱还可以通过 PIN 密码用其他设备登录。 如果你启用了重发未收到短信到语音信箱的通信业务，并且没有启用双因素身份验证，那么你很可能会受到这种欺诈攻击，导致账户被非法登录。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，2016 年 7 月 25 日，欧洲刑警组织，荷兰国家警察，英特尔安全和卡巴斯基实验室联合推动“拒缴赎金”（ No More Ransom ）运动。该运动获得欧洲司法与欧盟委员会的支持，唯一目的是帮助了勒索软件受害者了解各种勒索软件攻击信息、如何解密数据、保护设备免受勒索。在执法机构的努力下， 2500 人成功在没有支付赎金的情况下就解密了数据，这都归因于活动网站提供的解密工具。该活动已收到了不少好评，并又吸引了 13 多个国家的相关机构参与，包括英国，法国，意大利，爱尔兰。预计，未来将有更多机构参与其中，这项活动或将对勒索软件发展产生深远影响。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，云安全服务商 Zscaler 分析了自家安全产品保护的设备发现，iOS 应用程序比 Android 应用程序泄露了用户更多的隐私信息。根据 Zscaler 对上季度 4500 万笔“交易”数据分析发现，大约 20 万起涉及应用泄露用户数据。 Zscaler 表示，它追踪了 2600 万起来自 iOS 设备（及 iOS 应用）事务，用户数据泄露的占比达到了 0.5%，即共有 13 万次操作。泄露的数据约有 72.3% 与用户的设备信息相关，27.5% 为地理位置坐标，仅有 0.2% 应用程序暴露 PII 数据。 iOS 用户普遍被人们认为 Android 更加安全，但事实上。 Zscaler 表示它追踪了 2000 万来自 Android 设备的事务，用户数据泄露的占比达到了 0.3%，只有 6 万次操作。泄露的数据中 58% 为设备元数据，39.3% 为地理位置坐标，3% 暴露 PII 数据。 稿源：本站翻译整理，封面来源：百度搜索

近日，俄罗斯民众反映，最近首都莫斯科的克里姆林宫附近 GPS 信号异常，不是导航无法定位，就是定位地点飘出去老远，这让出租、网约车等老司机们无可奈何。 俄罗斯著名搜索引擎 Yandex 的一位程序员 Grigory Bakunov 在研究后认为克里姆林宫内有屏蔽 GPS 的系统，政府安装该系统应该是出于国家安全考虑。不过目前普京总统的发言人 Dmitry Peskov 表示对此并不知情，但他承认自己驾车时也遭遇了这一现象。他说已经将该问题转给了保护普京的联邦安全局，但联邦安全局拒绝置评。 鉴于GPS系统源于美国，因此这款定位系统对于其他国家的安全可能会构成威胁。中国自己拥有独立的“北斗星”定位系统，在精度等方面都优于美国的GPS，因此今后有希望完全摆脱 GPS ，增加安全系数。 稿源：IT之家，封面来源：百度搜索

据外媒报道，俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”，该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则：如果系统使用的 Linux 发行版是 openSUSE，则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马，具备常见的一系列操作功能。此外木马还可以运行文件、shell命令，获取或设置所需文件和文件夹的权限，终止进程或将其从受感染的主机中移除。最令人担忧的是，木马不需要root权限就可以执行这些操作。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，美国将在 10 月 24 – 27 日召开 2016 年工业控制系统（ ICS ） 网络安全会议。主办方 SecurityWeek 邀请到美国国家安全局局长（NSA）兼美国网络司令部指挥官 海军上将迈克尔·罗杰斯担任主讲人。这是一场以工业控制系统领域为重点的规模最大、持续时间最长的网络安全会议，领域涉及能源、公用事业、化工、交通、制造、军事。会议讨论主题将涵盖工业控制系统各方面，包括 SCADA 系统、工厂控制系统、工程工作站、变电设备、编程逻辑控制器（ PLC ）等现场控制系统设备的保护。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，巴基斯坦政府官员最近遭受来自网络间谍组织的鱼叉式网络钓鱼邮件攻击。攻击者使用 .doc 和 .xls 文件利用 cve-2012-0158 漏洞，实现自动下载安装远程访问木马、窃取敏感文件。安全公司 Forcepoint 发现 代码中用来窃取数据所使用的HTTP请求，与 2013 年 11 月“ BITTER ”间谍组织使用的相同。该后门木马 AndroRAT 被伪装成克什米尔新闻应用，窃取设备中各种类型文档数据。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，美国国防部门（DOD）10 月 21 日宣布将继续“攻陷五角大楼”漏洞赏金计划。美国国防部部长卡特称这次的漏洞赏金计划将扩大到国防部的其他部分。这次的活动将由 HackerOne 和 SYNACK 策划管理。之前的漏洞赏金计划从 2016 年 4 月 18 日直到 2016 年 5 月 12 日，吸引 1410 名黑客参加，修复 138 个有效漏洞，发放 75,000 美金赏金。从结果上，美国国防部门认为该项目有效并将长期进行下去。 稿源：本站翻译整理，封面来源：百度搜索