美国监管当局将允许比特币期货在芝加哥商业交易所 （CME） 和芝加哥期权交易所 （CBOE） 交易。全球最大、最古老的期货交易所美国芝加哥商业交易所集团 （CME，“芝商所”） 10 月 31 日曾宣布，将从 2017 年第四季度开始推出比特币期货，只待所有相关监管审查宣告结束。 CME 称，将于 12 月 18 日（周一）推出比特币期货；CBOE 称，将很快公布推出比特币期货的确切日期。 稿源：cnBeta、华尔街见闻，封面源自网络；编辑：青楚。

目前浏览器制造商正在为浏览器增加更多的功能，并为浏览器提供更多硬件访问。  Google 甚至还基于 Web 浏览器创建了一个完整的操作系统。而现在，恶意软件作者正在争先恐后地利用这些功能。目前更狡猾的是一款基于浏览器的挖矿软件在用户关闭浏览器的情况下，还利用用户的硬件挖掘数字货币。 安全研究人员发现了一个基于 Javascript 的专门针对加密货币的挖掘程序Coinhive。使用 Javascript，Coinhive 能够将代码隐藏到网站中，并使用浏览器打开一个微小窗口隐藏在用户电脑系统状态栏下方，访问电脑硬件来开始挖掘，它会加速受害者用户电脑 CPU 老化，并减慢用户系统运行速度。 好消息是，现在至少用户可以很容易地解决和避免这种问题。当用户关闭浏览器之后，转到 Windows 任务管理器，并检查是否仍然有任何浏览器进程，并且强制结束这些浏览器进程，然后尽量避免访问可疑的网站。 稿源：cnBeta.com， 封面源自网络；编辑：FOX

目前，全球 90% 的二维码个人用户在中国。对于不少人来说，出门不带现金，手机扫码走天下已成为日常习惯。随着我国二维码产业进入快速发展期，小小二维码的“ 吸金 ”能力也越来越强，有预测，到 2017 年底，中国二维码支付有望突破 9 千亿元市场规模。与此同时，规范行业标准和提升网民二维码安全意识已成为当务之急。 “吃饭、购物、买票都可以扫码，连买糖葫芦都可以扫微信二维码，兜里的现金常常揣了很久花不出去。”北京市民许丽霞对记者说。 事实上，二维码诞生之初，主要用于人、物、事身份识别，以及防伪追溯、信息交换和储存。而伴随着移动互联网的快速发展，二维码也迅速进入人们的生活，扫二维码已成为连接线上线下成本最低的网络接入口。 第 40 次《中国互联网络发展状况统计报告》显示，截至 2017 年 6 月，我国手机网民规模达 7.24 亿，移动支付用户规模达 5.02 亿，线下场景使用特点突出，4.63 亿网民在线下消费时使用手机进行支付，而这其中很多都是通过扫二维码实现的。 中国二维码注册认证中心近期发布的《中国二维码产业发展报告》显示，我国线上移动支付市场交易规模中二维码支付比例越来越高，预计到 2017 年底，二维码支付有望突破 9 千亿元市场规模。报告预测，到 2020 年，全球二维码市场规模将达千亿美元。 生活方便但存严重安全隐患 今年初，四川省西昌市的黄女士在与某 QQ 网友聊天时，不经意间扫了一下对方发来的微信邀请二维码，其捆绑在微信号上的银行卡里的钱就直接被转走了 3000 元。 随着二维码进入老百姓生活的细枝末节，快捷的网络接入功能给大众带来了便利，但同时也带来了潜在的信息安全威胁。 中国二维码注册认证中心执行主任张超表示，广泛应用的 QR 二维码制码技术是开放的，而二维码信息人眼很难识别，其中储存的信息容易被不法分子所利用，常常会出现被篡改、泄露，植入木马病毒或不良信息等严重安全隐患。 近期，社会上还出现了“ 木马+二维码 ”敲诈骗局，手机用户在钓鱼网站上中了木马病毒后，手机会被自动锁屏，并弹出二维码称只有扫码支付多少钱，才能够重新解锁手机。张超认为，规范行业标准、普及二维码常识和提升网民二维码安全意识已成为当务之急。 核心技术与发达国家有差距 随着移动互联网的发展，二维码已成助推数字经济的重要角色。但业内人士也指出，在二维码产业关键环节、核心技术、识别设备等方面依然与技术发达国家存在较大差距，二维码监管方面也有很大欠缺。 张超认为，应尽快建立统一的二维码识别体系，督促相关机构注册和申请唯一二维码身份识别信息；研究并制定基础、技术、应用、管理和服务国家标准；建立二维码评价认证体系，提升行业规范化水平和社会诚信体系建设能力。 稿源：cnBeta，封面源自网络；

日前公布的安全白皮书和支持文档中，苹果详细的介绍了 Face ID 面部识别技术在安全方面的能力，但对是否允许开发者获取和利用 True Depth 摄像头捕捉的面部数据并未太多涉及。华盛顿邮报在近日的报道中，提供了来自隐私专家和苹果官方的说明，探讨了第三方应用如何访问那些面部数据，以及未来可能会产生的隐私问题等担忧。 苹果官方解释道，虽然并不允许第三方应用通过  Face ID 的面部数据映射来解锁设备，但是允许开发者使用 True Depth 摄像头来扫描用户面部数据，用于创建更逼真的增强现实应用。 使用 True Depth 摄像头，你的应用可以检测位置、面部拓扑、以及用户面部信息表达，所有这些面部数据都具备极高的精度且是实时的。从而方便开发者推出实时自拍效果或者使用面部数据来形成 3D 角色。 苹果提供的完整 3D 面部映射共计包含 52 个微表情，包括眼皮、嘴巴等等。由 Rinat Khanov 开发的免费应用 MeasureKit 就是利用 Ture Depth 的面部工具。 事实上在 iPhone X 发布之前，苹果已经出台了相关的隐私策略，明确第三方应用如何收集和使用 TrueDepth 摄像头。不过华盛顿邮报的 Geoffrey Fowler 担忧未来有开发者会利用面部数据来检测性别、种族，或者通过面部表达来检测诸如抑郁症等医疗症状。 稿源：cnBeta，封面源自网络；

11 月 28 日安全专家曝出了macOS High Sierra 10.13 存在严重安全威胁，即 root 账号密码为空的登陆漏洞，幸亏苹果第一时间就推送 macOS 安全更新，修复了root 账号登陆漏洞。其实在 11 月中旬有人就在苹果开发者论坛提到过相关问题，当时苹果可能并未引起重视。一位网友 Ergin 发布 Medium 读推分享了一则故事：“一周前我工作公司的 IT 员工在帮助我同事恢复本地管理员账号的时候，就发现了这一故障，他利用这一漏洞迅速恢复了账号权限。到了 11 月 23 日，公司的 IT 部门通知了苹果这一问题。他们还在苹果开发论坛上搜索了相关故障，发现在 11 月 13 日时就有人提到类似漏洞。但苹果并没有注意到。” Ergin 提到的苹果开发论坛相关故障报告帖实际上在 6 月 8 日就被发起了，一名用户在 WWDC 后更新至 macOS High Sierra beta 测试版本，他不明白为什么自己的管理员账号会变成标准账号。 许多用户也反映遇到了相同的问题。而在 11 月 13 日，chethan177 网友回复了这个帖子，提供了一个解决方案，并利用了 root 登陆账户密码空白的漏洞。这意味着这一漏洞被人发现已经至少有两周了，但并没有引起苹果和公众的注意。 随后，chethan177 网友再次回复了这一帖子，称他当时并不知道这其实是一个安全漏洞，一切似乎只是巧合。他此前遭遇了更改 Apple ID 后，管理员账户莫名其妙变成普通账户的问题。他在苹果论坛上搜索了好久，尝试了所有方法都没奏效。在极度的失望下，自己居然发现只要把账号名变成 ROOT，并且把密码留空就能得到最高权限。然后他恢复了自己账号的管理员权限，并且没有意识到这是一个安全漏洞。所以也没有向苹果报告。 稿源：cnBeta，封面源自网络；

HackerNews.cc 30 日消息，全球航运公司 Clarksons 发表声明称，公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件，并且对受影响的客户和个人深表歉意。 直至本文截稿前，被盗数据的数量和确切细节尚未被公布，Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示，黑客组织访问公司内部系统可能没有利用软件漏洞这种途径，而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用，并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据，但是作为一个负责任的全球性企业，公司选择与警方和安全专家合作处理这个事件，并与有关监管机构进行了联系。由于所涉及的是内部保密数据，所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示，目前事件正在调查，其余细节则不予透露。 消息来源：ZDNet、ESET，译者：榆榆，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前景提要：今年 10 月，谷歌安全专家发现广泛应用于 Linux、FreeBSD、 macOS、OpenBSD 和 NetBSD 设备的软件包 Dnsmasq 存在 7 处漏洞，其中三处允许黑客远程执行任意代码。 近期，西门子发布一份安全报告，证实 Dnsmasq 的 7 处安全漏洞中有 4 处仍影响了公司部分 SCALANCE 产品设备，包括基于直接访问节点的 W1750D 控制器、M800 工业路由器以及 S615 防火墙。随后， ICS-CERT 也针对 Dnsmasq 漏洞发布了一份关于西门子产品风险的安全报告。 DNSmasq 是一款为小型网络配置 DNS 与 DHCP 的工具，其提供了 DNS 和可选择的 DHCP 功能。不过，该款工具可服务于那些只在本地适用的域名（私有域名），而这些域名并不会在全球的 DNS 服务器中出现。 调查显示，影响西门子产品的其中 3 处漏洞（CVE-2017-13704、CVE-2017-14495 和 CVE-2017-14496）允许攻击者通过向 UDP 端口 53 发送 “精心制作” 的恶意 DNS 请求来攻击 Dnsmasq 进程，从而导致产品系统处于崩溃状态。此外，西门子 SCALANCE 产品还受 CVE-2017-13704 漏洞影响，允许攻击者触发 DoS 条件后开展拒绝服务攻击或在受害设备上执行任意代码。 目前，西门子正开发安全补丁，以解决其产品中的 Dnsmasq 漏洞问题。另外，对于等待修复的 SCALANCE W1750D 设备来说，如果用户未使用 “OpenDNS”、“Captive Portal” 或 “URL redirection”等功能时，可以在设备配置中部署防火墙规则阻止对端口 53/UDP 的入站访问；而对于 SCALANCE M800/S615 设备来说，可以在设备配置中禁用 DNS 代理或配置内部网络中已经连接的设备使用不同的DNS服务，以便抵制黑客恶意攻击。 消息来源：securityaffairs，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据 11 月 30 日报道，在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后，谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置，收集用户的浏览历史数据。这一诉讼的目的，是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称，谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德（Richard Lloyd）表示，谷歌的行为“严重失信”于 iPhone  用户，这是“我经历过的最大案件”之一。 洛伊德说，“ 通过这一诉讼，我们将向谷歌和其他硅谷科技巨头发出一个强烈信号，如果我们的法律遭到践踏，我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为，单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC（英国广播公司）的声明中称，“这不是我们遭遇的第一起类似诉讼，以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义，我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中，谷歌以 2250 万美元“破财消灾”。 稿源：cnBeta，封面源自网络；

记者 11 月 29 日从北京市高级人民法院获悉，北京市高院依法对安徽钰诚控股集团、钰诚国际控股集团有限公司以及丁宁、丁甸、张敏等26人集资诈骗、非法吸收公众存款上诉一案二审公开宣判，裁定驳回上诉，维持原判。 案情回顾 2014 年 6 月至 2015 年 12 月，安徽钰城控股集团、钰城国际控股集团有限公司及其负责人丁宁等人违反国家法律规定，控制、组织、利用安徽钰诚融资租赁有限公司等多家公司，在其建立的“ e租宝 ”、“ 芝麻金融 ”等互联网平台发布虚假的融资租赁债权和个人债权项目，以承诺还本付息为诱饵，通过媒体等途径向社会公开宣传，非法吸收公众资金。 今年 3 月，最高人民检察院公诉厅厅长陈国庆表示，“ e租宝 ”案借助互联网非法吸收 115 万余人公众资金，累计人民币762 亿余元，扣除重复投资部分后非法吸收资金共计 598 亿余元。至案发，集资款未兑付共计 380 亿余元。 去年 12 月 15 日，北京市人民检察院第一分院对安徽钰城控股集团、钰城国际控股集团及丁宁等 26 名主要犯罪嫌疑人提起公诉。   今年 9 月 12 日，北京市第一中级法院依法对该案作出一审判决，对钰诚国际控股集团有限公司以集资诈骗罪、走私贵重金属罪数罪并罚，判处罚金人民币 18.03 亿元；对安徽钰诚控股集团以集资诈骗罪判处罚金人民币 1 亿元；对丁宁以集资诈骗罪、走私贵重金属罪、非法持有枪支罪、偷越国境罪数罪并罚，判处无期徒刑，剥夺政治权利终身，并处没收个人财产人民币 50 万元，罚金人民币 1 亿元；对丁甸以集资诈骗罪判处无期徒刑，剥夺政治权利终身，并处罚金人民币 7000 万元。 同时，北京市第一中级法院分别以集资诈骗罪、非法吸收公众存款罪、走私贵重金属罪、偷越国境罪，对张敏等 24 人判处有期徒刑 15 年至 3 年不等刑罚，并处剥夺政治权利及罚金。 一审宣判后，两被告单位未提出上诉，丁宁、丁甸、张敏等 23 名被告人提出上诉。 10名被告人构成集资诈骗罪 北京市高级人民法院经审理后认为，两被告单位以及丁宁、丁甸、张敏等10人以非法占有为目的，使用诈骗方法非法集资，其行为均已构成集资诈骗罪。王之焕等16人违反国家金融管理法律规定，变相吸收公众存款，其行为均已构成非法吸收公众存款罪。 法院判决认为，二被告单位及丁宁、丁甸、张敏等 26人 的非法集资行为，犯罪数额特别巨大，造成全国多地集资参与人巨额财产损失，严重扰乱国家金融管理秩序，犯罪情节、后果特别严重，应依法惩处。一审法院根据本案犯罪事实、性质、情节和对于社会的危害程度，依法所作的判决认定事实清楚、证据确实充分，定罪及适用法律正确，量刑适当，审判程序合法，遂驳回上诉，维持原判。该裁定为终审裁定。各被告人的亲属、部分集资参与人、相关使馆人员、人大代表及各界群众代表等 50 余人旁听了宣判。 据了解，二审宣判后，将由一审法院严格按照法律规定进行涉案财产的善后处置，尽快组织开展信息核实、资产变现、资金清退等各项工作。广大集资参与人可关注法院发布的相关公告和信息。 稿源：cnBeta，封面源自网络；

据外媒体报道，继优步（Uber）披露 2016 年曾掩盖影响 5700 万用户的大规模数据泄露事件后，全球多个国家政府对该公司展开了调查。11 月 30 日，Uber 对英国数据保护监督机构称，在此用户数据泄漏事件中，大约有 270 万用户受到影响，其中泄露信息包括用户名、手机号、和电子邮件地址等。据悉，这覆盖了大部分英国 Uber 用户。目前，英国 Information Commissioner’s Office（ICO）要求 Uber 尽早通知那些受影响的英国司机和用户。 这次信息泄漏事件是对 Uber 的又一次打击。早在今年 9 月份，伦敦交通运输局宣布，在本月 30 日到期后，将吊销 Uber 在伦敦的运营资格牌照。该组织称 Uber 违规审查司机的背景，并且以不适当方式获取司机健康状况。Uber 新 CEO 在上周宣称，在 2016 年信息泄漏事件发生后并没有及时披露出来。而在现行英国法律中，未及时向监管机构披露信息泄漏事实的公司将面临最高 50 万英镑的罚款。 本周三，Uber 在其网站上称，经过第三方专家确认，没有迹象表明用户的其他信息，如历史乘车记录、信用卡帐号和生日日期，有被泄漏。并表示：“我们认为司机们对于这次事件无须采取任何补救措施，因为至今为止还没有发现与此次事件相关的信息滥用事件发生，不过我们一直在监控那些受影响的用户账户并提供了额外的保护 ”。目前，Uber 已经被强制要求退出一些国家，比如丹麦和匈牙利。在美国本土也不好过，或将面临来自多个州的监管诉讼。 稿源：，稿件以及封面源自网络；