据外媒 11 月 21 日报道，阿尔及利亚的电信运营商 Algerie Telecom 于上周五证实，公司遭受了一系列旨在破解其系统的网络攻击事件。目前，公司已在相关部门的帮助下成功击退黑客并开启安全防御系统，以便减少企业运营损失。不过，他们尚不清楚黑客真正意图以及进一步相关细节。 此外，由于网络攻击数量的迅速增加引起了阿尔及利亚政府的担忧，特别是近期所推出的电子服务项目，例如公民采用电子支付系统缴纳水电费用。 信息与通信技术部部长 Iman Houda Faraoun 表示，通常由部长理事会批准的电子商务项目一旦通过，将会即日生效。不过，他们承诺将会充分保护电子商务流程，严禁外泄各金融交易数据、发票以及公民银行卡号等敏感信息。 消息来源：securityaffairs.co 、新华网，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Uber 似乎很难让自己逃离新闻中心漩涡。虽然这家公司迎来了一位新 CEO 并且他正在努力清理之前留下的烂摊子，但 Uber 仍旧会发现自己还是被卷入了丑闻中。这份清单中最新增加的内容则是这家公司隐瞒了黑客成功窃取属于 5700 万名 Uber 司机和客户的个人数据的事件。 据了解，该网络攻击最初发生在去年 11 月，但 Uber 一直到 1 个月后才意识到这个漏洞。泄露的信息包括电子邮件地址、60 万名司机的驾照号。不过目前并无迹象表明社保号、银行信息也遭到了窃取。从法律角度来看，Uber应当有在发现网络攻击时通知用户和监管机构的责任，然而它却选择了掩饰。这家公司选择用 10 万美元换取黑客的沉默。 尽管 Uber 坚称被盗的数据从未被用到不正道的地方，但不管怎样隐瞒跟用户敏感数据相关的事实总归是不对的。而优步首席执行官 Dara Khosrowshahi 专门针对此事发表了一份声明。 稿源：cnBeta，封面源自网络；

许多用户意识到智能手机可以跟踪他们的位置，即便用户主动关闭位置服务，没有使用任何应用程序，甚至没有插入运营商 SIM 卡等预防措施，也不能阻止运行 Android 操作系统的手机收集用户位置数据，并在连接到互联网时将其发送回 Google。 自 2017 年初以来，Android 手机一直在收集附近蜂窝塔的地址（即使在停用位置服务时），并将这些数据发送回 Google。其结果是，谷歌和其母公司字母公司可以访问有关个人的位置和他们的运动数据，远远超出了消费者的合理隐私期望。Google 现今承认的确存在这种做法。根据谷歌发言人的说法，在过去 11 个月里，谷歌用来管理 Android 手机上推送通知和消息的系统中包含了手机地址。不过，这些信息从未被使用，也没有被储存起来，公司现在正在采取措施，终止这种做法。 该公司表示，到 11 月底，Android 手机将不再向 Google 发送手机定位数据，但是，至少作为该特定服务的一部分，消费者无法禁用这一功能。Google 发言人在一封电子邮件中表示：“今年一月，我们开始考虑使用 Cell ID 代码作为进一步提高消息传递速度和性能的额外信号。 但我们从未将 Cell ID 纳入我们的网络同步系统，因此数据立即被丢弃。此外，我们已经更新服务，它不再请求 Cell ID。” 稿源：cnBeta，封面源自网络；

据外媒报道，一名伊朗黑客近期在美国遭到指控，于今年夏天盗取 HBO 未上映影集并要求支付高达 600 万美元的赎金赎回。今年七月份，这位黑客泄露了一段即将播放的 HBO 系列剧 “权力的游戏” ，以及”Curb Your Enthusiasm” 、”Ballers” 和 “The Deuce.”这三部未发行剧集。 根据美国纽约南区地区法院大陪审团公布的起诉书，美国联邦调查局确定伊朗 Behzad Mesri 为嫌疑黑客，后者要求 HBO 以比特币支付 600 万美元赎金，并威胁说，如果拒绝支付，将释放更敏感的内容。HBO 拒绝就这些指控发表评论，但表示自从网络攻击的早期阶段开始就一直在和执法机构合作。 据称，Mesri 是一名技术娴熟的黑客，曾为伊朗军方工作，攻击核设施，以色列基础设施和对手军队。他还是土耳其黑帽安全团队的成员，这个黑客组织是一个来自伊朗的黑客组织，这个黑客组织破坏了全球数百个网站。法庭文件显示，Mesri 涉嫌利用自己的技能在 5 月份开始对 HBO 员工进行攻击，并且能够攻击几名可以远程访问 HBO 网络服务器的员工。据说，Mesri 可以自由地掠夺 HBO 的视频、脚本和个人信息。 稿源：cnBeta，封面源自网络；

HackerNews.cc 11 月 20 日消息，德国鲁尔大学的研究人员 Hanno Böck 与 Juraj Somorovsky 近期发现美国应用交付网络（ADN）领域的 F5 Networks 产品存在一处高危漏洞（CVE-2017-6168、CVSS 分值为 9.1），允许黑客远程恢复加密数据并发动中间人（MitM）攻击。目前，受影响产品是 F5 BIG-IP 企业管理器的一部分，其中包括 LTM、AAM、AFM、Analytics、APM、ASM、DNS、GTM、Link Controller 与 PEM 等产品。此外，该漏洞也影响了 F5 WebSafe 反欺诈解决方案。 调查显示，该漏洞在线暴露了虚拟服务器配置客户端的 SSL 配置和 RSA 密钥交换功能，从而允许黑客发动 chosen-ciphertext 攻击（又称 Bleichenbacher 攻击）。此外攻击者还可通过该漏洞针对使用 RSA 密钥交换器建立的 TLS 会话发起黑客攻击、远程恢复加密数据并启动中间人 （MitM） 攻击。网络安全公司 Cloudflare 的安全专家 Nick Sullivan 指出，该漏洞与臭名昭着的 DROWN 类似，允许攻击者在使用 SSLv2 时解密 TLS 通信。不过随着 SSLv2 需求的消除，F5 Networks 漏洞也变得愈加严重，因为黑客只需要一个使用密钥的服务器就可解密 TLS 会话。 另外，F5 Networks 在其安全报告中表示：“黑客恢复的加密数据需要在 TLS 会话结束后才可读取。利用此漏洞进行 MiTM 攻击需要攻击者在配置的握手超时窗口内的目标会话握手阶段完成初始攻击，这可能需要数百万次服务器请求。“这种攻击可以针对任何使用 RSA 签名的 TLS 会话进行，但只有在使用 RSA 密钥交换的密码套件也在虚拟服务器上启用的情况下适用。机会有限，带宽限制和延迟使得这种攻击更难执行”。 目前，F5 Networks 已修复受影响产品的安全漏洞并发布更新。此外，该公司还提醒各企业检查自家虚拟服务器的通用警报是否已经开启，以便抵制黑客攻击的同时减少各企业利益的损失。 消息来源：securityweek，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 11 月 20 日报道，网络安全公司 MWR 的研究团队近期发现 Android MediaProjection 服务存在一处高危漏洞，允许黑客窃听系统音频、截取用户屏幕等敏感信息。目前，运行 Lolipop、Marshmallow 和  Nougat 应用的 Android 设备普遍遭受影响（约占所有 Android 设备的 77.5%）。 MediaProjection 是一项允许应用程序捕获屏幕、记录系统音频的服务，其自推出以来就存在于 Android 系统当中。不过，要想使用这一服务功能，其应用程序需要在线发出请求后通过 SystemUI 弹出窗口获取 root 访问权限，并使用设备的系统密钥进行签名。据悉，虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用，但随着 Android Lolipop（5.0）的发布，Google 向所有应用开放了这项服务。 调查显示，此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制，即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出，从而绕过安全检测。一旦用户点击已被覆盖的页面后攻击者即可获取 root （包括捕获用户屏幕和音频的）权限。研究人员强调，黑客利用该漏洞开展攻击时并非完全无法察觉。如果一款应用访问 MediaProjection 服务时，它会在生成一个虚拟显示，从而自动激活通知栏中的截图图标后获取用户信息。如下图所示: 目前，Google 仅在 Android Oreo Android Oreo（8.0）版本中修补了漏洞，但旧版本仍受到该问题的影响。另外，尚不清楚 Google 是否计划针对较早受影响的 Android 版本进行修复，对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数，以便确保应用程序的界面安全。 消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

人工智能（AI）已经从一个科幻小说式的探索领域发展到一个蓬勃发展的科技领域，在这个领域里，不可能的事情正在成为可能。为了确保人工智能发展的未来仍然具有伦理和社会意识，美国电气和电子工程师协会（IEEE）宣布了三项新的人工智能伦理标准。 IEEE 自称为“世界上最大的技术进步技术专业组织”。根据最近发布的一份新闻稿，他们的人工智能标准将优先考虑人类，因为他们承诺要跟上该领域不断发展的脚步。这些新标准将成为一份题为《伦理一致的设计：将人类福祉与人工智能和自主系统优先考虑的愿景》的 IEEE 文档的一部分。这份文件将继续随着时代的变迁而不断变化，鼓励那些推动技术进步的人考虑这样的进步可能会如何影响伦理方面的担忧。 Satoshi Tadokoro 是 IEEE 机器人和自动化协会的主席，他解释了为什么他们在发布会上制定了这样的标准：“机器人和自动系统将为社会带来重大创新。最近，公众越来越关注可能发生的社会问题，以及可能产生的巨大潜在利益。不幸的是，在这些讨论中，可能会出现一些来自虚构和想象的错误信息”。Tadokoro 继续说道：“IEEE 将基于科学和技术的公认事实来引入知识和智慧，以帮助达成公共决策，使人类的整体利益最大化 ”。三大人工智能标准将作为一个单独的项目引入，每个项目由专家领导。 第一个标准：“机器化系统、智能系统和自动系统的伦理推动标准”。探讨了“推动”，在人工智能世界里，它指的是影响人类行为的微妙行动。 第二个标准：“自动和半自动系统的故障安全设计标准”。包含了自动技术，如果它们发生故障，可能会对人类造成危害。就目前而言，最明显的问题是自动驾驶汽车。 第三个标准：“道德化的人工智能和自动系统的福祉衡量标准”。阐述了进步的人工智能技术如何有益于人类的益处。 这些标准的实施可能比我们想象的要早，因为像 OpenAI 和 DeepMind 这样的公司越来越快地推进人工智能的发展，甚至创造出能够自我学习又扩大 “智能” 领域的人工智能系统。专家们认为，这样的人工智能会破坏世界稳定，导致大规模的失业和战争，甚至转向创造“杀人武器”。 最近，联合国的重要讨论促使人们开始认真思考，需对将人工智能技术当作武器使用进行更严格的监管。这三个标准项目有望能够规范人工智能的发展，而不是阻碍进步，但是我们所了解的社会也并未被我们努力创造的东西所破坏。 稿源：cnBeta、威锋网，封面源自网络；

自 2008 年起，英特尔处理器平台内置了一个低功耗子系统 Management Engine（ME），它包含了一个或多个处理器核心、内存、系统时钟、内部总线、保留的受保护内存、有自己的操作系统和程序，以及能访问系统主内存和网络。过去几个月，ME 引发了越来越多的关注，安全研究人员也在 ME 中发现了多个问题。 英特尔因此在对 ME、Server Platform Services （SPS）和 Trusted Execution Engine （TXE） 展开了深入的安全评估后发现多处漏洞，旨在提权与缓冲溢出。芯片巨人已经释出最新版本的固件修复。据悉，受影响的产品包括了第 6、7 和 8 代 Core 处理器、多款至强处理器、Atom  C3000、Atom E3900、Apollo Lake 奔腾、赛扬 N 和 J 系统。 稿源：solidot奇客，封面源自网络；

今年 8 月份的时候，大疆发起了一个 “漏洞赏金” 项目，旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度，参与者可获得 100 到 30000 美元不等的奖金。活动开始没几天，研究人员 Kevin Finisterre 就立即联系该公司，汇报了一个相当严重的问题 —— 大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前，当前的加密措施将形同虚设。 据 Finisterre 所述，其汇报的问题理应包含在大疆的漏洞奖赏项目之内。在经过了长时间的电子邮件沟通之后，大疆提出了要对此事严格保密的协议要求。虽然大疆此举是为了防止漏洞被公开利用，但对安全研究人员来说，被认可和获得金钱奖励一样重要。要领取这笔奖金，Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。更遗憾的是，大疆还向他发出了“计算机欺诈和滥用行为”的威胁。 在与多名律师讨论后，Finisterre 决定放弃奖金以远离是非，并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息，并得出自己的结论。大疆有关此事的回应，称该研究人员通过大疆未公开的密钥以不当方式获得数据，这并不符合大疆安全响应中心的初衷与规则。 稿源：cnBeta，封面源自网络；

11 月 21 日消息，亚马逊云计算平台 AWS 日前专为 CIA 和美国其他情报部门推出了云计算服务 AWS Secret Region，这标志着美国政府特定部门对使用 AWS 非常感兴趣。6 年前，亚马逊曾在 AWS 上推出 GovCloud 服务，即其第一个公共部门客户数据中心。 自那以后，AWS 宣布不断扩大 GovCloud 计划。早在 2013 年，就有媒体报道 AWS 与 CIA 之间签署了 6 亿美元的合同，此举帮助亚马逊成功地吸引了更多大型企业以利用其云服务。如今，AWS 的客户包括 Comcast、Hess、Intuit 和 Lionsgate 等公司。目前，AWS 的竞争对手包括微软、谷歌、IBM 和甲骨文的云服务平台。 亚马逊在一篇博客文章中说：“随着 Secret Region 的推出，AWS 成为首家也是唯一一个商业云服务提供商，提供各种各样的政府工作负载服务，包括未分类的、敏感的、秘密的和最高机密的数据分类。”亚马逊还称，由于 AWS 与智能社区 Commercial Cloud Services（C2S）签署有合同，它必须满足某些政府标准。CIA 首席信息官约翰·爱德华兹（John Edwards）也表示，AWS Secret Region 是 Intel Community 多组构云策略的关键组成部分。 稿源：cnBeta、网易科技，封面源自网络；