美国哥伦比亚地区上诉法院近期裁定，警方未经授权而使用某 “ 基站模拟器 ” 的行为违宪。本案中，警方对一名涉嫌侵犯和抢劫的男子进行了技术定位，即使用名叫 “ Stingray ” 的设备对其进行搜查。特区上诉法院于上周四以 2 名法官赞成、1 名法官反对的结果，宣布使用 “ Stingray ” 的设备属于违宪行为。此外，法官进一步指出，任何源自 Stingray 的证据都应被排除在案件之外。 据悉，主张使用 “Stingray” 进行 “搜查” 的行为，违犯了美国宪法的《第四修正案》。这意味着，除非有紧急情况（或其它已知的例外），执法机构在使用前必须先获得一份授权。实际上，外媒报道 “Stingray” 已有很长一段时间。此类设备可以通过基站欺骗的方式来确定手机的位置，且在某些情况下，它甚至可以拦截呼叫和文本消息。 一旦部署，此类设备就会截取目标电话的数据，以及来自周边其它手机的信息。有些时候，警方会借某机密线人之口，实际部署这些特别全面、侵入性的监视工具。目前，该观点得到了越来越多法院的支持，即美国宪法《第四修正案》可保护人们免受不正当的、通过手机秘密追踪的侵害。 稿源：cnBeta，封面源自网络；

希拉里自去年 12 月以来被曝使用私人邮箱处理白宫事务，导致她在大选期间饱受攻击而最终和总统之位擦肩而过。如今，特朗普也不得不面对同样棘手的问题，这次身处漩涡的是他女婿库什纳。 据悉，美国媒体 24 日报道，特朗普的女婿、白宫高级顾问贾拉德·库什纳使用私人电子邮件处理白宫事务。不过，好在 “ 邮件门 ” 事件对市场影响不大。9 月 25 日，美元指数小幅下跌至 92.23，现货黄金短线跌超 5 美元，至 1293.99 美元/盎司。 美媒指出库什纳的这一行为最早可以追溯到去年 12 月末过渡政府时期，当时不少特朗普助手使用私人邮箱处理政府事务。据报道，库什纳同时使用私人邮箱和白宫官方邮箱。除了和白宫高级官员联络外，他还和政府之外的人员联系，讨论的事务包括媒体报道、活动策划等。 联络的人员也包括了不少内阁高管，比如白宫前幕僚长普利巴斯、前首席策略师班农，以及国家经济委员会主席科恩。对此库什纳的律师 Abbe Lowell 在上周发布的一份声明中回应，库什纳使用官方邮箱处理白宫事务，私人邮箱处理的邮件少之又少，而且大部分是别人先发送的。 目前，对于是否发送敏感信息，POLITICO 报道指出，没有迹象显示库什纳通过私人邮箱分享了任何敏感或机密的信息。库什纳的助手则称，库什纳本人更偏爱打电话和发短信，而非使用邮件。另一个关注点是白宫助手之间私人电子邮件的发送可能会违反《总统记录法案》的要求，该法案要求与总统私人以及政治活动有关的所有文档都必须记录。对此，库什纳的律师 Lowell 表示，库什纳遵守了政府保存记录的要求，将所有邮件转发到了他的账户。 对于在白宫中担任无薪资顾问的特朗普女儿伊万卡，目前没有迹象显示她使用私人邮箱处理公务。据知情人士透露以及公开信息记录，去年从纽约搬到华盛顿之前，库什纳和伊万卡设立了这个私人邮箱地址，当时库什纳在特朗普的竞选团队中任职，且有望提名白宫职位。此次披露的库什纳 “邮件门” 引起了民主党和希拉里前竞选团队成员的批评，也让因 “通俄门” 接受 FBI 和国会调查的库什纳更加焦头烂额。 稿源：cnBeta、华尔街见闻，封面源自网络；

据《华尔街日报》报道，中国和美国在 2015 年 9 月签署协议同意减少经济间谍活动后，中国对美国企业的黑客攻击活动确实出现下降趋势，但德国成为了重点目标。 德国情报官员警告表示，一些帮助德国成为出口大国的中小型公司已成为境外黑客攻击目标，其主要原因是这些公司对自己宝贵的知识产权疏于防护。中国外交部回应称尚不清楚德国的指控，并重申中国坚决反对以任何形式的网络攻击。德国国内情报机构 5 月份称，他们手上有中国黑客团体 APT-10 对德国一些高科技公司进行黑客攻击的证据。 稿源：solidot奇客，封面源自网络；

为适应美国政府突转的政治风向，包括谷歌和 Facebook 在内的互联网巨头正在一些重要政策问题上逐渐妥协。就在上周，美国参议院计划推进一项立法，从一定程度上剥夺互联网行业的重要法律保护伞——那是一部 1996 年制定的法律，可以帮助互联网公司避免因为用户活动而承担责任。 与此同时，就在 Facebook 本月宣布暂停 2016 年大选期间在其平台上购买的价值 10 万美元不良广告的俄罗斯帐号后，民主党参议员也在起草新的立法，制定新在线政治广告披露制度。美国联邦选举委员会考虑让 Facebook 和其他科技公司出席公开听证会。虽然市场地位日渐膨胀的互联网公司在欧洲遭遇了各种新规的打压，但他们在美国几乎得以免于各种形式的政府监管。例如，亚马逊控制了美国电子商务领域超过三分之一的份额，而谷歌和 Facebook 也合计控制了美国数字广告市场超过 60% 的份额。 从诞生伊始，互联网公司便一直在呼吁美国两党的政客们把他们视作一个需要获得特殊保护的新兴领域。这些公司奥巴马政府之间的关系尤其紧密，谷歌甚至吸收了几位奥巴马时期的高官。但一些民主党人仍对俄罗斯干预 2016 年大选耿耿于怀，他们现在开始对互联网行业强大势力发出警告。共和党方面，美国总统特朗普在很多次公开演讲中都对科技行业表达了敌意。谷歌和 Facebook 曾经多次因为自由主义偏见和全球主义观点而遭到右派攻击。 知情人士透露，为避免遭受监管，互联网公司现开始放弃最初的立场。硅谷游说人士和两党国会助手都迅速出面缓和关于全面加大监管力度的相关讨论，部分原因在于有能力对科技行业采取行动的政府机构美国联邦贸易委员会（FTC）仍面临人手严重不足的窘境。 Facebook CEO 马克·扎克伯格上周四表示，该公司将第一次让所有人都能看到政治广告在 Facebook 上的运行细节。现有法律并不强制 Facebook 披露广告的出资人，这一点与电视广告有所不冉。这种透明度恰恰符合针对在线政治广告起草的立法提案中的关键条款。该公司还表示，他们将会把可能是俄罗斯实体在 2016 年美国总统大选期间购买的广告，提交给国会调查人员。 稿源：cnBeta、，内容有删减；稿件以及封面源自网络。

据外媒报道，研究人员近期向公众演示了通过电源管理漏洞入侵 ARM TrustZone 处理器的操作，把 TrustZone 变得不那么令人信任。调查显示，如今多数 CPU 都支持动态电压频率调整，根据 CPU 是空闲或忙碌来动态调整 CPU 的电压和频率。研究人员发现，他们可以通过调大调小一个线程的电压翻转另一个线程的比特。 当第二个线程正被 TrustZone 密钥翻转比特时，研究人员就可以从此处获得权限。他们将这种新型硬件故障攻击称为 CLKSCREW 攻击。研究人员表示，它是硬件漏洞，存在于电源管理设计的基础部分，所以很难简单的修复。 稿源：solidot奇客，封面源自网络；

移动互联网时代，触手可及的移动支付面临着不少安全问题。在风险防控机制尚不完善的背景下，各类移动支付产品却在加速推出，从而成为不法分子的攻击重点。在业内人士看来，不管是哪种形式的诈骗，归根到底都是用户防范意识不够，致使不法分子有机可乘。 9 月 20 日，中国银联携手上海市公安局经侦总队、全国主要商业银行、支付机构等单位启动了移动支付安全大调查活动，旨在提升公众的金融知识和风险责任意识。据悉，调查从 9 月 20 日起到 11 月底，重点包括持卡人对移动支付业务的行为偏好、刻画出高低风险人群的特征、关注免密支付额度、验证方式中产生的问题、寻找便利和安全的平衡点以及关注持卡人保险配置和风险损失处理情况。持卡人可通过中国银联官方网站、官方微信、官方微博以及17家全国性商业银行、收单机构、腾讯手机管家等相关渠道参加调查，今年底将会公布调查结果。 上海市公安局经济犯罪侦查总队支队长周海峰表示，银行卡犯罪活动目前在上海呈现出互联网化和渠道多样化的特征，比如改装 POS 机，在 PO S机中加入盗码装置；甚至有的犯罪团伙去应聘当消费场所的收银员，在顾客刷卡过程中窃取卡片信息，这都需要持卡人自身提高警惕。据中国银联相关人士介绍，这次大调查活动就是要了解公众移动支付安全现状水平、评估消费者移动支付风险识别与处置能力，为改进支付产品体验、提升支付安全措施与普及安全教育提供数据决策依据。 中国银联在智能风控方面也在进行实践并建立了多套模型，比如在推广云闪付的过程中，出现了不法分子通过骗取持卡人交易密码、短信验证码等信息，将持卡人银行卡绑定在犯罪分子手机上进行盗刷。为此，中国银联使用随机森林、GBDT 等主流机器学习算法，建立云闪付绑卡欺诈评分模型。此外，在交易过程中，中银联还设立了一套欺诈交易侦测模型，即从设备指纹、持卡人标签、地理信息矩阵和外部数据等各种维度对当前交易进行分析，为实时欺诈交易侦测提供决策依据。 稿源：、IT时报，稿件以及封面源自网络；

当美国正努力扭转史上最糟糕网络安全事故带来的恶劣影响时，欧洲正准备为企业打造一种新的规则，阻止类似于 Equifax 事件的网络安全事件发生，或者发生类似事件时让影响最小化。奥马巴政府时期的前网络安全协调官、网络威胁联盟的主席 Michael Daniel 称：“ 通常欧洲人很少怀疑他们的政府，而是更趋向于怀疑那些公司，在美国则是另外一种情况，这当然会对事件的发展造成一定的影响。” 欧洲新制定的这项规则被称为通用数据保护条例（GDPR），它将在明年 5 月份生效。GDPR 条例规定了公司存储用户数据的方式，并且要求它们在漏洞出现后的 72 小时内通知当局。如果公司不执行，它们将被罚款 4% 的全球税收或者 2 千万欧元，两者选取最高额。然而，拥有欧洲用户信息的所有美国公司也必须遵循这一规定。 全球安全公司 RSA 的董事长 Rohit Ghai 称：“这一新规为公司赋予了责任，让其了解它们应当如何管理消费者的数据并且关注用户隐私 ”。由于 Equifax 公司遭受的网络攻击致使 1.43 亿人的信息受到影响，美国是否需要建立某种规定的问题再一次被人们提出。网络威胁联盟主席 Daniel 声称：“ Equifax 就是一家主营数据管理的大公司，但是它的工作似乎做的让人并不满意。我们会希望拥有敏感数据的那些公司实现高标准的网络安全防护，但是我们并不清楚不同行业的关注标准。” 美国众议院的 James Langevin 在 2015 年引进了一项法案，呼吁公司在发现漏洞的 30 天内报告。除此之外，如果受影响人数超过 5000，公司应当通知消费者和主流媒体。Ghai 称：“在美国，在过去几年里已经形成了大量的管理重担，因此从商业环境的角度来说我们的管控太严了”。美国国土安全部前网络安全副部长，vArmour 公司首席网络专家 Mark Weatherford 称：“我宁愿看到市场主动行动，而不是借助规范强迫我们进行，因为那样总会出现意外结果。在美国我们拥有牛仔的历史和精神，我们想要自己做事，而不是依赖于硬性规定。但是我担心我们已经到了必须做出反应的时刻了，很明显我们做的并不足够。” 稿源：cnBeta，封面源自网络；

HackerNews.cc  9 月 22 日消息，网络安全公司 Doctor Web 研究人员近期发现黑客利用新型物联网（ IoT ）僵尸网络 Linux.ProxyM 肆意发送钓鱼邮件，旨在感染更多 Linux 设备、开展 DDoS 匿名攻击活动。 调查显示，该僵尸网络自 2017 年 5 月以来一直处于活跃状态，其感染 Linux.ProxyM 的设备数量已多达 1 万台左右。然而，值得注意的是，僵尸网络 Linux.ProxyM 所分发的恶意软件能够在任何 Linux 设备（包括路由器、机顶盒与其他设备）上运行、还可规避安全检测。 目前，安全专家针对基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 与 SPARC 架构的设备识别出两款 Linux.ProxyM 木马。一旦 Linux.ProxyM 木马感染上述其中一台设备，它都能够连接至命令与控制（C＆C）服务器，并下载两个互联网节点域名。如果用户在第一个节点提供登录凭证，那么跳转至第二个节点时将通过 C＆C 服务器发送一个包含 SMTP 服务器地址命令，用于访问用户登录凭据、电子邮件地址和邮件内容。此外，相关数据显示，每台受感染的设备平均每天可以发送 400 封这样的钓鱼邮件。 研究人员表示，虽然尚不清楚受感染设备总计数量，也不了解黑客真正的攻击意图，但目前巴西、美国、俄罗斯、印度等国普遍受到影响。现今，由于物联网攻击活动一直都是网络犯罪分子的目标焦点，因此研究人员推测，黑客在未来还将继续扩展 Linux 木马所执行的功能范围，从而肆意开展 DDoS 攻击活动。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当，导致逾 54 万用户登录信息在线暴露，其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码，以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。 调查显示，SVR 密码是一款由美国国家安全局（NSA）20 年前设计的弱加密算法 SHA-1，因此黑客能够轻松破解并对其进行登录访问。有趣的是，暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示，由于多数经销商或客户的车辆均具有跟踪设备功能，因此在线暴露的设备总数可能要比调查数据多得多。 另外，由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控，因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆，并使用互联网连接设备创建目标车辆在每个位置的详细日志，从而在汽车主人不在时进行偷窃或抢劫。目前，虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后，SVR Tracking 当即对其进行了保护，但尚不清楚黑客是否已经访问泄露数据。 关联阅读： 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露 原作者：Swati Khandelwal，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

中央网信办等四部门 24 日公布 10 款数量大、与民众生活密切相关的移动互联网产品和服务隐私条款评审结果，10 款产品和服务中 8 款做到了向用户主动提示、并提供更多选择权。网信办这次选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共 10 款互联网产品和服务进行评审。 中央网信办、工业和信息化部、公安部、国家标准委四部门指导开展个人信息保护提升行动之隐私保护专项工作。经评审，10 款产品和服务在隐私政策方面都有不同程度提高，做到明示其收集、使用个人信息的规则，并征求用户的明确授权。微信、淘宝网、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横等 8 款产品做到了向用户主动提示、并提供更多选择权。 微信、淘宝网、支付宝、滴滴出行、京东商城提供了更便利的 “ 一站式 ” 撤回和关闭授权，在线访问、更正、删除个人信息，在线注销账户等功能。通过评审各家参加评审公司改进了隐私保护条款。蚂蚁金服集团高级副总裁、首席服务官陈磊明介绍，支付宝在用户可自行删除、更新、注销账户的基础上，进一步明确了用户行使删除权、更正、注销账户权益的路径。 中国电子技术标准化研究院副院长杨建军说，长期以来，网络运营者在提供产品和服务时，普遍存在五大问题。一是隐私条款笼统不清，对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明；二是不主动向用户展示隐私条款，或展示内容晦涩冗长；三是征求用户授权同意时，未给用户足够选择权；四是没有为用户提供访问、更正、删除个人信息的途径；五是大量收集与所提供服务无直接关联的个人信息，超越与用户约定等。10 家企业当日签订了个人信息保护倡议书，承诺尊重用户知情权、用户控制权；遵守用户授权，强化自我约束；联合抵制黑色产业链；接受社会监督等。 稿源：cnBeta、中新网，封面源自网络；