据 VentureBeat 报道，笔记本电脑制造商联想公司日前与美国联邦贸易委员会（FTC）达成和解，同意支付 350 万美元，并对其销售笔记本电脑的方式作出调整，以换取 FTC 撤销对其销售预装软件的指控，此举被指危及用户安全。美国当地时间 5 日，联想与康涅狄格州、联邦贸易委员会以及其他 31 个州达成上述协议。 联想预装的软件名为 VisualDiscovery，从 2014 年 8 月开始安装在数十万台联想笔记本电脑上，目的是提供弹出式广告。然而当用户试图访问恶意网站而弹出警告时，也被该软件阻止。 FTC 声称，VisualDiscovery 能够访问消费者的敏感信息，比如社会保障号码。当然，这些信息并没有发送给出售 VisualDiscovery 的厂商 Superfish。FTC 主席莫林·奥豪森（Maureen Ohlhausen）在一份声明中表示:“ 联想在预装软件时侵犯了消费者的隐私，在没有给出通知或获得用户同意的情况下就可访问消费者的敏感信息。这种行为导致的后果非常严重，因为该软件破坏了消费者依赖的网络安全保护。” 联想在声明中表示，公司在 2015 年初就已经停止销售预装软件。尽管我们不同意这些申诉中的指控，但我们很高兴在两年半后结束这件事 。到目前为止，我们还没有接到任何第三方利用这些漏洞来获取用户通讯信息的实例报告 ”。FTC 表示，作为和解协议的一部分，在安装这类软件之前，联想同意首先获得消费者的同意并对任何数据收集或捆绑广告软件给予用户确切通知，且同意在未来二十年内接受安全检查。 稿源：cnBeta、网易科技，封面源自网络；

据路透社报道，欧洲人权法院（The European Court of Human Rights）于本周二裁定各个公司现在必须提前告知雇员他们的电子邮件正被监控，否则私自操作属于违法行为。 2007 年一位罗马尼亚人因在工作期间与他的兄弟和未婚妻在线聊天而被公司解雇。据悉，他所在的公司使用监控软件追踪聊天内容，并将这些信息作为他违反公司禁止个人使用企业资源的证据。 欧洲人权法院近日裁定，这名男子的隐私权受到侵犯，因为他的公司没有提前告知他他的电脑被监视。这项裁定可能会削减公司在上班时监督工作人员在线活动的能力，并授予员工更多的隐私权。 据《 纽约时报 》 报道，欧洲人权法院法官提到，很少有欧洲国家对工作场所在线隐私进行立法，但是欧洲公司现在必须事先向员工透露，他们正在看他们的工作电子邮件。 稿源：cnBeta，封面源自网络；

据 Reddit 网友 Unusual_Sauce 爆料，Android Oreo 存在一处新 Bug，或将导致用户在开启 Wi-Fi 之后仍被吞噬宝贵的移动数据。不过 Google 方面已经知晓此事，现正抓紧制作修复补丁。Unusual_Sauce 表示，他在升级 Android Oreo 后发现 —— 如果同时开启 Wi-Fi 和移动数据，系统可能会无视已经连上的无线热点，而是继续只使用移动数据。 “在联系支持人员后，我被告知他们已经获悉此事，且正制作修复补丁。与此同时，我必须到家就手动关闭移动数据开关，以确保仅使用 Wi-Fi 网络”。 当然，该问题的起因是开发人员选项中的某个设置。为了方面测试，Android Oreo 最终编译版本中默认启用了“始终开启移动数据”这个功能。如果你想要预防这个 bug，也只需手动关闭此选项。 稿源：cnBeta，封面源自网络；

据 HackerNews.cc 5 日消息，Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞（CVE-2017-9805），在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时，没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围： ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案： ○ 目前网络上已有 POC （未经验证）公布，请用户尽快升级 Apache Struts 版本至 2.5.13； ○  不使用 Struts REST插件时将其删除，或仅限于服务器普通页面和 JSONs： <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认，创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息： ○ 官方发布的详细内容：https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告：https://www.seebug.org/vuldb/ssvid-96420

HackerNews.cc  9 月 5 日消息，境外高等院校的网络安全漏洞数量在过去一年内翻了一番，因为黑客正绕过他们薄弱的防范手段窃取国家机密信息。据悉，现今黑客似乎开始瞄准英国大学，旨在窃取导弹研究成果与专家个人敏感数据。  《 纽约时报 》援引信息自由法案（ FOI ）收集的数据显示，黑客于 2016-2017 年在医药、工程与导弹研究方面共计开展了 1152 起恶意攻击活动，其受影响机构除著名的牛津大学遭到 515 次未经授权访问攻击外，还包括伦敦学院与伦敦玛丽皇后学院被成功攻击 57 次。此外某学院还声称，它每月受到的攻击多达 10,000 次，其多数源自中国、俄罗斯与远东等地区。 网络安全公司 Darktrace 技术总监 Dave Palmer 表示，虽然伪装军用车辆的导弹与机密设备是黑客首要攻击目标之一，但他们更想得到有关军事武器与专家研究成果的详细资料。 华威大学网络安全研究主任 Carsten Maple 表示：“大学是推动英国多数研究成果的发展基地，其一款技术设备的知识产权需要多年的专业经验与成本。如果黑客成功袭击一所大学并将其窃取的信息出售给一个民族或国家，那么研究人员所有的努力将功亏一篑。因此安全专家呼吁各大学研究基地加强网络防御体系，维护自身研究成果，共同抵御黑客网络攻击活动。 原作者：Brendan Cole，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

数据泄漏平台 LeakBase 近期透露，社交媒体平台 Taringa 逾 2800 万账户信息在线暴露，其包括用户名、电子邮件地址与散列密码。目前，LeakBase 已获得被盗数据库副本。 Taringa 被称为拉丁美洲最大的在线网站，是拉丁美洲网民用于创建与分享日常生活、教程、食谱与艺术等兴趣的社交平台。 调查显示，Taringa 用户所使用的散列密码算法 MD5 极其薄弱，致使黑客能够轻松破解后进行黑客活动。实际上，LeakBase 研究人员已经在短短几天内成功破解 93.79％（ 近 2700 万）的散列密码，其中包含超过 1500 万个单一密码。为检测数据是否真实，LeakBase 在 THN 上分享了 450 万名 Taringa 用户的转储数据后通过电子邮件地址随机与部分 Taringa 用户取得联系并利用已破解的纯文本密码进行登录，从而得到证实。 知情人士透露，此次数据泄露事件似乎可以追溯至今年八月，但该公司仅通过邮件通知网站受害用户。不过，作为该事件的回应措施，Taringa 在用户使用旧密码访问账户时通过电子邮件向用户发送密码重置链接。以下是 Taringa 数据泄露的相关统计数据： 不幸的是，多数破解的密码仅由字母或数字组成，其不包含任何特殊字符或符号。下面研究人员列出了 Taringa 用户最常用的密码，如 123456789、123456、1234567890、000000、12345 与 12345678。由此表明，Taringa 平台并未强制用户使用复杂密码进行账号保护。 除破解密码外，LeakBase 还可以查看泄露数据转储中包含的电子邮件地址，其最常见的电子邮件域如下所示： 目前，研究人员不仅建议 Taringa 用户尽快更改密码，还提醒他们不要通过电子邮件点击任何可疑链接或附件并在无需验证下提供个人或财务信息。 附：有关 LeakBase 分析的更多详细信息 原作者： Pierluigi Paganini ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

世界上第一条量子保密通信骨干线路已具备开通条件，而我国在量子技术的实用化和产业化方面继续走在世界前沿。媒体 4 日从中国科学院获悉，国家量子保密通信 “ 京沪干线 ” 近日通过技术验收。 自 2013 年立项以来，“ 京沪干线 ” 项目组突破了高速量子密钥分发、高速高效率单光子探测、可信中继传输和大规模量子网络管控等系列工程化实现的关键技术。2016 年底，连接北京、济南、合肥、上海的全长 2000 余公里的量子保密通信骨干线路全线贯通。此后，项目组进行了大尺度量子保密通信技术试验验证，开展了远程高清量子保密视频会议系统和其他多媒体跨域互联应用研究，完成了金融、政务领域的远程或同城数据灾备系统、金融机构数据采集系统等应用示范。 项目组技术人员介绍，2017 年以来，“ 京沪干线 ” 进行了各分系统的应用测试和 720 小时长时间稳定性测试，测试结果表明系统的各项技术性能指标均达到设计要求。此外，“ 京沪干线 ” 北京接入点实现了与 “ 墨子号 ” 量子科学实验卫星兴隆地面站的连接，已形成星地一体的广域量子通信网络雏形，大大扩展了 “ 京沪干线 ” 应用能力。 项目组人员表示，作为一条实用化和商用化的量子通信骨干网络，“京沪干线”未来将向金融、电力、广电、政务等各行业开放，为广大用户提供量子层面的安全服务，从而大力推动以量子创新技术驱动新兴产业和市场发展的战略需求。据了解，美国、欧洲、韩国等地的科技公司和科学家团体近年来相继提出建设量子通信网络的规划。 稿源：cnBeta、新华社，封面源自网络；

据外媒报道，研究人员近期发现主要移动芯片供应商的 Android 引导程序组件存在多处安全漏洞，允许黑客在引导次序中打破信任链，从而为其打开攻击大门。 加州圣芭芭拉的计算机科学家随后开发了一款专门测试与分析引导程序的工具 BootStomp。据悉，他们选择了高通、NVIDIA、联发科和华为海思的五款产品进行测试，发现了 7 处安全漏洞，其中有一处于 2014 年就被曝光过。对于其余 6 处新漏洞，供应商已经证实其中 5 处。 此外，研究人员称，上述漏洞允许执行任意代码或执行永久性的拒绝服务攻击，其中 2 处漏洞还能被有 root 权限的攻击者利用。 稿源：solidot奇客，封面源自网络；

据外媒 9 月 3 日报道，研究人员在通过分析欧洲的网络犯罪行为、恶意软件分发与网络安全措施以及各国互联网连接的暴露程度后发布安全报告，指出马耳他因网络防御措施较差，已成为欧洲最受黑客 “ 欢迎 ” 的国家，其危险程度高达 42％，尽管该地区遭受恶意软件与网络犯罪攻击的排名居中。 研究表明，虽然马耳他互联网连接比例较高（ 73％ ），但缺乏网络安全立法与国际安全厂商的保护，这意味着尽管马耳他公民目前遭到网络犯罪几率远低于欧洲其他邻国，但从长远来看他们所面临的风险更大，因为他们并未采取严格的防御措施保护其网络系统安全。 此外，该研究报告还指出芬兰（危险程度只有 29%）、爱沙尼亚（30%）、德国（30%）、荷兰（30%）与英国（31%）是欧洲排名靠前的安全网络国家。目前，上述报告反映了各国自 2007 年以来全球网络攻击事件对其政府安全战略、法律框架与组织结构的变化趋势。 稿源：independent ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据相关媒体报道，不少使用苹果 iPhone 手机的小伙伴近期都接到一种奇怪的视频电话。这是陌生号码（包括邮箱账号等）打来的 FaceTime 视频通话，接通之后对方一直处于黑屏状态，而自己的头像却呈现在手机屏幕里。如果你遇到这种情况，记住，千万别接！存在高危风险！ 据悉，FaceTime 是苹果公司 iOS 和 Mac OS X 内置的一款视频通话软件，通过 Wi-Fi 或者蜂窝数据接入互联网，在两个装有 FaceTime 的设备之间实现视频通话。由于只需知道对方 Apple ID 就可相互通联，理论上世界范围内的苹果设备通过 Apple ID 都可以被呼叫。 9 月 4 日下午，腾讯官方发微博提醒，腾讯手机管家安全团队已经收到用户的相关举报，而且验证的确存在录制用户脸部视频的风险。一旦被诈骗份子利用可用于社工诈骗，比如人脸识别，熟人诈骗等。如何应对呢？ 首先，接通 FaceTime “ 电话 ” 后被直接盗取对方账号并不能实现，所以也不用太担心。但如果没有确定对方身份，不要随意接 FaceTime；万一接听了电话，可暂停关闭 FaceTime 功能（设置-FaceTime-关闭）建议开启 Apple ID 双重认证，除密码设置外，还要设置短信验证码。 稿源：cnBeta、快科技，封面源自网络；