据外媒报道，安全研究人员近期发现黑客组织 OurMine 攻击 PlayStation 官方推特和脸书账号后，宣称自身已窃取 PSN 数据库信息，并且要求索尼的员工和他们联系。 OurMine 是一个自称为安全黑客团队，他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在前几天他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号（注：窃取 1.5TB 数据的并非 OurMine 团队），但 OurMine 宣称 “ 在测试安全性 ”。此前他们还曾窃取过维基百科合作创始人 Jimmy Wale s的全球维基媒体账号、黑过 Youtube 旗下媒体的账号并且修改了 300 多个知名油管账户的视频描述——都被改成了转向 OurMine的 网站链接。 据悉，在窃取了PlayStation官方推特和脸书账号后，OurMine黑客团队抓紧时间发了几条推文，大多数依然是给自己打广告，例如：“这里是 OurMine，我们是一个安全团队，如果你在 PlayStation 工作请和我们联系——这是我们的网站链接。” 不过让不少人担忧的是，OurMine 在推特上宣称他们还窃取了 PSN 数据库，不过他们拒绝将这些数据公开：“不，我们不会公开数据。我们是一个安全团队，如果你在 PlayStation 工作，请前去我们的官方网站。” 索尼很快取回了账号权限并且删除了 OurMine 发布的几条推特/博文。不过 OurMine 黑客团队还是用官方推特狠狠地刷了一波存在感。至于 PSN 数据库是否真的被黑了，我们也不得而知。就目前来看，这只是一场尴尬的闹剧。 稿源：cnBeta、GamerSky游民星空，封面源自网络；

8 月 22 日消息，得益于中国互联网的消费浪潮，阿里巴巴集团、腾讯、百度等互联网公司最近的季度业绩均表现强劲，今年股价也持续上扬，但它们也面临着不容小视的风险。 在最近一个季度，中国的科技巨头们纷纷超过市场对它们的业绩预期，进一步推升了它们的股价。BAT 百度、阿里巴巴和腾讯以及第二阵营的京东、微博和网易，均处在中国互联网的消费浪潮（在手机上购物、玩游戏、看视频等等）上。下面从五个方面来深入了解中国互联网行业当前的态势。 强者愈强 图：全球市值最高的十家企业 上一季度，按市值来算，腾讯和阿里巴巴均跻身全球十大企业之列。它们的股价气势如虹，今年以来均已经累计上涨超过 70%。目前，这两大巨头在全球企业市值排行榜上分列第七位和第八位。当然，处在最大企业的行列也意味着它们会更多地被拿来与比它们体量更大的公司来做比较：阿里巴巴和腾讯的市值加起来也没有苹果高。 再来看看那些排在它们身后的中国互联网公司。京东股价进入今年以来也已经飙涨超过 70%，目前市值达到 620 亿美元。作为中国科技三巨头的早期明星，百度近年来因为其核心的搜索引擎业务的一连串丑闻以及没能及时识别移动趋势而陷入困境。不过，投资者似乎看好该公司在人工智能领域的雄心壮志，因而它的市值已经被推升至 780 亿美元。它的股价在财报发布之前相当强势，市值一路反弹。 具有中国特色的盈利 中国互联网公司的运营成本正呈现上升。内容版权的争夺白热化，因而价格水涨船高；围绕用户的竞争也引发巨额的补贴优惠活动，与此同时，AI等领域的巨资布局还远未能够带来营收贡献。对于一些公司来说，运营利润率正在下降，数项业务陷入亏损。 像阿里巴巴和腾讯这样的公司则没有受到这些问题的困扰。腾讯总裁刘炽平表示，支付业务的意义在于支持整个生态系统和其它的业务。“它的目标并不是赚钱。”阿里巴巴副董事长蔡崇信（Joe Tsai）也指出，“当我们能够为我们的客户创造价值的时候，股东价值也会随之到来。”在中国科技行业，“再投资”往往意味着提供补贴，或者购得市场份额。 广告业务 图：全球数字广告收入最高的五家公司 广告业务可以说全球科技行业很重要的收入来源，但中国并非如此。腾讯旗下的微信和 WeChat 合并月活跃用户量（MAU）达到 9.63 亿，接近于 Facebook 20 亿用户规模的一半。但根据市场研究机构eMarketer的数据，腾讯今年的数字广告收入预计将接近 70 亿美元，相比之下，Facebook 的数字广告收入则预计达到 360 亿美元以上。 这种差距可以从两个角度来看：要么没有抓住市场机会，要么市场还有不小的增长空间。据业内人士估计，该公司的数字广告收入处于增长当中，但增长比较缓慢。这与腾讯总裁刘炽平的展望相吻合：他想要提升广告的质量而非数量，因此在投放广告库存上非常保守谨慎，目前他们也不必急于推出大量的广告库存。 持续进化，保持竞争力 图：对比微博和 Twitter 的 Q2 月活跃用户量、盈亏状况和市值 新浪微博 2014 年 4 月上市的时候体量还明显小于 Twitter，融资额只有 2.85 亿美元，也总是处于亏损状态。如今，3 年多过去，它却已经将 Twitter 甩在身后了。它之所以能够强势超越它的美国同行公司，是因为它能够保持迎合它的用户（主要是年轻用户）的需求，进军视频直播等领域，吸引各界知名人士进驻它的平台，进而吸引了大批的粉丝。 微博最初或许很像 Twitter，但现在它已经演变成 Twitter、YouTube 和 Facebook 的混合体。同样重要的是，它新增的功能通常都能收到成效，这是它与 Twitter 的一大区别。后者曾力推的短视频移动应用 Vine 没能走红，现已关闭。 监管风险 在中国科技行业，假定政府的政策会“有利于国内公司，不利于外国公司”的日子早已经一去不复返了。随着监管力度加大，本地的公司也会受到波及。腾讯没少吃亏。7 月 4 日，在被政府批评旗下的爆红手游《王者荣耀》容易让人上瘾以后，该公司的股价应声下跌，市值一下子蒸发掉 151 亿美元。之后，它不得不开始限制儿童每天玩该款游戏的时间。该公司在它的官方社交媒体账号中称，它实施的新规是迄今为止最严厉的防沉迷措施。上周，腾讯再遭打击，它与百度和微博被指传播“危害社会秩序的”内容。 除了内容以外，中国政府似乎也意识到了私有公司的巨大影响力，正采取行动让行动迟缓的国有企业重新回到竞争中来。本月早些时候，中国央行下发文件，明确要求非银支付机构网络支付业务由直连模式迁移至网联平台处理，促使腾讯和阿里巴巴旗下的支付服务与竞争对手分享富有价值的交易数据。另外，BAT 也被引入国有企业中国联通的混改，共计出资 200 多亿人民币。 稿源：cnBeta、网易科技，封面源自网络；

谷歌于 8 月 22 日正式发布下一代安卓操作系统 Android Oreo（奥利奥）。新系统将带来从改进的提醒系统到画中画支持，再到全新 emoji 的多项新功能。新系统将带来一项类似 iOS 的名为 Notification Dots（相当于应用角标），提醒用户哪个应用有新的内容可以显示。长按某个应用图标现在可以显示一些信息，比如最新收到的提醒等，与 iOS 上的 3D Touch 类似。 “画中画”支持用户在使用其他应用时继续观看视频，还为用户带来自动填写用户资料的功能，方便注册视频服务的用户。另外，新系统还带来了诸多 Unicode 10 标准的表情符号。 尽管谷歌自家的 Pixel 和 Nexus 手机的用户可以很快获得升级，但其他安卓用户想要升级至 Oreo 系统就需要等上一段时间了。要知道上一代安卓系统“牛轧糖”到现在的用户安装率也只有 13.5%，该系统已经发布一年了。大部分安卓用户目前还在使用 2、3 年前发布的 Android 5.0 Lollipop 和 Android 6.0 Marshmallow。这与 iOS 用户的体验形成了鲜明对比。 可升级 Android 8.0 机型列表： ○ Nexus 5X ○ Nexus 6P ○ Nexus Player ○ Pixel C ○ Pixel （Telstra、Rogers、TMO、Sprint、USCC、Project Fi） ○ Pixel （other carriers） ○ Pixel XL （Telstra、Rogers、TMO、Sprint、USCC、Project Fi） ○ Pixel XL （other carriers） 稿源：cnBeta、MacX，封面源自网络；

据外媒 8 月 20 日报道，前美国国家安全局（NSA）合同制员工爱德华·斯诺登（Edward Snowden）最新曝光的 NSA 文档揭露了美国在澳大利亚北部偏远小镇设立的一家秘密设施机构，以密切监测无线通信信号、协助美军展开军事行动。  调查显示，该文档来自斯诺登于 2013 年从 NSA 窃取的大量机密资料，介绍了美国政府全球监控计划的规模。美国知名新闻媒体 The Intercept 在线公布该机密文档详细内容，其中提及了这家代号为 “ Rainfall ”、正式名称为 “ Pine Gap 联合防务设施 ” 的秘密机构。 Pine Gap 位于爱丽丝泉城外，以支持美国与澳大利亚的国家安全为目标，部署了帮助美军特种部队与无人机设施定位目标的先进卫星技术，在核查军控与裁军协议并监督军事发展方面做出重大贡献。此外，Pine Gap 实际功能要比澳大利亚或美国政府公开承认的能力更为强大。 Pine Gap 使用的卫星 geosynchronous 位于地表上空逾 20,000 英里的轨道，其通过配备强大的监控地面无线通信信号（例如：移动设备、无线电与卫星上行链路发射与接收的信号）技术实现 “ 对地同步 ”。据透露，这些卫星除收集军事战略与战术、科学、政治、经济通信信号、密切关注目标国家导弹或武器测试外，还窃取境外国家军事数据系统情报、为美军提供监控支持。 此外，该设施机构不仅收集信号，还会对其进行分析，因为它几乎可以对地面至太空的导弹、高射炮或战斗机进行侦测、收集、记录、处理、分析与输出报告。据《悉尼先驱晨报》于 2013 年报道，Pine Gap 在一项颇具争议的美军无人机行动中扮演重要角色，导致数百名无辜平民伤亡。 五眼联盟成员内部分享秘密情报并不罕见，但在特朗普领导下，无人机与特种部队作战数量较以往翻一番，这在一定程度上放松了防止空袭造成平民伤亡的战场规则，尽管 Pine Gap 官员一再声辩将平民伤亡数量减少到最小程度属于高优先级。 原作者：Check Point，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

流行的商业社交网络 LinkedIn 已在全球 200 多个国家拥有超过 5 亿会员。无论您是一名经理想要扩大团队力量还是一名毕业实习生寻找求职机会，LinkedIn 都是扩展职业关系的首选之地。其中该网站最常被使用的平台 Messenger 允许用户轻松发送简历、传递学术研究并在线分享职位描述。 据外媒 8 月 18 日报道，Check Point 研究人员发现 LinkedIn Messenger 平台存在多处高危漏洞，能够允许攻击者肆意传播恶意软件。目前，为保护用户信息安全，LinkedIn 只允许用户通过 Messenger 平台发送的文件类型有： 文件：csv、xls、xlsx、doc、docx、ppt、pptx、pdf、txt； 图片：gif、jpeg、jpg、png； Check Point 研究人员在一次试验中发现，攻击者可以绕过 LinkedIn 安全防御限制，并将恶意软件附加至 Messenger 服务模块，以感染收件人的系统网络。最终 Check Point 确定四处安全漏洞并于今年 6 月 14 日通知 LinkedIn，LinkedIn 安全团队经检测研究后在 6 月 24 日提供了修复补丁。 ○ 漏洞 1：编写恶意 PowerShell 脚本 攻击者编写了一份恶意 Power Shell 脚本，并将其保存为 .pdf 格式后上传至 LinkedIn 的 CDN 服务器： 然后攻击者继续发送 .pdf 文件。与此同时，攻击者在此阶段控制文件名称（Name 参数）、文件格式（MediaType 参数）与文件扩展名。当受害者下载并打开文件时，将会当即执行 Payload 、感染受害者设备。 ○ 漏洞 2：更改注册表文件数据 REG 是可以在 Windows 注册表数据库中进行更改的文件类型。简而言之，注册表包含重要数据，如程序参数、动态窗口模块、安装/卸载程序列表等。REG 文件类型主要为高级用户设计，以便他们更容易地执行所有更改而不是手动应用。然而，攻击者就是通过制作一个包含恶意 PowerShell 脚本的 REG 文件，并将其伪装成 .pdf 格式后通过 LinkedIn 平台发送给目标受害者。当受害者打开文件并触发恶意软件后，攻击者即可控制用户设备。 ○ 漏洞 3：注入宏病毒代码 攻击者编写了一份嵌入宏病毒的恶意 XLSM 文件，允许绕过杀毒软件检查后成功上传至 LinkedIn 的 CDN 服务器并发送给受害者。当受害者打开恶意 XLSM文 件时，受害者设备将当即遭受感染。 ○ 漏洞 4：编写包含 OLE 的恶意文件（CVE 2017-0199） 攻击者通过编写包含外部对象的恶意文件 DOCX 后，上传至 LinkedIn 的 CDN 服务器并绕过杀毒软件发送给受害者。当受害者打开恶意 DOCX 文件时，WINWORD 会通过目标对象链接自动下载并运行 HTA 文件。一旦成功执行 HTA 文件，受害者设备将当即遭受恶意软件感染。（观看演示效果可点击此处） 原作者：Check Point，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

电子前哨基金会（EFF）宣布，告密者 Chelsea Manning、Techdirt 创始人 Mike Masnick 和言论自由捍卫者 Annie Game 赢得了2017 年度的 EFF 的先锋奖，认可他们是扩大电子前哨自由和创新的先锋。 颁奖典礼将于 9 月 14 日举行。Chelsea Manning 是美国前陆军情报分析师，在伊拉克服役期间泄漏了美国数十万份机密战争文件和国务院外交密电。此前，她被判 35 年徒刑，今年 1 月离任的美国总统奥巴马减免了她的剩余刑期。Mike Masnick 是史翠珊效应的提出者，Annie Game 是 IFEX 全球公民自由和记者组织的执行董事，在十多年里致力于解救被关押的记者和捍卫被专制政府打击的在线活动人士。 稿源：solidot奇客，封面源自网络；

根据外媒消息，SANS 互联网中心的一名自由安全顾问和 Handler 在微软 Word 中发现了一个非常有趣的漏洞，允许攻击者滥用 Word 程序自动更新链接的功能。这是一项默认启动的功能，当用户添加外部来源链接时，Word 就会自动更新这些链接而无任何提示。 安全顾问 Xavier Martens 在自己的博客文章中解释了这个漏洞：“感染载体文件可（’N_Order＃xxxxx.docx with 5 random numbers）作为附件被接收，它具有把链接嵌入到另外一个文件的能力，这是一个试图利用漏洞（ CVE 2017-0199） 的恶意 RTF 文件。” CVE 2017-0199 是一个高危漏洞，允许黑客在用户打开包含嵌入式的文档时下载并执行包含 PowerShell 命令的 Visual Basic 脚本。此外 FireEye 也观察到了 Office 文档利用 CVE 2017-0199 下载来自各个不同知名恶意软件家族的可执行恶意软件。 利用 CVE 2017-0199，Word 文件可访问恶意 RTF 文件，如果成功，它会自动下载一个 JavaScript 有效载荷，而链接的更新会在没有用户交互的情况下触发，它不会对用户发出操作提示警告。这似乎引起了恶意软件代理商的关注，除了 FireEye 发现 CVE 2017-0199 已经被利用之外，Trend Micro 也发现了这个问题。不过，用户如果在 4 月份的时候更新了 CVE 2017-0199 的补丁，可以免受这个攻击威胁。 稿源：威锋网，封面源自网络；

FBI 警告私营部门停止使用俄罗斯安全公司卡巴斯基的安全软件，声称它是国家安全的威胁。FBI 的目的是让美国企业尽可能快的从其系统中移除卡巴斯基。 据悉，FBI 优先警告能源行业以及使用工业控制系统和 SCADA 系统的企业。与此同时，俄罗斯也正努力移除美国科技公司如微软的操作系统。彭博商业周刊此前报道称，卡巴基斯与俄罗斯情报机构有着比它声称的更密切的合作关系。卡巴斯基则坚称它与该国政府没有任何不恰当的关系，它与政府合作主要是打击网络犯罪。 稿源：solidot奇客，封面源自网络；

据外媒报道，一群学生黑客演示了如何使用音乐将智能设备变成监听仪器。这种技术将人耳听不到的声呐信号植入到智能手机或电视机播放的歌曲中，然后利用这些设备的麦克风或音箱来监听声呐信号的反射方式，从而跟踪附近人的一举一动。 华盛顿大学的研究团队 CovertBand 是这项技术的开发者。他们利用一台 42 英寸的夏普电视机在西雅图五个不同的家庭里分别进行了试验。他们发现，这种技术能够准确跟踪监听 18 厘米范围内多个人的一举一动，甚至能够区分他们的特定动作和姿势。这项技术还能够隔着墙壁监听人们的举动，但是准确率相对较低。此外，他们还通过演示证明，聆听音乐的人无法区分含有隐藏声呐信号的歌曲和不含有声呐信号的歌曲。 至于在智能设备中植入恶意代码，那就更简单了。近些年，智能设备不断涌现，它们已被证明很容易遭到黑客攻击，而智能手机就更容易遭到黑客攻击了。CovertBand 只需要一个音箱或麦克风就可以将智能电视机或智能手机变成监听器。 稿源：腾讯科技，封面源自网络；

Chrome 和 Firefox 主要浏览器开发商正致力推动 Web 的 HTTPS，逐渐采取措施对 HTTP 网页显示不安全警告。 据悉，Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始，Chrom 62 将会增加两种不安全警告的显示情况：用户在 HTTP 页面输入数据，或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有 HTTP 网页标记为不安全。 稿源：solidot奇客，封面源自网络；