（原标题：Warning over satellite security bugs） 网易科技讯 8 月 10 日消息，据国外媒体报道，一名安全研究人员警告称，飞机、舰船和军方使用的卫星系统中均含有可能让黑客控制它们的安全漏洞。 最严重的漏洞可能会让攻击者向卫星天线过度充电，从而损害设备或损害运营商利益。研究人员表示，其他漏洞可能会被用来泄露军事力量在特定地区的确切位置。 发现了这些漏洞的 IOActive 公司表示，其正在与制造商合作，以加强设备抵御攻击的能力。 “这些漏洞的后果令人震惊，” IOActive 公司的鲁本桑塔玛塔 (Ruben Santamarta) 在一份声明中指出。有关漏洞的相关细节将于当地时间周四晚些时候在拉斯维加斯举行的黑帽安全会议上公布。 桑塔玛塔表示，商用飞机上使用的是最容易受到攻击的设备。 他说，影响飞机的一些安全漏洞需要攻击者自己身处那架飞机上，但他也发现了“数百个”可以通过互联网远程访问的脆弱设备。 然而，其中没有一个漏洞能让攻击者访问用于控制飞行的航空电子系统。 桑塔玛塔同时表示，在船上和美国军事基地的卫星地面站中也发现了其他安全漏洞。 他说，在船舶系统上，攻击者极有可能会获得对卫星接收器的控制，从而能够进行窃听或通过提高天线的功率输出来破坏天线。 桑塔玛塔表示，自己通过控制代码中的后门获得了卫星通信系统的使用权。 其明确指出，这种后门并非恶意插入，但可能是在软件开发过程中添加的。 IOActive 表示，它推迟了公布调查结果的细节，而制造商则采取行动来消除这些漏洞。 据悉，早在 2014 年桑塔玛塔开始进行相关研究，当时发现了卫星通信系统和设备中的潜在问题。     稿源： 网易科技，封面源自网络；

行业分析师称，全球最大的代工芯片制造商台湾积体电路制造（台积电）上周爆发的计算机病毒导致的损害或可推迟 iPhone 生产。供应商在公司的计算机网络中安装了一个没有扫描病毒的软件后，一年多前 WannaCry 勒索软件的一个变体得以在上周五到周一这段时间入侵台积电的计算机系统和工厂工具。病毒导致机器崩溃不断重启。 尽管台积电表示制造业务在周一已经完全恢复，然而这次病毒事件可能会对“公司某些最先进的设备”造成损害，这些先进设备将用于制造苹果打算在今年出货的 iPhone 设备上配备的 A 系列芯片，台北市场情报咨询研究所资深行业分析师 Lee Cheng-hwa 说。此次事故发生于苹果的关键时期。上周苹果市值创下历史新高突破 1 万亿美元，公司正紧锣密鼓地准备着下个月备受市场期待的一年一度新款 iPhone 发布。 根据之前的报道，苹果很有可能会推出三款新 iPhone ，并同时对 iPad 和 Apple Watch 进行升级。所有这些设备在过去使用的都是台积电制造的芯片。鉴于台积电的工厂生产大量为 iPhone 设计的芯片，苹果是最有可能面临出货推迟的客户之一，但未必是受影响最严重的一个，分析师称。 台积电表示，病毒事件将推迟其芯片出货时间到九月底，但预计年底前可以恢复。生产设施受病毒感染期间，公司不得不关闭受病毒感染的制造工具和自动化处理系统，但周日已经恢复了 80% 的设施。 苹果未立即予以评论。台积电的一名发言人拒绝提供公司官方声明以外的更多信息。台积电将此次病毒事故归咎于一名未指明姓名人士在安装新软件时的操作失误。公司已在本周单独通知客户们关于交付事项的变更。 台湾投资咨询公司宽量国际（Quantum International Corp）高级顾问约翰·布里贝克（John Brebeck）认为，有些开发消费电子产品的开发商下了急单，他们等待台积电的任何延迟芯片时间可能会最长。客户和投资者一样都非常关心台积电发生的病毒事件，因为这是该芯片制造商首次发生这类事故。这样的病毒此前还从未“破坏过一家如此重要的公司，因此每个人都十分关注，”台北智库中华经济研究院研究人员 Wu Hui-ling 称。 同样这起事故还表明此类事件给全球电子供应链所能带来的重大干扰。为中国智能手机品牌开发处理器的美国芯片制造巨头高通也是台积电的一个客户。台积电不时也被看做是技术投资的领头羊，因为公司具有相对透明的管理体制和领先的芯片制造技术。但宽量国际的布里贝克认为，总的来说台积电不会受到病毒事故的太大影响，因为公司素来有着良好声誉。     稿源：cnBeta.COM，封面源自网络；

据外媒报道，来自 BBC 的一篇报道指出，有黑客攻入了美国职业高尔夫球运动员协会 (PGA) 服务器并将目标锁定在于本周举行的 PGA 锦标赛和即将在法国举行的莱德杯的市场宣传材料上。据了解，黑客用勒索软件锁住了 PGA 的电脑，很显然，他们的目的非常简单–付钱解锁。 据 Golfweek 披露，黑客要求主办方用比特币付款，至于具体多少金额并未公布。 据称，黑客们还给 PGA 工作人员留下一条警告信息，即不要试图破坏他们设置的加密程序。根据 Golfweek 的说法，这可能会导致某些文件将无法恢复，另外目前市面上还没有解开该加密程序的软件。 针对这一事件，美国 PGA 并未立即回应，不过一位发言人告诉 BBC ，PGA 锦标赛将不会因此受到影响。     稿源：cnBeta.COM，封面源自网络；

Snapchat 是一款主打“阅后即焚”功能的消息应用，不过近日，这款 app 的源码也在代码托管网上上玩了一回“阅后即焚”。事情的起因是，一位据说来自巴基斯坦东南部 Sindh 省 Tando Bago 村的“the handle i5xx”，在 GitHub 上创建了一个名叫“Source-Snapchat”的资源库。 尽管发稿时，该资源已经被 Snap 公司依据《数字千年版权法案》（DMCA）提出的版权撤除请求而被 GitHub 移除，但事件还是引起了很大的反响。 据悉，该资源库自称为‘SnapChat 源代码’，并通过苹果的 Objective-C 语言编写，所以曝光的应该是 iOS 版 Snapchat 应用的全部或部分内容。 不过当前，我们还无法确定它属于其中服务的一个小组件，还是该公司的一个单独项目。 至于发布者‘i5xx’的身份，其账号信息关联的是‘Khaled Alshehri’，但很可能是个假名。外媒 TNW 指出，其姓氏在巴基斯坦并不常见。 此外，账号简介链接到了一个位于沙特的在线服务，其提供从安全扫描、iCloud 删除，到软件开发和 iTunes 礼品卡销售在内的各种技术服务。 四天前，GitHub 发布了一份来自 Snap Inc. 的 DMCA 版权撤除请求，不过它可能是在更早之前提交的（在线时间或超过 2 个月）。 需要指出的是，Snap Inc. 在 DMCA 请求中使用的语气（多段纯大写字母组成的句子），传达出了一种切实的恐慌感（甚至措辞来不及做得更加严谨）。 Snapchat 源代码被泄露，有人将它放到了这个 GitHub 资源库中。我司无法给出确切的 URL 指向，也不会公开发布它。 显然，这从侧面反映了此前上传的资源库内容的重要性。 然而有知情者指出，本次泄露并非出于恶意，只是某位研究人员无法将他的某些发现传达给该公司。在 GitHub 根据 DMCA 请求撤除之后，他还威胁再次上传源代码，直到该公司正式作出回应。 不过事实是，Snap Inc. 在 HackerOne 上有一个活跃的账户和 bug 赏金计划，且响应速度极快 —— 安全研究人员是很容易与该公司取得联系的。 根据 HackerOne 的官方统计数据，其在 12 小时内回复了初步报告，并已支付超过 22 万美元的奖金。外媒 TNW 已经联系 Snap 发表评论，感兴趣的朋友可以留意我们的后续报道。         稿源：cnBeta.COM，编译自：TNW，封面源自网络；

据外媒 BGR 报道，去年美国联邦通信委员会（FCC）投票推翻了网络中立规则，此举是引发数百万人在发给 FCC 的评论中进行抗议。但随后美国联邦通信委员会的公众评论系统因技术故障而导致更多的人无法发表评论。美国联邦通信委员会曾对外宣称，这种技术故障是由于分布式拒绝服务（DDoS）攻击导致，这是一种常见的黑客攻击工具。 监察长办公室已对该问题进行了调查，并准备发布一份报告，该报告已提交给美国联邦通信委员会但尚未公开。然而美国联邦通信委员会的最新声明证实：“攻击”完全是假的。 关于报告的调查结果，我非常失望的是，美国联邦通信委员会的前首席信息官(被前任政府雇用并且不再在委员会工作)，向我、我的办公室、美国国会和美国民众提供了有关此事件的不准确信息。” FCC 主席 Ajit Pai 在一份声明中表示。“这是完全不可接受的。我也很失望有些在前首席信息官手下工作的人显然要么不同意他提出的信息，要么对此有疑问，但却不愿意向我或我的办公室传达他们的担忧。” 民主党联邦通信委员会专员 Jessica Rosenworcel 更简洁地指出：“监察长报告告诉我们我们一直都知道的事情：联邦通信委员会声称在网络中立程序中其成为 DDoS 攻击的受害者的说法是虚假的。” “在 Ajit Pai 的领导下，联邦通信委员会破坏了自己的公众评论程序。从忽略使用被盗名称和地址发表的数以百万计的欺诈性评论到对未曾发生的 DDoS 攻击的彻头彻尾的谎言，该机构肆无忌惮地放弃了维护公众言论自由的责任，“倡导组织 Fight for the Future 在一份声明表示。“ Pai 试图责怪他的工作人员，但这发生在他的监管之下，他一再阻挠立法者和新闻界试图得到答案。”   稿源：cnBeta.COM，封面源自网络；

据 AppleInsider 北京时间 8 月 5 日报道，苹果 iPhone、iPad 芯片代工厂商台积电遭到计算机病毒攻击，星期六数家工厂因此停产。在工厂设备感染病毒后，台积电数家工厂已经已停产。对于台积电和苹果来说，芯片制造工厂停产的时机很糟糕，因为台积电目前正在全力为苹果计划今年秋季发售的新款 iPhone 生产芯片。 台积电已经控制了病毒进一步蔓延，受影响工厂部分设备也已恢复生产，其他一些设备要到星期日才能恢复生产。由于芯片制造流程很长，因此生产过程中断可能会导致损失数周的产量。 虽然这次事故似乎是有针对性的攻击，但台积电称这次病毒攻击与网络入侵无关。这是台积电生产线首次因遭到病毒攻击停产。 台积电首席财务官何丽梅向彭博社表示，“台积电之前也曾遭到过病毒攻击，但病毒攻击影响生产线还是首次。” 台积电没有就造成的生产损失以及受影响的客户发表评论。传统上，在每年8月初，台积电绝大多数产能都用于为苹果生产 A 系列芯片。 对于各种 iPhone 组件，苹果通常会向多家供应商采购，但 A 系列芯片是个例外——目前只有台积电一家公司供应。2018 年发布的新款 iPhone 可能配置 A12 芯片。 最近，台积电预计本季度营收将增长“大一位数”，主要推动力量就是新款 iPhone。5 月份，AppleInsider 刊文称台积电已开始采用 7 纳米工艺为苹果生产 A12 芯片。   稿源：凤凰网科技，封面源自网络；

安全公司 Palo Alto 的一份报告指出，有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染，在其向 Google 安全小组报告了调查结果后，谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是，受感染的 APK 文件不会对 Android 设备本身构成任何威胁，因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染，原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染，也就是说开发者在被感染后，不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序，利用软件开发人员来实施大规模攻击的策略，在此之前已经有过案例，如 KeRanger、XcodeGhost 和 NotPetya 等，对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间，这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中，有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出，在这些受感染的应用程序中，一个 APK 可能包含多个不同位置的恶意 PE（Portable Executable）可执行文件，它们的文件名不同，并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出，仅它们就覆盖了所有受感染 APK，主要功能是记录键盘输入，以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心，Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动： 在 Windows 系统文件夹中创建可执行文件和隐藏文件，包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为，那么请及早排查，避免进一步受伤害。   稿源：开源中国社区，封面源自网络；

GitHub 宣布了 Python 安全警告，使 Python 用户可以访问依赖图，并在他们的库所依赖的包存在安全漏洞时收到警告。 安全警告首次发布是在 2017 年 10 月，为了跟踪 Ruby 和 JavaScript 程序包中的安全漏洞。据 GitHub 介绍，从那时起，数以百万计的漏洞被发现，推动了许多补丁的发布。 GitHub 会根据 MITRE 的公共漏洞列表（CVE）来跟踪 Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表；每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。 当 GitHub 收到新发布的漏洞通知，它就会扫描公共库（已经选择加入的私有库也会被扫描）。当发现漏洞时，就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下，用户每周都会收到一封邮件，其中包含多达 10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或 GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。 在某些情况下，对于发现的每个漏洞，GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接，如果有的话，它还会提供 CVE 记录的链接和修复建议。通用漏洞评分系统（CVSS）定义了四种可能的等级，分别是低、中、高和严重。 据 GitHub 介绍，开始的时候，安全警告只会涵盖最新的漏洞，并在接下来的数周内添加更多 Python 历史漏洞。此外，GitHub 永远不会公开披露任何库中发现的漏洞。 依赖图列出了项目的所有依赖，用户可以从中看出安全警告影响的项目。要查看依赖图，在项目中点击 Insights，然后点击 Dependency graph。 要在 Python 项目中使用依赖图，需要在 requirements.txt 或 pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在 requirements.txt 文件中定义依赖。 要了解更多信息，请查看 GitHub文档。   稿源：开源中国社区，封面源自网络；

周二，惠普宣布了第一个专门针对其打印机的 bug 赏金计划，为能够在其机器上发现漏洞的黑客提供高达1万美元的奖励。Bug 赏金是公司发现安全漏洞的常见方式，对于严重漏洞酬金支付可高达 10 万美元。在恶意使用漏洞之前，黑客已经能够在大公司获得一个全职工作来软件并报告错误。像谷歌和 Facebook 这样的公司已经将漏洞奖金作为加强其产品安全性的一种方式。 惠普在5月份悄然启动了计划，有 34 名研究人员报名参加。该公司负责打印机安全的首席技术专家 Shivaun Albright 上周接受采访时说，它已经向一名发现其打印机存在严重缺陷的黑客支付了 1 万美元。她说，由于物联网设备的漏洞，该公司专注于打印机安全性。 Albright 说，虽然人们非常关注连接设备及其安全漏洞，但它通常用于网络摄像头，智能电视或灯泡，而不是打印机。惠普技术专家指出，打印机可能是人们拥有的最古老，最常见的物联网设备。它们已经存在了很长一段时间，甚至在“物联网“一词出现之前，问题是，为什么客户不将打印机视为物联网？ 2016 年，Mirai 僵尸网络 – 一个庞大的黑客攻击设备网络，曾经在网上造成严重破坏 – 导致网络中断，导致 Twitter，Netflix 和 Reddit 等热门网站遭遇破坏。 Albright 说，僵尸网络使用黑客入侵的物联网设备，如网络摄像头和 DVR，但打印机也是这种组合的一部分。 HP 的 bug 赏金计划将通过 Bugcrowd 运行，这是一个促进支付和邀请的平台。该程序目前是私有的，邀请研究人员加入。奥尔布赖特表示惠普有意将其公开，但目前仍在关闭状态以更好地管理发现的漏洞。受邀研究人员可以从他们家里的电脑上远程访问 15 台打印机，这些打印机在惠普的办公室中被隔离，他们可以窥探这些打印机，找到隐藏的漏洞。Albright 表示，对于 1 万美元的支付，研究人员必须找到严重的缺陷，例如远程代码执行，这将允许攻击者完全控制打印机。如果他们发现并报告任何缺陷，HP 将支付他们的发现费用，然后在下次更新时开始修复。   稿源：cnBeta.COM，封面源自网络；

据外媒报道，昨日，谷歌公布了一项惊人的统计数据，这家公司指出，自 2017 年年初开始，其 8.5 万名职工的工作账号未曾遭到过泄露。作为一家全球性的互联网巨头公司，按理说它会是钓鱼攻击的主要目标之一，那这家公司究竟是如何做到这点的呢？ 这是因为谷歌开始要求其员工使用硬件安全密匙进行双重身份认证。 如今，双重认证已经变得非常普遍，但并非所有方法都是一样安全的。像基于 SMS 的双重认证，其肯定比只使用密码保护账号更安全，但它却存在漏洞。而物理密匙现在则被广泛认为是一种更加安全的双重认证，谷歌于昨日提出的主张就支持了这一观点。 对此，当看到谷歌开始涉足安全密匙业务领域也就不足为奇了。今日，这家公司发布了一款叫做 Titan 的新产品，这是一款兼容 FIDO 的物理密匙，它可用来保护支持该硬件的账号。眼下，来自世界各地的大型网站都已经支持通过安全密匙进行双重认证的方式，包括 Facebook、Twitter。 据了解，Titan 将有两个版本：USB 版和蓝牙版。USB 版，很显然需要将设备插到电脑的 USB 端口展开认证，而蓝牙版则用于移动设备的无线认证。获悉，两款密匙设备的套装价将在 50 美元左右，单独购买的话售价大概是 20 美元或 25 美元。 目前，Titan 只适用于 Google Cloud 用户–他们可以在注册后免费试用–但谷歌表示，他们将很快通过 Google Store 向所有人提供这项服务。   稿源：cnBeta.COM，封面源自网络；