根据 0day 中介公司 Zerodium 周三公布的最新收购报价，该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和  Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示，该公司对 iPhone 越狱方法开出了最高 150 万美元（零用户交互）和 100 万美元的收购价。 这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年，阿联酋被发现将以色列公司  NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上，而根据NSO Group 的价格表，300个 许可证需要花费 800 万美元。 稿源：cnBeta、solidot，封面源自网络；

卡巴斯基实验室（ Kaspersky  Lab ）研究人员于  23 日发布《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告》，指出在全球电子邮件流量中垃圾邮件的平均份额已达到 56.97％，相比上一季度增长 1.07 个百分点。调查显示，其中多数群发的垃圾邮件均以各种研讨会与培训为主题附带恶意软件进行肆意传播。 图一：2017 年第二季度十大最受 “ 欢迎 ” 的恶意软件家族 报告指出，卡巴斯基反钓鱼系统于 2017 年第二季度成功阻止全球用户超过 4650 万次的网络钓鱼页面访问。目前全球有 8.26% 的目标用户受到 “ 钓鱼者 ” 攻击，值得注意的是，“ 钓鱼者 ” 在早期攻击活动中依靠用户的粗心与低水平技术窃取敏感数据，然而，随着用户变得越来越精通网络，钓鱼者不得不想出新颖的花样引诱用户访问钓鱼网站，比如伪造知名组织域名。 图二：攻击者伪造苹果域名页面 研究人员表示，巴西（18.09％）是 2017 年第二季度受到网络钓鱼攻击影响最大的国家，尽管其份额比上季度下降 1.07 个百分点。此外，遭受攻击的中国用户百分比下降 7.24 个百分点（达 12.85％），目前居全球第二。 图三：2017 年第二季度受网络钓鱼攻击最为严重的十大国家 图四：2017 年第二季度反钓鱼系统被触发的用户数量分布 图五：2017 年第二季度垃圾邮件来源国家 研究人员在不同类别的金融组织中发现，银行（23.49％，-2.33 pp）、支付系统（18.40％，+4.8 pp）与在线商店（9.58％，-1.31 pp）是 2017 年第二季度网络钓鱼攻击的主要目标。 图六：2017 年第二季度，不同类别的金融组织受网络钓鱼攻击影响分布 卡巴斯基研究人员提醒用户不要轻易点击非官方域名或打开未知名电子邮件、关闭网络文件共享功能并确保用户安装全方位杀毒软件以避免遭受网络钓鱼攻击。 卡巴斯基详细报告内容请点击右侧链接《 Spam and phishing in Q2 2017 》 原作者：Kaspersky  Lab， 译者：青楚    本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2015 年 4 月美国前跨州彩票协会信息安全负责人 Eddie Raymond Tipton 被控纂改生成随机数的电脑，操纵中奖号码使其自己多次中彩，赢得了数千万美元的彩票奖金。 据悉，Tipton 在生成随机数的电脑上安装了一个动态链接库（DLL），这个程序设计在特定条件满足后触发，这些特定条件与彩票开奖日期有关。在条件满足之后程序将重定向生成器不生成随机数，而是使用一个 Tipton 能提前预测的算法产生中奖号码。本周，他被判 25 年徒刑。Tipton 称他真的很后悔，对所有他伤害的人表示歉意。 稿源：solidot奇客，封面源自网络；

今年 7 月，苹果推出了 “ Apple Machine Learning Journal ” 在线博客。这个博客会定期分享苹果在机器学习、AI 和其他相关领域的进展。苹果分享的文章全部由苹果工程师写出，这也给予了他们分享自己进度以及与其他研究人员、工程师沟通的方式。 苹果于 8 月 24 日在机器学习博客分享了 3 篇新文章，都是关于 Siri 技术的。对于普通用户来说，第一篇文章可读性更高一些，主要涉及 iOS 11 中 Siri 语音助手的深度学习。 另外两篇文章主要提到了日期、时间和其他数字的呈现技术，以及 Siri 如何支持更多语言。 苹果机器学习播客在线分享的 3 篇文章包括： ○ 《 Deep Learning for Siri’s Voice: On-device Deep Mixture Density Networks for Hybrid Unit Selection Synthesis 》 ○ 《 Inverse Text Normalization as a Labeling Problem 》 ○ 《 Improving Neural Network Acoustic Models by Cross-bandwidth and Cross-lingual Initialization 》 稿源：cnBeta、威锋网，封面源自网络；  

安全公司 Lookout Security Intelligence 研究人员近期发布报告，宣称浙江每日互动网络科技股份有限公司（个推）提供的个信广告 SDK 被内置后门，允许下载与执行任意代码。 据悉，用户最初下载的应用也许是干净的，但广告 SDK 通过向个信服务器发送请求后悄悄下载加密文件、引入恶意功能、收集用户个人数据。此外，个信广告还可以随时引入恶意间谍软件。研究人员表示，不是所有版本的个信广告 SDK 都含有后门，包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。 目前，在 Google 官方应用商店 Google Play，超过 500 款应用使用了恶意版本的个信广告 SDK，这些应用的下载量超过一亿次。Google 在接到通知后从官方商店移除了恶意版本，或者更新到了使用非侵入式 广告 SDK的版本。 稿源：solidot奇客，封面源自网络；

信息安全研究人员 Will Strafach 近期刊文，指出著名气象预报公司 AccuWeather 的 iOS 应用偷发 GPS 坐标至合作的三方数据商 Reveal Mobile，即使在系统关闭定位分享权限时，AccuWeather 应用仍会向其发送用户无线路由 BSSID、蓝牙状态等。 由于在用户关闭定位服务时，AccuWeather 仍会向 Reveal Mobile 发送无线路由名称和 BSSID，因此 Strafach 怀疑该偷发数据用来监控用户定位。在 Strafach 36小时的测试时间内，未在测试 iPhone 前台运行的 AccuWeather 应用总共向 Reveal Mobile 发送了 16次 信息，几乎每个数小时就会发送。 Reveal 是一家向各出版商、开发者或媒体提供用户数据信息服务的公司。Reveal 通过app、gps、或蓝牙 beacon 三种途径监测用户数据。AccuWeather 是其合作应用，含有 Reveal 的监控 SDK。 作为回应，Reveal 声称所有数据的采集均是匿名、用户细分的，无意采集设备的个人定位信息，而且该公司的 SDK 并未在设备禁用定位服务的情况下，逆向工程收集用户设备的定位信息，Reveal 调查当前版本 SDK 的行为后，确实发现令人误解的行为，Reveal 会发布新版本的 SDK，确保在禁用定位服务时不再发送任何用户设备信息。 AccuWeather 也和 Reveal 发布联合回应，称应用并不会在禁用定位服务或者禁用授权的情况下，收集用户的 GPS 坐标信息。在禁用定位服务时发送的用户无线路由名称和 BSSID 是 Reveal SDK 的行为，AccuWeather 并不知情。而且 Reveal 确保该数据并不会用于记录用户定位，而且在新版本 SDK 中会取消。 稿源：cnBeta，封面源自网络；

据外媒报道，或许人们需要一段时间才能让机器人为他们的生活带来真正的便捷，但等到那个时候，持有者必须要确保他的机器人是安全的才行。日前，来自西雅图的网络安全公司 IOAcitve 展示了如何攻击大量热门机器人–包括 Pepper 的技术。 被攻破的机器人将会变为一台监控设备，将向攻击者传输来自持有者的语音、视频，或是远程控制机器人对持有者进行伤害。 图：机器人 Pepper 研究人员表示，由于机器人 Alpha 2 个头娇小，因此持有者可以快速避开它的攻击，但随着技术的不断进步发展，未来势必会有更大型的机器人出现，而这对于人类来说将可能会成为一个威胁。除了 Pepper、Alpha、Nao等家用机器人之外，IOAcitve 还攻破了由 Universal Robotics 制造的工业机械臂。一旦它们被不法分子利用，那么就很有可能会对它们的人类同事造成伤害。IOAcitve 告诉媒体，Universal Robotics 机械臂拥有强大力量，即便它在非常慢的速度下运行，它的力量仍足够造成颅骨骨折。 稿源：cnBeta，封面源自网络；

谷歌于 8 月 22 日正式发布下一代安卓操作系统 Android Oreo（奥利奥）。新系统将带来从改进的提醒系统到画中画支持，再到全新 emoji 的多项新功能。新系统将带来一项类似 iOS 的名为 Notification Dots（相当于应用角标），提醒用户哪个应用有新的内容可以显示。长按某个应用图标现在可以显示一些信息，比如最新收到的提醒等，与 iOS 上的 3D Touch 类似。 “画中画”支持用户在使用其他应用时继续观看视频，还为用户带来自动填写用户资料的功能，方便注册视频服务的用户。另外，新系统还带来了诸多 Unicode 10 标准的表情符号。 尽管谷歌自家的 Pixel 和 Nexus 手机的用户可以很快获得升级，但其他安卓用户想要升级至 Oreo 系统就需要等上一段时间了。要知道上一代安卓系统“牛轧糖”到现在的用户安装率也只有 13.5%，该系统已经发布一年了。大部分安卓用户目前还在使用 2、3 年前发布的 Android 5.0 Lollipop 和 Android 6.0 Marshmallow。这与 iOS 用户的体验形成了鲜明对比。 可升级 Android 8.0 机型列表： ○ Nexus 5X ○ Nexus 6P ○ Nexus Player ○ Pixel C ○ Pixel （Telstra、Rogers、TMO、Sprint、USCC、Project Fi） ○ Pixel （other carriers） ○ Pixel XL （Telstra、Rogers、TMO、Sprint、USCC、Project Fi） ○ Pixel XL （other carriers） 稿源：cnBeta、MacX，封面源自网络；

电子前哨基金会（EFF）宣布，告密者 Chelsea Manning、Techdirt 创始人 Mike Masnick 和言论自由捍卫者 Annie Game 赢得了2017 年度的 EFF 的先锋奖，认可他们是扩大电子前哨自由和创新的先锋。 颁奖典礼将于 9 月 14 日举行。Chelsea Manning 是美国前陆军情报分析师，在伊拉克服役期间泄漏了美国数十万份机密战争文件和国务院外交密电。此前，她被判 35 年徒刑，今年 1 月离任的美国总统奥巴马减免了她的剩余刑期。Mike Masnick 是史翠珊效应的提出者，Annie Game 是 IFEX 全球公民自由和记者组织的执行董事，在十多年里致力于解救被关押的记者和捍卫被专制政府打击的在线活动人士。 稿源：solidot奇客，封面源自网络；

据外媒报道，一群学生黑客演示了如何使用音乐将智能设备变成监听仪器。这种技术将人耳听不到的声呐信号植入到智能手机或电视机播放的歌曲中，然后利用这些设备的麦克风或音箱来监听声呐信号的反射方式，从而跟踪附近人的一举一动。 华盛顿大学的研究团队 CovertBand 是这项技术的开发者。他们利用一台 42 英寸的夏普电视机在西雅图五个不同的家庭里分别进行了试验。他们发现，这种技术能够准确跟踪监听 18 厘米范围内多个人的一举一动，甚至能够区分他们的特定动作和姿势。这项技术还能够隔着墙壁监听人们的举动，但是准确率相对较低。此外，他们还通过演示证明，聆听音乐的人无法区分含有隐藏声呐信号的歌曲和不含有声呐信号的歌曲。 至于在智能设备中植入恶意代码，那就更简单了。近些年，智能设备不断涌现，它们已被证明很容易遭到黑客攻击，而智能手机就更容易遭到黑客攻击了。CovertBand 只需要一个音箱或麦克风就可以将智能电视机或智能手机变成监听器。 稿源：腾讯科技，封面源自网络；