HBO 网络上月遭黑客入侵，内部泄露 1.5 TB 资料的消息不胫而走，甚至有人在线看到还未播出的热门剧集《 权利的游戏 》第七季内容。由于 HBO 旗下包括该剧在内多部热播影视剧泄露，所以事件逐步升温，引发全球关注。 据悉，警方近期在印度逮捕 4 名泄露 HBO 热门剧集《权力的游戏》内容的犯罪嫌疑人。警方称，这 4 名嫌疑人未经授权在线放出第七季第四集资源，目前他们被控犯下 “ 违反失信与电脑相关的罪行 ”，其泄露的内容来自 HBO 在印度的发行方 Star India。 HBO 在声明中表示，被逮捕的 4 个人跟技术供应商 Prime Focus Technologies 有关。另外它还指出，这是他们公司第一次遇到这样的事件，对于警方的快速响应和行动他们深表感激。对此，HBO 并未置评。值得一提的是，印度这起泄露事件跟 HBO 近期遭遇的黑客攻击并没有关系。 稿源：cnBeta，封面源自网络；

Google 安全团队在许多 Chrome 扩展开发者成为钓鱼攻击目标后向他们发出安全警告。据悉，这波钓鱼攻击始于六月中旬，直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ，攻击者推送更新在扩展中加入广告后才被人所熟知。 攻击者诱骗开发者的钓鱼邮件内容类似，都是伪装成来自 Google，通知扩展开发者违反了 Chrome Web Store 的规则，需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录，开发者在大意之下就可能会将账号泄漏给攻击者。 稿源：solidot奇客，封面源自网络；

智能锁厂商 Lockstate 近期更新固件时将部分客户联网的智能锁变成了砖头，客户无法再利用内置键盘输入密码解锁，但物理形式的钥匙还能使用。 Lockstate 的智能锁在  Airbnb 屋主中间非常受欢迎，屋主可以只向住户提供密码而不是分享钥匙。Lockstate 还是 Airbnb 的合作伙伴。 客户的锁被刷后，固件无法再远程更新，他们要么将锁寄回厂商，要么更换新锁，两种方式都需要比较长的等待时间。Lockstate 表示将会支付运费，并向受影响的客户免费提供一年的  Lockstate Connect 订阅服务。Lockstate 称它不小心将 7i 型号的固件推送给了 6000i 型号的客户。 稿源：solidot奇客，封面源自网络；

据外媒 8 月 13 日报道，澳大利亚研究人员近期发现攻击者可以使用 USB 端口数据线通过拦截目标系统设备的传输信号秘密窃取敏感数据。这一现象在技术上被定义为 “通道至通道的串扰传输攻击（channel-to-channel crosstalk leakage）”。 研究表明，如果一款恶意设备或被篡改设备插入同一个（外部或内部） USB 集线器上的相邻端口，攻击者则可当即捕获该设备上的敏感信息，也意味着用户密码或其他私人数据存在被盗风险。攻击者将恶意 USB 端口数据线插入相邻端口设备后，能够监视设备数据流、收集数据并将其传输至攻击者服务器。此外，攻击者还可以通过相邻 USB 端口收集任何以未加密形式传输的内容。 研究人员通过改良后的 USB 台灯作为实验研究设备，用于监控目标系统设备上的每一个按键记录并通过蓝牙将数据发送至另一台计算机。随后，攻击者使用计算机上运行的软件进行解密，以捕获正在输入的敏感数据。 USB 端口设计基于一种假设：所有连接都在用户的控制之下，而且一切过程都可信任。不然在数据传输之前，USB 将永远不会安全。 研究人员在测试了 50 余个 USB 装置后发现，超过 90％ 的设备容易遭受此类攻击。因此，研究人员在此提醒用户除非完全信任的情况下，不然请勿将任何重要信息通过 USB 进行连接传输。对于用户来说，这意味着不要连接其他陌生设备；对于安全组织来说，应对整个供应链进行验证以确保设备安全。据悉，研究人员将于下周在加拿大温哥华举办的 USENIX 安全会议上发表该研究报告。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，看起来特斯拉、SpaceX CEO 马斯克对人工智能（AI）的出现并不感到乐观。近日，他在 Twitter 上发布的一条推文中表示，AI 的安全问题甚至比朝鲜要危险得多。 另外他附上了一张忧心忡忡的女性海报，上面写着：“ 最后，机器会赢 ”。机器会赢？看起来确实这样，看看手机就知道了，许多人似乎都已经成为了它的奴隶。 马斯克还称：“没有人喜欢被管制，但所有对公众来说有危险的东西（汽车、飞机、食品、药物等）都要被监管。AI 亦是如此。”他在上个月的全国州长协会会议提出了这一观点。此外，马斯克还在 Twitter 提到了 Open AI 公司开发的机器人打败著名《 Dota 2 》职业玩家一事。据悉，马斯克是非营利性组织 Open AI 的创始人，他希望借此能找到打败机器人的方法。 马斯克认为，AI 确实已经成为了一个迫在眉睫的威胁。他在 Twitter 写道：“认识 AI 危险最大的障碍是那些对自己（开发）智能深信不疑的人，他们无法想象其他人在做他们不能做的事情。” 稿源：cnBeta，封面源自网络；

据《 麻省理工科技评论 》网站报道，美国华盛顿大学研究人员把恶意代码植入基因微粒中，然后控制用于分析基因测序数据计算机设备，这可能是全球首例利用 DNA 成功攻击计算机软件事件。 为实施这次攻击，由大仓河野（tadayoshi kohno）和路易斯·赛兹（Luiz Ceze）领导的研究团队，把恶意软件编码到从网上购买的一小段 DNA 上，然后对其进行测序，在一台计算机试图处理测序数据时获得了这台计算机的 “ 完全控制权 ”。研究人员警告，有朝一日黑客可以利用动过手脚的血液或唾液样本入侵大学计算机，窃取警方法医实验室信息，或感染科学家共享的基因数据文件。 目前，DNA 恶意件不会构成太大的安全威胁。研究人员承认，为了成功实施入侵，他们创造了 “ 最可能成功 ” 的入侵条件，例如关闭安全功能，甚至在一款不经常使用的生物信息学软件中加入一处缺陷。家谱网站 MyHertige.com 首席科学官、遗传学家、程序员雅尼夫·埃利克（ Yaniv Erlich ）表示，“ 他们的入侵方法基本上不切合实际。” 据悉，该研究团队将出席下周在温哥华举行的 Usenix 安全研讨会，公布有关 DNA 恶意件攻击的研究成果。大仓河野的安全和隐私研究实验室研究生彼得·奈伊（Peter Ney）说，“ 我们关注新兴技术，调查它们是否隐藏有潜在的安全威胁，以提前应对 ”。 《麻省理工科技评论》表示，为了制作恶意软件，研究人员将一条计算机命令转换为由 176 个 DNA 碱基（用 A、G、C 和 T 表示）组成的短链。以 89 美元（约合人民币 594 元）的价格订购 DNA 后，研究人员对购买的 DNA 进行测序，测序结果以二进制方式存储。埃利克表示，攻击利用了所谓的溢出效应，即超出存储缓冲区的数据会被解释为计算机命令。在这次研究中，计算机命令会联系由大仓河野团队控制的一台服务器，研究团队通过服务器控制实验室中用来对 DNA 文件进行分析的计算机。 制造合成 DNA 链的公司已经提高对恐怖分子的警惕。研究人员表示，未来他们可能还需要检查 DNA 序列是否会危及计算机系统安全。华盛顿大学研究团队警告称，由于基因数据越来越多地出现在网络上，甚至能通过应用商店获取，黑客可能采用更传统的手段对基因数据下手。 稿源：腾讯数码，封面源自网络；

美国知名客户关系管理（CRM） 软件服务提供商 Salesforce 解雇了上个月在拉斯维加斯安全会议 Defcon 上发表演讲的两名安全研究员 Josh Schwartz 和 John Cramb。 据悉，两人是 Salesforce 的红队成员，也就是其任务是对公司网络发动攻击寻找漏洞测试网络防御。但两人走下拉斯维加斯的舞台后就立即遭到解雇。知情人士透露，公司高管 Jim Alkove 曾在演讲前半小时向两人发短信要求他们不要演讲，但他们在演讲结束之后才看到短信内容。 两人的演讲内容是一个模块化恶意程序框架 MEATPISTOL，之前已经得到公司高管批准，两名安全研究人员准备在演讲之后将其开源以供其他公司的红队使用。Salesforce 的高管要求他们不要公开发布该工具。 稿源：solidot奇客，封面源自网络；

HackerNews.cc 8 月 9 日消息，神秘漏洞众测平台 Bugcrowd 将于 9 月开始为期 8 周的漏洞赏金计划，旨在招募更多高级安全专家寻找产品虚拟机（ VM ）越狱漏洞。据悉，该平台为此项计划悬赏高达 25 万美元。 据悉，Bugcrowd 推出的漏洞赏金计划并非任何黑客均能参加，其仅限安全专家邀请。此外，该计划还要求参与者提交一份关于此项目的研究报告、潜在想法以及任何其他相关信息（不管他们是否达到既定目标）。Bugcrowd 表示，如果安全专家均未能找到虚拟机越狱漏洞，其部分黑客将有机会获得 1 万美元的奖励作为工作补偿。目前已有 27 位安全专家被邀请加入该项计划。 微软于上月推出 Windows 漏洞赏金计划，允许任何一名黑客通过该公司虚拟化软件 Microsoft Hyper-V 寻找管理程序与主机内核远程代码执行漏洞，其最高悬赏 25 万美元。此外，苹果公司也曾于去年 Black Hat 大会上宣布一项 20 万美元的私人漏洞赏金计划，用于寻找 iOS10 远程越狱漏洞。 安全专家表示，25 万美元的赏金阵容足以反映漏洞赏金计划在当今互联网时代的发展趋势，此类项目正日益成为微软、谷歌、Facebook 与苹果等公司用于招募白帽黑客寻找关键漏洞的主流模式。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

得益于谷歌 Project Zero 团队 Ian Beer 发现的 libxpc 漏洞，开发者在本月初表示 iOS 10.3.2 越狱成为可能。那么你是否已经决定停留在 10.3.2 版本等待越狱呢？如果你已经升级至 10.3.3 版本，那么很遗憾的告诉你自今天开始无法降级了，苹果已经关闭了 iOS 10.3.2 的验证激活通道。 据悉曝光的 libxpc 漏洞可以提权获得系统最高权限，从而执行任意代码。不过该漏洞已经在 iOS 10.3.3 版本中得到了修复，这就意味着只有停留在 10.3.2 版本才能可能等待大神公布越狱操作程序。 iOS 10.3.3 于今年 7 月 19 日正式发布，共计修复 47 处安全漏洞，其中最值得关注的就是此次更新修复了一个较为严重的 WiFi 漏洞（CVE-2017-7047），所以如果不想被黑客远程控制你的 iPhone，最好更新 iOS 10.3.3。这个漏洞会影响  iPhone 5 及以后的设备、iPad 4 及以后的设备还有 iPod touch 6。 稿源：cnBeta，封面源自网络；

援引 India Today 报道，印度政府宣布封杀互联网档案网站 Wayback Machine。印度地区用户如果尝试访问该网站，会收到已经遭到印度电信部门屏蔽的提示信息。 Wayback Machine 是非常实用的网站工具，在过去 20 多年来已经存储了超过 3020 亿个页面。India Today 在报道中表示印度政府此举可能是为了从根本上铲除资料讹误、谣传，并从一定程度上降低一些政府机构的责任。不过在报道中也表示本次封杀并未完全覆盖印度全境，部分地区依然能够访问该页面。 在印度，政府加大了对色情、种子网站以及文件共享网站的打击力度，而在此前印度政府从未将 Wayback Machine 划分到这些类目中。网站方面表示已经和印度电信部门、电子和信息技术工业部等部门进行多次磋商，但截至目前仍没有得到回复。在声明中表示：“ 显然，对于这项举措我们表示失望并会继续关注后续发展，我们也非常渴望地想知道此举背后的原因。” 稿源：cnBeta，封面源自网络；