安全公司 Kryptowire 近期报告 Blu 品牌手机固件仍在用户不知情下向中国公司发送数据后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。 Kryptowire 称，Blu 的两款手机 Grand M 和 Life One X2 会向上海广升信息技术有限公司的服务器发送手机塔 ID 和位置、手机号码、IMEI、IMSI、Wi-Fi MAC 地址，设备序列号、安装应用列表及其时间戳。Blu 的另一款手机 Advance 5.0 则包含了能被第三方应用利用的代码执行和记录能力。此外，还有一款不同厂商的手机 Cubot X16S 能将用户浏览历史发送到中国服务器上，甚至还能在第三方的指令下发送短信。 安全专家认为，亚马逊的做法完全正当。此类的信息收集在中国早已司空见惯，但中国开发商不小心将这个秘密出口到世界其他地方对此不知情的买家。 稿源：solidot奇客，封面源自网络；

美国西部时间 2017 年 8 月 2 日，CA 认证机构 Symantec、DigiCert 同时宣布：DigiCert 收购 Symantec 安全认证业务。据悉，此笔交易完成后，Symantec 将拥有 DigiCert 约 30% 普通股股权，后者将给付大约 9.5 亿美元现金。 双方在交易达成之后发布的新闻稿： 《 DigiCert to Acquire Symantec’s Website Security and Related PKI Solutions 》 稿源：cnBeta、易可米，封面源自网络；

2007 年 6 月，国家标准与技术研究所（ NIST ）发布声明，指出网站应比对用户密码，查看这些密码是否已在互联网泄露，以确保它们完全独一无二。虽然大多数网站还没有提供这种功能，但现在 haveibeenpwned.com 网站创始人 Troy Hunt 推出了一个工具，您可以在其中检查自己常用的密码，看看它们是否已被盗用。 它的工作方式很简单。只需输入一个密码，并将它与一个超过 3.06 亿个密码的数据库进行比较，这些密码是在几年内收集的泄露密码。haveibeenpwned.com 网站还提供泄露密码数据免费下载，以便开发人员将其集成到自己的网站中。 用户可以尝试一下，但不要输入任何正在使用的密码。虽然网站学习保护私人数据非常重要，但同样重要的是个人可以实施良好的密码安全，或者让自己成为密码管理员，并为您访问的每个网站使用超复杂的密码。 稿源：cnBeta，封面源自网络；

德国一家公司在其员工的工作电脑上安装键盘记录器，发现一名员工在另一家公司的电脑游戏工作，并且开除了该员工。随后，雇员起诉并争辩公司非法收集他被解雇的证据，德国联邦劳工法院判决雇员胜诉。 法庭指出，这种键盘记录器，记录每一个按键并将其存储在中央服务器上，这是过度的监视，这种方式控制员工非但不合适，而且非法。法庭指出，公司对员工使用键盘记录装置，可以依法追究其刑事或严重罪行。这位员工表示，这个游戏是其父亲公司的产品，而且他只是在四个月的时间里花了三个小时午餐时间去开发这款游戏。 据悉，德国并不是唯一一个对键盘记录器采取强硬措施的欧洲国家。 2013 年，法国数据保护局（ CNIL ）裁定，键盘记录器是对员工专业和私人活动进行监测的永久状措施，因此在没有强大的商业理由情况下禁止公司或者个人使用。 稿源：cnBeta，封面源自网络；

本周，HBO 遭到黑客攻击致使包括《 权力的游戏 》、《 球手们 》、《 104 号房间 》在内的剧集内容泄露。虽然目前黑客还只是在网上公布《 权力的游戏 》还未播出内容的剧本，但很多人相信，剧集的内容出现在 “ 海盗湾 ” 等 bt 网站也是迟早的事情。 获悉，目前遭黑客曝光的《 权力的游戏 》剧本第七季第四集标注的时间为去年 4 月，所以这很有可能不是最终版，但不管怎样这对于 HBO 来说都是一个坏消息。此外，黑客还掌握 HBO 工作人员登录凭证等信息。截止到目前，发起该次网络攻击的黑客似乎并没有提出要求赎金的消息，HBO 方面也没有表明有收到此类的要求。 针对这次的网络攻击，Panda Security 发出警告，建议用户不要去下载任何 bt 文件、访问任何可能列有被盗信息的可疑网站。在这家安全机构看来，访问 bt 网站是一种对电脑有害的行为，而下载来自这些网站的文件则非常危险，因为他们下载的很有可能不是最新的剧集，而是恶意软件。另外，下载 bt 文件这个动作很有可能在用户结束下载之后仍在进行，这在美国意味着联邦犯罪。 Panda Security 接着说道：“ 我们 Panda Security 真诚地希望最新的剧集内容没有被盗，接下来所有的剧集都能按照 HBO 的计划播出。我们不希望黑客破坏 GOT 百万观众的夏日。即便你找到了泄露的剧本，也请不要去阅读。不要支持盗版；他们可不是当今社会的侠盗罗宾汉，恰恰相反，他们受金钱所使，如果你没有受到保护，那么他们也会不假思索地偷走你的信息。” 稿源：cnBeta，封面源自网络；

据外媒报道，位于英国布莱切利园（Bletchley Park）的国家计算机博物馆和网络和移动开发商 Entropy Reality 合作推出关于第一台电子计算机—— “ 巨人 ” （Colossus）的虚拟现实体验。参观者届时可以漫步在博物馆的其中两条走廊上，沉浸在 Colossus 的故事中，以及布莱切利园代码破解者如何破解德国高级司令部在二战中使用的复杂密码。 Colossus 虚拟现实体验将在今年晚些时候被发布为应用程序，允许任何拥有支持头戴设备的人在不离开家的情况下 “ 参观 ” 展品。“ 巨人” 计算机是第一部全然电子化的电脑器件，使用了2400 个真空管，阅读速度最终提高到每秒 25000 字符。该设计旨在破解由 Lorenz 公司制造的电传打字机加密系统 Tunny。1944 年 2 月 5 日，“ 巨人” 计算机正式启用。在第二次世界大战结束时，10 台 “ 巨人” 计算机和 550 名操作人员一共破译了约 6300 万字符的德国高层密电。 1992 年，英国开始 “ 巨人” 计算机的复原工作， 该项目于 2007 年完成。“ 巨人” 车间随后转变为博物馆的一个展厅。而现在这个展厅，连同 Tunny 展厅，已经被 Entropy Reality 操作的六台 GoPro Hero 4 摄像机所捕获。然后，数据必须被处理，这是一个真正巨大的任务本身。 首席执行官 Eddie Vassallo 表示：“ 最大的挑战是 ‘ 巨人’ 计算机。它的大小和细节在现实生活中是令人兴奋的 – 对于虚拟世界，我们需要大量的服务器来处理其 6500 万个数据点，每次拍摄需要 31 个小时的时间来处理和导出。然后，我们需要处理巨大的后期制作任务，将所有图像拼接在一起，并部署各种技巧，就像魔术师一样，以确保观众看到我们想要他们看到的地方。“ VR 项目的第一阶段刚刚完成，将由现场访客测试使用，作为博物馆 Summer Bytes 活动的一部分。博物馆工作人员随后将会发布兼容 Oculus Rift、HTC Vive 或其他设备的应用程序。第二阶段会将触摸元素纳入经验，第三阶段将允许用户在位置之间实际发送消息。 稿源：cnBeta，封面源自网络；

援引 Wired 报道，国外破解达人已成功破解亚马逊 Echo，黑客可将其当作实时麦克风监听设备周围声音。整个破解过程需要进行拆机，并仅限于 2017 年发售的 Echo 设备，因此很难大规模推广。不过在成功破解之后，在没有说唤醒命令的情况下能实时执行用户下达的命令，此外还允许破解者远程恢复认证令牌和其他敏感数据。 专家 Mark Barnes 于 8 月 2 日在个人播客上公布详细破解过程。简单来说，Barnes 所使用的破解方式就是从插入的 SD 卡启动，类似于 LiveCD，然后访问并重写 Echo 固件。一旦固件被重新写入，已经成功破解的 Echo 就能发送所有麦克风捕捉到音频给第三方，随后即使移除 SD 卡也会保持破解状态。 亚马逊在声明中表示：“ 消费者的信任对于我们来说是至关重要的。为了确保最新的保障措施，我们一般都推荐用户从亚马逊官方网站或者可信赖的零售渠道进行购买，这样才能确保你的软件处于最新状态。” Barnes 的攻击目前仅适用于 2015 年和 2016 年款的 Echo，2017 年款的 Echo 的内部硬件做出调整已经阻止从 SD 卡进行启动。在没有移除纸 SPI 模式下，2017 年款 Echo 无法支持从 SD 卡进行启动，因此无法执行攻击。 稿源：cnBeta，封面源自网络；

安全公司 Kryptowire 研究人员于近期举行的 Black Hat 安全会议上报告，Blu 品牌手机固件仍在用户不知情下向位于中国公司的数据库上发送私人数据。随后，亚马逊以潜在安全隐患为由暂停 Blu 手机销售。 研究人员表示，上海广升信息技术有限公司的软件 Blu 在用户不知情下自动将设备数据发送到该公司位于上海的服务器上。亚马逊在声明中称，安全和隐私对客户至关重要，在问题解决前将停止所有 Blu 品牌手机销售。目前，Blu 正在进行评估。 稿源：solidot奇客，封面源自网络；

据外媒 7 月 31 日报道，网络安全公司 Endgame 数据科学技术总监 Hyrum Anderson 近期在拉斯维加斯举办的 DEF CON 黑客大会上展示了如何利用 OpenAI Gym 机器学习系统创建一款规避反病毒（AV）引擎检测的恶意软件。 OpenAI Gym 是一款用于开发与比较强化学习算法的工具包，可用于编写 PE 文件操控代理、以便基于各类黑客活动提供的赏金采取特定操作直至实现最终目标。 Anderson 表示，所有机器学习系统均存在盲区，具体攻击威力取决于黑客真实技能水平。在此次研究中，Anderson 与他的团队通过微调 Elon Musk 的 OpenAI 框架，更改部分合法代码并将其提交至安全检测程序，以提高恶意软件规避检测的能力。 此外，研究人员在对该款恶意软件进行 15 个小时调试后发现，超过 10 万个恶意软件样本能够规避某未知名安全引擎检测，其中 16％ 的恶意软件样本可突破安全系统防御体系。目前，Anderson 已在 Github 公布恶意软件代码，并鼓励其他研究人员踊跃提出改进意见。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据美国媒体 7 月 28 日报道，腾讯科恩实验室安全研究员今年 6 月再度破解特斯拉 Model X 系统，远程控制刹车、车门、后备箱，操纵车灯以及广播。 研究人员通过 Wi-Fi 与蜂窝连接两种情况下均实现了对车载系统的破解，通过汽车网络浏览器寻找计算机漏洞、发送恶意软件，实现黑客攻击。 科恩实验室总监吕一平说：“今年 6 月，安全研究员将发现的漏洞问题告知了特斯拉，而特斯拉方面也在两周内对其进行了修复 ”。特斯拉在一份声明中表示，该研究能够预防风险的发生，因此十分鼓励。目前，还没有顾客遭受此类攻击，而他们遭受攻击的风险也很低。 事实上，去年的时候科恩安全实验室就已经能够入侵特斯拉刹车系统。科恩实验室汽车黑客团队首席研究员聂森说：“我们把去年发现的安全漏洞告知了特斯拉，然后他们对此予以了修复。但今年，我们又发现了新的漏洞，并且我们依旧可以实现同样的远程攻击。” 他强调：“这是一项复杂的工作，不是简单的复制。而且，特斯拉的系统安全也不比其他车辆差。” 据称，聂森团队是世界上第三个成功攻破汽车系统的团队，隶属于腾讯集团。从 2016 年起，腾讯集团开始将业务拓展到咨询和安全研究领域。而聂森团队主要研究汽车安全，以便与中国汽车零件和汽车系统相关企业开展合作。吕一平表示：“许多厂商在网络安全方面的知识和技术都很欠缺。我们可以为他们提供咨询服务，帮助他们对车辆组件的连接安全进行评估。” 稿源：cnBeta、环球网，封面源自网络；