Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日，有用户给 Atom 提 issue 称其未经同意收集用户数据。 “首次启动 Atom 时，它会在未经同意的情况下联系在 Amazon 服务器上运行的 Microsoft/GitHub 进程，并将我的 IP 地址和时间戳泄露给制造商，把我使用 Atom 的事实（通过出站请求）传输给成千上万的其他人和组织。” 这位名为 Jeffrey Paul 的用户表示是在首次启动 Atom 时遇到了该问题。他发现在自己的信息已经被收集并发送出去之后，主应用程序窗口才打开是否连接服务器的询问对话框。而这一问题 100% 能够复现，也就是说并非偶然事故。 Paul 指出，用户的 IP 地址以及跟踪/遥测/分析/自动更新目标主机 IP 等信息都在首次启动时被传输出去，前两个数据中还包括时间戳。 “该元组（用户源 IP，atom.io 目标 ip，TCP 端口，TLS SNI 主机名，时间戳记）从用户计算机发送时，其使用情况信息就会泄漏给成千上万的不同人：ISP，托管提供商，网络交换，情报服务者，Microsoft 内部系统管理员，GitHub 系统管理员和 Amazon 网络管理员。用户根本没有机会选择退出，或是阻止它，甚至没有意识到它的发生。” 为此，Paul 感到气愤，并依照“间谍软件”的定义——间谍软件是一种软件，有时甚至在其不知情的情况下收集有关个人或组织的信息，并在未经用户同意的情况下将此类信息发送给另一个实体——将 Atom 归为间谍软件。 他还提到，这种情况的出现意味着 PR #12281 上的工作尚未完成。这是 2016 年 Atom 团队提出的“添加遥测同意设置”，该设置用于确定是否收集用户的使用信息。而目前，根据 Paul 的描述，甚至没有出现同意对话框，数据就已经被上传了。 Atom 团队的 Arcanemagus 随后在下方回复，表示“Atom 设计为在连接网络的环境中运行，可以执行诸如检查更新之类的操作而不会提示用户……您当然可以自由地阻止网络访问，并且如果您愿意，Atom 也可以在脱机模式下运行。” 但显然，这一说法不够有说服力，Paul 提出反击：“没有人说它不应该使用网络，它只是在用户授予其权限之前不应该使用网络，否则会造成数据泄漏，这就是同意对话框存在的意义。” Arcanemagus 仍然认为阻止网络访问即可，还说，“这不是 Atom 团队当前有兴趣更改的东西”。 来自 Atom 团队的 Lee Dohm 发表了最终回应，承认遥测程序包不应该在单击按钮之前发送信息，并将调查它与 central.github.com 的过早连接。但另一方面，他坚持 Atom 的设计模式如此，剩下的部分，特别是自动更新检查，仍保留当前的设计方式。以及，再次表明，“如果您想要一个可以完全脱机工作且没有任何网络连接的编辑器，则 Atom 不适合您。” 此外，经过复现实验，Paul 还提出了另一个 issue，他发现即便明确拒绝同意并退出遥测，遥测信息还是会被发送。这一情况的复现率也为 100%。 在 2016 年那条添加遥测同意设置的 PR 下，又有网友展开了新的讨论。其中一名用户说道，“按目前的情况，这可能违反了 GDPR（General Data Protection Regulation，一般数据保护条例）。”   (稿源：oschina ,封面源自网络)

如果您收到一封声称来自微软的电子邮件，并要求安装所谓的关键更新，那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹，它们利用电子邮件方式进行传播，伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式，首先给潜在目标发送电子邮件，邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名，实际上是一个可执行文件，一旦启动，便从GitHub下载其他有效负载。 rustwave解释称：“根据我们的调查，受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件，该账号在几天前还处于活跃状态，目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样，这是.NET编译的恶意软件，也就是Cyborg勒索软件。” 勒索软件感染设备后，用户文件将被加密并重命名为使用“777”扩展名。此时，用户文件被锁定，勒索软件将文本文档放置在桌面上，以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道：“不用担心，你可以赎回所有文件！您可以发送一个加密文件[sic]，我们将免费对其进行解密。您必须按照以下步骤来解密文件：将500美元的比特币发送到钱包[钱包号码]，然后向我们的邮箱发送通知。” Trustwave警告说：“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击，并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名，来误导受感染的用户识别出这种勒索软件。” 不用说，最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件，并阻止勒索软件感染您的设备。   （稿源：cnBeta，封面源自网络。）

据外媒CNET报道，五名美国参议员周三致函亚马逊，信中对其联网Ring可视门铃的数据安全性提出质疑。这封信是由民主党参议员罗恩·怀登（Ron Wyden），爱德华·马基（Edward Markey），克里斯·范·霍伦（Chris Van Hollen），克里斯·库恩斯（Chris Coons）和加里·彼得斯（Gary Peters）签署的。 参议员在信中指出：“目前有数百万的消费者在使用Ring。Ring设备会定期将包括视频记录在内的数据上传到亚马逊的服务器。因此，亚马逊拥有大量极为敏感的数据和视频画面，详细描述了数百万美国人的生活。” 这些参议员认为，如果被外国国家情报机构利用，这些镜头可能会威胁美国的国家安全，此外还威胁着美国人的隐私和安全。 本月初，研究人员发现  Ring门铃存在一个漏洞，该漏洞连续几个月泄漏了Wi-Fi登录信息，包括用户名和密码。今年早些时候，有消息揭露亚马逊如何通过其Ring安全摄像头帮助警察建立监视网络。根据数字版权组织Fight for the Future的说法，亚马逊已经与500多个城市合作，将“ Ring安全摄像头记录的画面”用于执法目的。 参议员的信中提到了Wi-Fi漏洞，并在去年的报告中指出，乌克兰的Ring员工能够在人们不知情的情况下观看他们的视频。 这封信中指出：“选择在房屋内外安装Ring产品的美国人这样做是在假设它们……使社区更加安全的前提下。” “美国人民有权知道还有谁在查看他们提供给Ring的数据，以及这些数据是否受到保护。” 参议员们希望亚马逊首席执行官杰夫·贝佐斯（Jeff Bezos）在2020年1月6日之前做出回应，其中包括以下信息： 在美国已售出多少台Ring设备。 Ring是否会删除视频画面。 数据保留多长时间。 素材是否已加密。 Ring的安全测试和审核实践是什么。 Ring员工对视频画面和实时直播画面的获取权限有多大。 乌克兰和其他国家/地区的员工是否可以使用。 Ring的计划是否与面部识别有关。 上个月，有超过10000人在Fight for the Future发起的活动中签名，呼吁美国国会调查亚马逊的监视“帝国”。 Ring表示目前正在审查这封信，但称对此事暂无评论。   稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/846.html 一、背景 腾讯安全御见威胁情报中心检测到以窃取机密为目的的大量钓鱼邮件攻击，主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱，然后批量发送伪装成“采购订单”的钓鱼邮件，邮件附件为带毒压缩文件。若企业用户误解压执行附件，会导致多个“窃密寄生虫”（Parasite Stealer）木马被下载安装，之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。 御见威胁情报中心根据一个窃密木马PDB信息中包含的字符“Parasite Stealer”(窃密寄生虫)，将其命名为Parasite Stealer（窃密寄生虫）。 根据腾讯安全御见威胁情报中心的监测数据，受Parasite Stealer（窃密寄生虫）木马影响的地区分布特征明显，主要集中在东南沿海地区，其中又以广东、北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。 此次攻击影响约千家企业，从行业分布来看，Parasite Stealer（窃密寄生虫）病毒影响最多的是贸易服务、制造业和互联网行业。 二、详细分析 “窃密寄生虫”（Parasite Stealer）木马的主要作案流程为：通过邮件群发带毒附件，附件解压后是伪装成文档的Jscript恶意脚本代码，一旦点击该文件，脚本便会拷贝自身到启动项目录，然后通过写二进制释放木马StealerFile.exe。StealerFile.exe进一步从服务器下载名为“q”,”w”,”e”,”r”,”t”的多个木马盗窃中毒电脑机密信息，并将获取到的信息通过FTP协议上传到远程服务器。 钓鱼邮件 钓鱼邮件内容如下，附带的邮件附件名为K378-19-SIC-RY – ATHENA REF. AE19-295.gz。   附件 附件解压后为Jscript脚本文件K378-19-SIC-RY – ATHENA REF. AE19-295.js，该文件执行后会立即拷贝自身到全局启动目录下。 Jscript脚本进一步通过写二进制释放木马文件StealerFile.exe，StealerFile.exe会使用Word.exe程序的图标来进行伪装。 随后StealerFile.exe从服务器依次下载q.exe，w.exe，e.exe运行，若判断系统为64位还会下载r.exe，t.exe运行。 q.exe q.exe（64位对应t.exe）为密码窃取程序。chrome浏览器加密后的密钥存储于%APPDATA%\..\Local \Google\Chrome\User Data\Default\Login Data下的一个SQLite数据库中，使用CryptProtectData加密。首次登陆某个网站时，Chrome会询问是否记住密码，若选择是则浏览器将密码保持到SQLite数据库中。  木马从数据库中抽取出action_url，username_value 和password_value，然后调用Windows API中的CryptUnprotectData函数来破解密码。 64位版本t.exe 64位版本t.exe文件PDB为 E:\Work\HF\KleptoParasite Stealer 2018\Version 6\3 – 64 bit firefox n chrome\x64\Release\Win32Project1.pdb Firefox登录密码加密时使用的Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录下的sqlite数据库中。木马使用NSS的开源库中的函数来破解加密所使用的SDR密钥，进而破译Base64编码的数据。 w.exe和e.exe w.exe目前无法下载，e.exe的功能为获取当前计算机所使用的外网IP地址，并将其添加到待上传文件DXWRK.html中。 r.exe r.exe为邮箱密码窃取程序。通过读取 “Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676″等位置的注册表来获取Outlook保存的密码信息。 待下载的各个模块完成密码搜集工作后，StealerFile.exe尝试连接到指定的FTP服务器，准备上传机密信息文件，代码中保存有5组地址和登录所需账号密码可供登录使用。 （为防止受害者信息泄露，做打码处理） FTP服务器地址： “ftp.secures******.com” “ftp.driv******..com” “45.137.***.95” “ftp.an******.com” “fine.tec******” 登录用户名： “admi*****” “insan*****on.com” “lenfi**********net.com” “a$%2*****23” “8347**********1” 登录密码： “ad******” “%*h#$j#******” “W@T9$$******” “1pass4ll@let******” 连接服务器成功后，通过调用FtpPutFileA函数将存有账号密码等机密信息的本地文件\%Temp%\DXWRK.html上传为服务器指定文件<random>_.htm。 我们利用木马中的账号密码登录到其中一个FTP服务器，可以看到其保存的文件列表如下。 下载某个服务器上的.htm文件，其内容为用户使用Firefox，Chrome浏览器登录某些网站时使用的用户名和密码等信息。 三、安全建议 建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 建议升级office系列软件到最新版本，对陌生文件中的宏代码坚决不启用； 推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统; IOCs@Parasite Stealer 伪造的发件邮箱： ayp@hct-battery.com sales5@amotach-cn.com admin@ticctv.com marketing@med-linket.com wy-sh@szzhenjia.com g-factory@paiying.com.tw fm@saspg.com hoteamsoft@hoteamsoft.com zhong.fei.ran@tateyama.com.cn info@space-icecream.com chu.yi.ye@tateyama.com.cn su.jia.min@tateyama.com.cn cnsy@quartzglasschina.com admin@tingyimould.com overseas_sales@waxpi.com zhong.fei.ran@tateyama.com.cn info@tongyongfans.com liuxiong@xinteenergy.com chu.yi.ye@tateyama.com.cn g-factory@paiying.com.tw wangjc96@tsinghua.org.cn zhong.fei.ran@tateyama.com.cn pzg@teccable.com zsh@tgc.edu.cn liucong@mail.cmec.com baiyang@baiyangcy.com xiongyi@yanshun-sh.com su.jia.min@tateyama.com.cn guokai@ruiduo.net.cn wy-sh@szzhenjia.com olive@ykxfwa.com MD5 b213bf2fb08b6f9294e343054c8231f4（K378-19-SIC-RY – ATHENA REF. AE19-295.gz） 67eabc565db23cf5a965309eaa62228d（K378-19-SIC-RY – ATHENA REF. AE19-295.js） a5fe827cf2bc87008588f633a5607755（StealerFile.exe） 15a02f0d086df6a9082667635d524e92（q.exe） 499de77bc4d8d91a62e824ce40b306bd（e.exe） 16690c337d1d78ac18f26926c0e0df7b（r.exe） 1cd8b31b1aef17f1901db887b7de6f2d（t.exe） URL http[:]//drajacoffee.com/images/produk/t http[:]//drajacoffee.com/images/produk/q http[:]//drajacoffee.com/images/produk/e http[:]//drajacoffee.com/images/produk/r http[:]//drajacoffee.com/images/produk/w ftp[:]//ftp.sec*****g.com ftp[:]//ftp.dr*****.com ftp[:]//45.137.***.*** ftp[:]//ftp.a*****.com  

网络安全公司OPSWAT进行的一项新研究表明，如今，赛门铁克公司，ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示，赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首，其中Symantec Endpoint Protection份额占10.75%。 ESET以12.84%位居第二，其中，ESET Endpoint Antivirus和ESET Endpoint Security市场份额分别是4.53%和3.7%。排在第三位的McAfee占有12.21%的份额，这要归功于McAfee Endpoint Security，该产品目前在安装了McAfee软件的设备上占比9.61%。Bitdefender，卡巴斯基和Avast份额位居第四到第六位，分别为10.77%，7.66%和6.98%。 OPSWAT给出的市场份图表中未包含Windows Defender，因为OPSWAT认为其产品不能准确代表用户的选择，因为它们已预先安装在许多Windows系统上并且无法删除。另一方面，虽然Windows Defender不在OPSWAT这次研究之列，但最近的防病毒测试表明，微软安全产品至少与第三方替代产品一样有效。 Windows Defender已成为功能齐全的防病毒产品，它具有高级功能，例如实时扫描，云分析和勒索软件防护，已预装在Windows 10上，因此默认情况下可以保护所有设备。在最新的Windows 10版本中，Windows Defender已演变为Windows安全中心，可提更高级控制和访问功能，其中包括父母工具和其他功能，这些功能可以保护Windows 10设备免受大多数威胁侵害。   （稿源：cnBeta，封面源自网络。）

在美国国土安全部资助的一项研究中，Kryptowire 在廉价的 Android 智能机上，发现了由预装应用造成的严重安全风险。这些 App 存在潜在的恶意活动，可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限 —— 这显然与 Android 设备制造商和运营商的固件脱不了干系。 类型占比（图自：Kyrptowire，via Cnet） 在新工具的帮助下，Kryptowire 得以在不需要接触手机本体的情况下，扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上，查找到了 146 个安全隐患。 在被问及为何特别针对廉价 Android 设备展开软件安全调查时，Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称：这与谷歌对产品的管理态度，有着直接的关系。 Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析，并担负起供应商应有的责任。 当前政策制定者应要求该公司将最终用户的信息安全负起责任，而不是放任其置于危险之中。 对此，谷歌亦在一封邮件中称：其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。 （厂商列表） 正如 Kryptowire 研究中发现的那样，预装应用通常为小型、无牌的第三方软件，其被嵌入到了较大的品牌制造商的预装功能中。 然而这类应用很容易构成重要的安全威胁，因为与其它类型的 App 相比，预装应用的权限要大得多、且很难被应用删除。 在 2017 年于拉斯维加斯举办的黑帽网络安全大会上，Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。 该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器，而不会提醒这些用户，后续其声称该问题已得到解决。 2018 年的时候，Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解决这方面的问题。 （部分漏洞详情） 尽管 Kryptowire 曝光的事情每年都难以避免，不过 Stavrou 认为，谷歌的整体安全策略，还是有所改善的。 他表示：“保护软件供应链是一个非常复杂的问题，谷歌和安全研究界一直在努力解决该问题”。 在今年黑帽安全会议（Black Hat 2019）的演示期间，谷歌安全研究员 Maddie Stone 表示： “Android 设备的常见预装 App 有 100~400 款，从恶意行为者的角度来看，他只需说服一家企业来打包恶意 App，而无需说服成千上万的用户”。     （稿源：cnbeta，封面源自网络。）

近日 Mozilla、Fastly、Intel 与 Red Hat 宣布成立联合组织 Bytecode Alliance（字节码联盟），该联盟旨在通过协作实施标准和提出新标准，以完善 WebAssembly 在浏览器之外的生态。 WebAssembly 也叫 Wasm，它是为基于栈的虚拟机设计的二进制指令格式，Wasm 作为可移植目标，用于编译高级语言（如 C/C++/Rust），从而可以在 Web 上部署客户端和服务器应用。 WebAssembly 描述了一种内存安全的沙箱执行环境，该环境甚至可以在现有 JavaScript 虚拟机内部实现。当嵌入到 Web 中时，WebAssembly 将强制执行浏览器的同源和权限安全策略。 目前 1.0 版本的 Wasm 已经支持 Chrome、Firefox、Safari 与 Edge 浏览器。 此次四家公司为什么结成 Bytecode Alliance 呢？Mozilla 官网博客上 Lin Clark 作了介绍。 Lin 表示，当前网络用户身处越来越大的风险中，目前大家在构建大规模的模块化应用，其中 80％ 的代码库来自软件包注册中心，例如 npm、PyPI 与 crates.io。这样的方式当然使得生态繁荣，但是安全问题也在极速增加。 破坏这些安全的人利用的正是用户的信任，当用户使用应用时，他们并不清楚背后这些软件依赖关系，它们之中有没有恶意代码用户根本不知道，也无法明确是否可信任。 所以联盟想通过 WebAssembly 技术来推动这一个领域的安全性。Bytecode Alliance 将建立起可靠安全的基础，无论在云中、本地桌面，还是小型 IoT 设备上，都可以安全地使用不受信任的代码。开发人员可以以相同的方式使用开源代码，而不会给用户带来风险，而这些通用的可重用基础集可以单独使用，也可以嵌入其它库和应用中。   具体来说，所有这些因为依赖项而产生的安全问题都是因为不同软件/模块/文件有权限访问到其它内容，而基于 WebAssembly 可以提供某种隔离，这样就可以安全地运行不受信任的代码。 可以设计一个类似于 Unix 的小型进程或容器和微服务的架构，但是这种隔离十分轻量，它们之间的通信也不会比常规函数调用慢很多。 使用这样的模式，可以封装单个 WebAssembly 模块实例，或者封装一小部分想要在它们之间共享内存之类的模块实例。同时也不必放弃强大的编程语言特性，例如函数签名和静态类型检查。 Lin 介绍了目前 WebAssembly 的一些技术方案，包括几个要点： 每个 WebAssembly 模块默认都被沙箱化，默认情况下，模块无权访问 API 和系统调用。 内存模型，与直接编译为 x86 之类的普通二进制文件不同，WebAssembly 模块在其进程中无法访问所有内存，而是只能访问已分配给它的内存块。 接口类型，模块可以使用更复杂的值进行通信，比如 strings、sequences、records、variants，以及它们的嵌套组合。这使得两个模块可以轻松地交换数据，并且这种方式安全且快速。 具有权限概念的 API 和系统调用，以便它们可以为不同的模块赋予对不同资源的不同权限，也就是 WASI，WebAssembly 系统接口。它提供了一种方法，可以将不同的模块彼此隔离，并赋予它们对文件系统特定部分和其它资源的细粒度权限，以及对不同系统调用的细粒度权限。 这些是目前已经存在于 WebAssembly 技术中的技术，但目前还没有办法将这些安全控制向下传递给依赖树，这需要一种让父模块有赋予其依赖关系同样的安全控制的方法。 这也就是 Bytecode Alliance 目前在进行的工作，计划采用各个模块虚拟化的细粒度形式，研究人员已经在研究环境中验证了这一想法，目前正在努力将其引入 WebAssembly。 详细技术细节查看原博客： https://hacks.mozilla.org/2019/11/announcing-the-bytecode-alliance     （稿源：开源中国，封面源自网络。）

尽管 5G 比 4G 更快、更安全，但新研究表明它仍存在一些漏洞，导致手机用户面临一定的风险。普渡大学和爱荷华大学的安全研究人员们发现了将近十二个漏洞，称其可被用于实时追踪受害者的位置、散步欺骗性的应急警报、引发恐慌或悄无声息地断开手机与 5G 网路之间的连接。实际上，5G 的安全性只是相对于已知的攻击而言，比如抵御脆弱的 2G / 3G 蜂窝网络协议攻击。 研究截图（原文 PDF 链接） 然而最新的研究发现，5G 网络依然存在着一定的风险，或对用户的隐私安全造成威胁。更糟糕的是，其中一些新手段，还可照搬到 4G 网络上去利用。 据悉，研究人员扩展了他们先前的发现，打造了一款名叫 5GReasoner 的新工具，并发现了 11 个新漏洞。通过设立恶意的无线电基站，攻击者能够对目标展开监视、破坏、甚至多次攻击。 在某次攻击实验中，研究人员顺利获得了受害者手机的新旧临时网络标识符，然后借此对其位置展开追踪。甚至劫持寻呼信道，向受害者广播虚假的应急警报。 若该漏洞被别有用心的人所利用，或导致人为制造的混乱局面。此前，科罗拉多博尔德分校的研究人员们，已经在 4G 协议中发现了类似的漏洞。 第二种漏洞攻击，是对来自蜂窝网络的目标电话创建“长时间”的拒绝服务条件。 在某些情况下，这一缺陷会被用来让蜂窝连接降级到不太安全的旧标准。执法人员和有能力的黑客，均可在专业设备的帮助下，向目标设备发起监视攻击。 新论文合著者之一的 Syed Rafiul Hussain 表示，所有具有 4G 和 5G 网络实践知识、并具有低成本软件无线电技能的人，都可对上述新型攻击加以利用。 鉴于漏洞的性质太过敏感，研究人员没有公开发布其概念验证的漏洞利用代码，而是选择直接向 GSMA 协会通报了此事。 尴尬的是，尽管新研究得到了 GSMA 移动安全名人堂的认可，但发言人 Claire Cranton 仍坚称这些漏洞在实践中被利用的可能性小到几乎为零。至于何时展开修复，GSMA 尚未公布确切的时间表。   （稿源：cnBeta，封面源自网络。）

Facebook 又一个隐私问题曝光？iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时，由于存在一个bug，屏幕左侧会出现一个小细条用来摄像，这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现，但是iOS 12不受影响。 Maddux补充说，他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题，但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机（不是说它没有被使用），” Maddux说。 TNW的人员注意到，仅当用户授予Facebook应用程序对您的相机的访问权限时，才会出现此问题。 在撰写本文时，仍不清楚该问题是否是预期的行为，该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说，iOS应用程序开发人员可以利用该漏洞，通过启动用户的前置和后置摄像头，来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ，iPhone用户永远不会收到任何通知。 据专家分析，当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

（原标题：Team of ‘white hat’ hackers found bugs in Amazon Echo and Galaxy S10） 图：阿马特·卡马(Amat Cama，左)和理查德·朱(Richard Zhu)组成的Team Fluoroacetate 网易科技讯 11月11日消息，据外媒报道，今年在日本东京举行的Pwn2Own黑客竞赛中，两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备Amazon Echo和三星Galaxy S10中的漏洞，获得“顶级黑客”的殊荣。 阿马特·卡马(Amat Cama)和理查德·朱(Richard Zhu)组成了所谓的Team Fluoroacetate，他们在最新的Amazon Echo Show 5（基于Alexa的智能显示器)发现漏洞，为此获得了6万美元的奖金。 两名研究人员发现，这款设备使用的是谷歌开源浏览器项目Chromium的较旧版本，新发现的漏洞允许他们在设备连接到恶意Wi-Fi热点时“完全控制”该设备。研究人员在射频屏蔽外壳中测试了他们的发现，以防止任何外部干扰。 亚马逊已经表示，该公司正在“调查这项研究”，并将在必要时采取行动进行修复，但亚马逊没有提供修补漏洞的时间表。 与此同时，卡马和理查德还利用Java Script中的一个漏洞获取了三星Galaxy S10上的照片，为此他们赢得了3万美元奖金。在对三星电视和小米笔记本电脑进行漏洞测试后，他们总共获得了19.5万美元奖金。 现在，提供这些设备的公司有90天时间通过软件更新来修复漏洞，然后才会向公众公布细节。 Pwn2Own活动由Zero Day Initiative(零日攻击防御计划)组织主办，主要邀请“白帽”黑客寻找大型科技公司产品中发现以前未知的漏洞，并可以因此获得高额报酬。 Team Fluoroacetate已经连续第三年被授予最高称号，即“Pwn大师”。 今年早些时候，卡马和理查德在特斯拉Model 3软件上发现漏洞，他们为此获得了37.5万美元奖金。特斯拉很快就通过无线升级修复了这个问题。   （稿源：网易科技，封面源自网络。）