7月1日，工业和信息化部（以下简称工信部）网站发布《工业和信息化部关于电信服务质量的通告（2019年第2号）》，对100家互联网企业106项互联网服务进行抽查，发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题（详见附件1），已责令相关企业整改。 其中，小红书、猎豹浏览器、饿了么、网易考拉、神州租车等多个App及网站存在未经用户同意收集个人信息的问题。 具体名单如下：   （稿源：工信部网站，封面源自网络。）

面向所有尚处于支持状态的Pixel设备，谷歌于今天发布了2019年7月的Android安全补丁，在修复近期曝光的诸多安全问题之外还添加了各种功能改进。本次安全补丁共有2019-07-01和2019-07-05两种安全级别，共计修复了33处安全漏洞，涉及Android系统、框架、库、媒体框架以及包括闭源部分的高通组件等。 在安全公告中写道：“本月修复的安全漏洞中最严重的问题就是媒体框架中的一个关键安全漏洞，它能够让远程攻击者使用特制的文件来执行包含特权进程的任意代码。对该漏洞的严重性评估是基于该漏洞对设备的影响程度而划定的。” 除了安全更新之外，2019年7月的Android安全补丁还修复了Pixel设备上报告的诸多BUG。例如，改善了Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL、Pixel 3a、Pixel 3a XL上的“OK Google”热词和音乐检测功能，并且修复了Pixel 3和Pixel 3 XL上的开机卡死问题。 此外，谷歌还修复了Pixel 3，Pixel 3，XL，Pixel 3a和Pixel 3a XL在EDL模式卡死在黑屏上的问题；在Pixel，Pixel XL，Pixel 2，Pixel 2 XL上改进了对Unicode日语支持；在Pixel 3，Pixel 3 XL，Pixel 3a和Pixel 3a XL设备上改进了Titan M模组的性能。 2019年7月的Android安全更新现面向所有支持的Pixel设备推送，包括Pixel 2，Pixel 2 XL，Pixel 3，Pixel 3 XL，Pixel 3a和Pixel 3a XL。此外Essential、索尼等其他主要手机厂商也会在近期内为用户提供。 访问：https://source.android.com/security/bulletin/2019-07-01.html   （稿源：cnBeta，封面源自网络。）

美国国家安全局（NSA）在10月份收集了未经授权的电话和短信数据，这是公众所知的第二起此类事件。据《华尔街日报》报道，美国公民自由联盟通过《信息自由法》诉讼抓住了这一违规行为。据说，国家安全局内部有关此事的备忘录在公开前已被“大量”修改。 这些文件没有说明收集了多少记录，但确实表示，这些数据来自一家电信公司，该公司提供了美国NSA没有要求的信息，而且没有得到美国外国情报监督法院的批准。记录开始于10月3日，但直到10月12日才停止，当时国家安全局要求公司调查异常情况。 美国公民自由联盟说，这些文件表明，由于NSA第一次违规，一个人可能被作为监控目标，导致NSA在2018年6月删除了现有的数据库。美国国家安全局多年来一直在收集电话元数据，利用它跟踪恐怖主义嫌疑人和其他人。该计划于2013年由前NSA承包商爱德华斯诺登曝光，显示NSA也在收集许多无辜美国人的数据，这可能使该计划成为大规模监视的工具。 元数据由日期、时间、电话号码和设备标识符等详细信息组成。元数据可以用来拼凑关于一个人生活的许多细节，比如日常习惯以及他们的朋友和家人是谁。据称，该数据库被删除是为了应对导致运营商发送日志的错误，日志中既有准确的信息，也有不准确的信息。外界指责NSA收集与目标无关的用户数据，在这一点上，美国国家安全局认为重新开始要比逐条检测要容易得多。   （稿源：cnBeta，封面源自网络。）

OpenSSH 是 SSH （Secure Shell） 协议的免费开源实现，它是许多 Linux 发行版中用于加密到远程系统的连接的默认解决方案。 此前，Google 的 OpenBSD 开发人员和安全研究员 Damien Miller 对 OpenSSH 进行修改，增加了对存储在 RAM 中的私钥的保护，让攻击者更难利用硬件漏洞的侧通道攻击来提取私钥。 Damien Miller 解释说，用于保护内存中私钥的对称密钥来自由随机数据(目前是 16 KB)组成的一个相对较大的 prekey。而工作方式是，密钥在加载到内存中时被加密，并在需要签名或必须保存时解密。 虽然这种预防措施并不是应对硬件攻击的完整解决方案，但它确实会使攻击者更难获得成功。Damien Miller 分析说，“攻击者必须以高精度恢复整个 prekey，然后才能尝试解密被屏蔽的私钥，但是目前的攻击具有比特错误率，要想累加到整个prekey，这显然是不可能的。” 这并不是长久之计，Damien 表示，当计算机架构变得安全的时候，才可以彻底消除这个问题。   （稿源：开源中国，封面源自网络。）

在两年的时间里进行的一项研究表明，危险的应用仍然是Android系统一个重要问题，尽管谷歌在这方面的改进本应提高用户安全水平。来自悉尼大学和英联邦科学与工业研究组织（CSIRO）的Data61小组的研究人员建立了一个先进的应用分析系统，该系统依靠所谓的卷积神经网络来扫描应用并确定相似之处，包括应用程序图标等等。 该研究发现危险的应用程序，通常使用模仿热门游戏的图标，试图欺骗用户下载它们。该研究还依赖于使用VirusTotal执行反恶意软件扫描，并检测应用程序所包含的权限和第三方广告库，以试图确定它们对安装设备造成的损害。结果几乎可以说明问题。在被检查的100万个应用程序中，有近5万个应用程序与Play Store中另一个更受欢迎的应用程序有某种相似之处。 研究人员表示他们能够在一组49608个应用程序中找到2040个包含恶意软件的潜在假冒伪劣应用程序，这些应用程序与Google Play商店中排名前1万名的热门应用程序之一具有高度相似性。该研究显示， 他们还发现1565个潜在的假冒伪劣应用程序至少比原始应用程序多出5个危险的权限许可要求，1407个潜在的伪造应用程序至少有含有5个额外的第三方广告库。 另一方面的好消息是，谷歌Play商店让35%被标记为危险的应用程序下架，可能是因为Google在发现潜在威胁后将其删除。但与此同时，65%被标记为危险的应用程序仍然存在于谷歌Play商店。虽然这些结果肯定令人担忧，但用户自己也应该在下载之前更加关注应用。强烈建议在下载之前检查任何应用的图标，说明和用户评论，因为这些可以帮助确定某个应用程序是否对Android设备构成风险。   （稿源：cnBeta，封面源自网络。）

据外媒报道，NASA总监察长办公室(OIG)于本周发布的一份报告显示，2018年4月，有黑客攻击了他们的网络并盗走了约500M与火星任务相关的数据。攻入的切点则是一台连着NASA喷气推进实验室(JPL) IT网络的树莓派电脑。 黑客偷走火星任务数据 根据一份49页的OIG报告，黑客通过入侵一个共享网络网关然后利用该入口深入JPL网络，之后进入了存有NASA JPL管理的火星任务信息的网络。 OIG的报告称，黑客使用了一个受攻击的外部用户系统进入了JPL任务网络。 NASA OIG表示：“攻击者从23个文件中窃取了大约500MB的数据，其中2个文件包含有跟火星科学实验室任务有关的国际武器管制信息。” 火星科学实验室是JPL一个负责管理火星“好奇号”探测器的一个项目。 黑客还攻击了NASA的卫星天线网络 NASA JPL的主要任务是建造和操控行星机器人宇宙飞船如好奇号或环绕太阳系行星运行的各种卫星。 另外，JPL还管理着NASA的深空网络(DSN)，这是一个覆盖全球范围的卫星天线网络，用于发送和接收来自NASA正在执行任务的航天器的信息。 调查人员表示，除了进入JPL的任务网络，2018年4月的入侵者还访问了JPL的DSN IT网络。由于担心攻击者可能也会转向他们的系统，NASA的其他几家机构在遭受入侵的同时切断了与JPL和DSN网络的连接。 攻击被定性为高级持续性威胁 NASA OIG表示：“这次攻击被列为一种高级持续性威胁，它在将近一年的时间里都没有被发现。而对这起事件的调查工作正在进行中。 报告中，JPL未能将其内部网络分割成更小的部分–这是一种基本的安全做法–而受到指责。 NASA OIG还就JPL未能及时更新信息技术安全数据库(ITSDB)而受到指责。ITSDB是JPL IT人员的数据库，该系统管理员应该在其中记录下连接到JPL网络的每台设备。然而OIG发现数据库的记录并不完整也不准确。 此外，调查人员还发现，JPL的IT人员在解决任何与安全相关的问题方面都比较滞后。   （稿源：cnBeta，封面源自网络。）

据外媒CNET报道，科罗拉多大学博尔得分校的研究人员表示，美国政府发出的紧急总统警报短信易受到黑客的攻击。该大学已经提醒美国政府官员注意这个安全问题。 无线紧急警报（WEA）短信通常被用于提醒美国的移动用户关于失踪儿童（通过Amber警报）、恶劣天气和国家紧急情况的总统公告。在总统警报信息系统的测试中，美国联邦紧急事务管理署（FEMA）于2018年10月在全美范围发送了一条来自美国总统唐纳德·特朗普的消息。去年1月夏威夷成为虚假弹道导弹警报的受害者。 现在，科罗拉多大学博尔得分校的研究人员表示，总统警报短信可能会虚假的。研究人员称，他们找到了一个后门，让他们模仿警报并向局限于小区域的人发送虚假短信，例如街区或体育场。 “从政府向手机信号塔发送紧急警报是相当安全的，”计算机科学系助理教授兼该研究报告的共同作者Sangtae Ha说。“但是手机信号塔和用户之间存在着巨大的漏洞。” 研究人员开发了模仿总统警报格式的软件，然后使用商用无线发射器将信息发送到半径范围内的手机上。该团队在该区域内测试所有手机的成功率达到了90％。 “我们只需将该消息传播到正确的频道，智能手机就会接收到它并显示出来，”Sangtae Ha表示，并补充称这些消息还可以被发送到成千上万的手机。 研究人员在测试中使用了苹果iPhone X和三星Galaxy S8。 FEMA没有立即回复评论请求。   （稿源：cnBeta，封面源自网络。）

近年来用户隐私泄露事件频发，可以用触目惊心来形容。网站托管比较网站HostingTribunal整理了一个信息图，盘点过去15年中影响最恶劣的15安全事件。自2013年以来，由于数据泄露超过14,717,618,286条记录丢失或被盗，仅2018年上半年就有3,353,178,708条记录遭到窃取。在2017年全球86％的泄露事件发生在北美，2018年美国45.9％的数据泄露事件发生在商业领域。 其中泄露事件之一就是2015年1月，一家自称为“Peace”的俄罗斯黑客组织窃取了1.17亿个LinkedIn电子邮件和密码凭证。2014年至2018年期间，网络犯罪分子收集了万豪国际连锁酒店超过5亿客人的个人数据，并于2018年9月成功攻击Facebook，窃取了5000万用户账户。 关于过去15年影响最恶劣的15起安全事件细节，可以查看以下的信息图：   （稿源：cnBeta，封面源自网络。）

破解工具UFED的宣传画面 6月17日上午消息，以色列的法证公司Cellebrite本周透露，它现在有能力解锁任何运行iOS 12.3的iOS设备。该公司在推特上宣布了这一消息，并大力宣传其用于法律提取证据的作用。 在他们产品UFED Premium（通用取证提取装置）的介绍网页上，Cellebrite称这是执法机构“解锁并从所有iOS和旗舰安卓设备中提取关键手机证据”的唯一解决方案。 在iOS系统上，UFED Premium支持运行iOS 7到iOS 12.3的所有设备。他们可以绕过屏幕锁，在任何iOS设备上完整提取文件系统，从而获得比其他传统方法更多的数据。 他们介绍说：通过此工具，能获取第三方应用程序数据、聊天对话、已经下载到手机的电子邮件和附件、甚至已经删除的内容等等，增加你找到犯罪证据并解决案件的机会。 虽然UFED只作为内部工具出售给警方。但这产品毕竟是第三方民间公司研发的产品，而且是商业售卖流程，这种方法让Cellebrite很难保护自己的技术。今年，Cellebrite的产品在eBay上就随处可见，价格仅为100美元。 苹果公司一直在努力阻止Cellebrite和Grayshift等公司的破解工具。去年10月，有消息称，由于苹果系统的改进，Grayshift的GrayKey取证盒无法解锁iOS 12设备。但目前，这场攻防战中破解那方似乎又扳回一局。 对一般用户来说，恐怕不会有人费尽心思去破解你的手机，但这种产品的存在会让人又一种隐忧，毕竟它是存在的，而且获取成本并不算高。   （稿源：，稿件以及封面源自网络。）

过去几个月，微软一直深受“沙箱逃逸”（SandboxEscaper）零日漏洞的困扰。因为黑客那边不按常理出牌，不仅没有给出 90 天的预备披露时间，还接二连三地抛出了针对 Windows 操作系统的特权提升漏洞。万幸的是，尽管准备工作有点仓促，该公司还是设法修复了已流出概念验证代码的五个漏洞中的四个，且目前尚无被人在野外利用的报道。 视频来源：https://twitter.com/i/status/1130968702239891456 据悉，已修补的这四个 SandboxEscaper 漏洞分别为： ● CVE-2019-1069 | 任务计划程序的特权提升漏洞 ● CVE-2019-1053 | Windows Shell 的特权提升漏洞 ● CVE-2019-1064 | Windows 特权提升漏洞 ● CVE-2019-0973 | Windows Installer 特权提升漏洞 鉴于漏洞的普遍严重程度，还请诸位及时安装每月发布的安全更新。   （稿源：cnBeta，封面源自网络。）