据外媒报道，Trustwave 公司安全实验室 SpiderLabs 研究员发现，苹果 macOS 和 Mac OS X 操作系统版本的即时通讯软件 Skype 存在隐藏的后门，攻击者可以监视用户的通信信息。 该后门是一个桌面应用程序编程接口( API )，它为第三方插件和应用程序提供接口与 Skype 进行信息交互。 该后门早在 2010 年版本的 Mac OS X 就已经存在，允许任何恶意的第三方应用程序绕过身份验证过程通过 Skype 的 API 接口对系统进行访问操作。 如何利用后门 恶意应用程序将自己伪装成“ SkypeDashboard Widget”程序，就可以绕过系统的身份验证直接通过 Skype 桌面 API 进行访问操作。 伪装过程也很容易，只需将程序的文本字符串值改为“ Skype Dashbd Wdgt Plugin ” 攻击者可利用隐藏的后门进行以下操作 ·读取消息通知内容 ·拦截、读取和修改消息内容 ·记录 Skype 语音消息 ·创建聊天会话 ·检索用户的通讯录。 研究人员认为该后门是由微软公司正式收购 Skype 之前的开发人员创建，至少 3000 万 Mac OS X 用户受影响。 Trustwave 称该后门可能是开发人员无意间留下的，因为 Skype dashboard widget 插件至今没使用过该“功能”。Trustwave 在 10 月份将漏洞提交给微软公司，目前后门已被修复，Skype 7.37 及之后版本不受影响。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，索尼已经关闭了 80 款“ IPELA ENGINE ”品牌网络监控摄像头的调试后门，索尼摄像头采用硬编码登录，可被恶意软件劫持成为像“ Mirai ”一样的僵尸网络。 后门是由美国证券交易委员会的 Stefan Viehböck 在 10 月发现，专家向索尼报告了问题，之后，索尼公司迅速发布固件更新，至于为什么要留后门以及到底用来干什么，索尼拒绝回复。 专家在固件中发现了两个硬编码，是一种内置的基于 Web 的管理控制台永久启用帐户： 用户名： debug，密码：popeyeConnection 用户名： primana，密码：primana 这允许黑客使用这些账户通过 Telnet / SSH 服务远程登录联网设备并获得管理员权限。 例如：通过发送以下网址到目标设备可获得 Telnet 访问权限。 http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=zKw2hEr9 http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=cPoq2fi4cFk 一旦 telnet 或 SSH 服务已启用，攻击者就可以 root 权限登录，并获得操作系统命令行级别的访问。下面是操作系统级后门用户的密码哈希值 $1$$mhF8LHkOmSgbD88/WrM790 (gen-5 models) iMaxAEXStYyd6 (gen-6 models) 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，加拿大新政府正在寻求更大的监管能力，未来它将要求所有服务商都要具备解密功能、强制储存电话和网络纪录、允许用于拦截的后门以及无需搜查令的基本用户信息访问。 虽然强制解密和加密后门在美国没能成功，但在英国《Snoopers’ Charter》监控法 却获得了通过。如今加拿大也开始为尝试推行监控法进行意见收集。 除了通信拦截之外，加拿大政府还希望能获取其他一些服务上的拦截功能。由于端到端的加密服务，连服务供应商自己都没法看到实际内容，执法部门当然也不行。最佳的解决办法就是要求这些公司在通信服务中加入后门。但如果这样的现象得到普及，也就意味着将会有越来越多的客户避免使用这些服务。这也成为了西方许多国家尝试想要通过监控法案的原因所在，这将让民众不得不接受使用存在后门的服务。此外，加拿大新政府还认为应当拥有无需搜查令也能访问用户信息的权力。 稿源：cnbeta.com 节选有删改，封面来源：百度搜索

Kryptowire 是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司，主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。 美国东部时间 11 月 15 日，Kryptowire 官网 发布公告 称，发现移动电话中的神秘固件可未经允许发送用户敏感数据。目前已确定几款 Android 设备装有这些固件，主要通过网络商城（如 亚马逊、百思买）销售，其中包括当下流行的低端手机 BLU R1 （亚马逊等各大商城有卖）。 这些设备将会积极传回用户个人信息，包括短信、联系人列表、通话记录、国际移动用户识别码（IMSI）和国际移动设备识别码（IMEI）等。固件能够针对用户短信远程匹配关键字，绕过 Android 权限模型、提权、执行远程命令，还能够进行远程重新编程。 Kryptowire 公司溯源发现该固件会周期性将收集到的信息多层次加密，通过安全的网络协议传回位于上海的服务器，调查显示服务器属于固件更新软件提供商——上海 AdUps （上海广升信息技术有限公司）。 更多详细分析情况请查阅 Kryptowire 官网公告。 **  BLU 产品公司约有 12 万手机受到影响，其余影响范围正在统计中。 稿源：本站翻译整理， 封面：百度搜索，图文无关。