近期，不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题，而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道，由于小米米家摄像头存在的风险隐患，目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。 谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw 据悉，这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的，他表示他自家的小米米家1080P Smart IP安全摄像头，会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的，摄像头正在运行固件版本3.5.1_00.66。 在尝试访问小米米家摄像头的监控视频时候， 他并没有看到摄像头拍摄的监控视频流，而是显示来自家中其他房间的静态图片。在上传到Reddit社区的8张静态照片中，包括熟睡婴儿、封闭的门廊以及男子在椅子上睡觉的画面。 Dio-V表示反馈回到Google Nest Hub展示的随机静止图像中，还包括Xiaomi/Mijia品牌的日期和时间戳的，而且所显示的时区和他当前所处的时区也不同。从技术上讲，这可能是一场精心策划的恶作剧，但Dio-V提供的证据却相当可信。另外，这些图片也有可能是测试图像，Dio-V无意中访问了调试模式。当然也存在其他可能的解释。 随后谷歌非常重视这个问题，表示：“我们已经意识到了这个问题，并正在与小米联系以进行修复。同时，我们正在禁用设备上的小米集成。”随后外媒Android Police进行了实测，确实发现在Google Home等设备上已经禁用了米家所有产品的集成。     （稿源：cnBeta，封面源自网络。）

Google 安全团队 Project Zero 的研究人员近日披露了一个活跃的 Android 漏洞，该漏洞影响了一些受欢迎的设备，其中包括 Pixel 2, 华为 P20 Pro 和红米 Note 5 等。 Project Zero 发表的帖子显示该漏洞是在上周被发现的，当时攻击者正在利用它完全控制 Android 设备。帖子还指出，要利用此漏洞无需或只需最小自定义的 Root 权限即可。 团队还列出了一些受影响的运行 Android 8.x 或更高版本的设备： 搭载 Android 9 或 Android 10 preview 的 Pixel 1, 1 XL, 2 和 2 XL（Pixel 3 和 3a 设备不受攻击） 华为 P20 红米 5A 红米 Note 5 小米 A1 Oppo A3 Moto Z3 Oreo LG 手机 三星 Galaxy S7, S8, S9 …… 对此，Google 表示即将发布的 Android 10 月安全更新将修复该漏洞，并已通知 Android 合作伙伴推送更新，安全补丁可在 Android Common Kernel 上获取。 据了解，该漏洞早已在 Android 内核的早期版本（3.18, 4.4 和 4.9）中被修复，但现在却再次出现了。事实上该漏洞最早源于 Linux 内核，早在 2018 年初就被发现并修复，但出于未解释的原因，补丁没有整合进 Android 的安全更新。 安全研究人员介绍，攻击者无法使用远程代码执行（RCE）来利用此漏洞。但是，如果我们从不受信任的来源安装应用程序，则攻击者可以通过这个过程来利用漏洞。如果攻击者将其与 Chrome 浏览器中的漏洞进行配对以渲染内容，则他也可以通过此来利用该漏洞。 为此，他们建议用户不要从非可信来源安装应用程序，并最好使用其他浏览器，例如 Firefox 或 Brave，直到问题解决为止。 另外，安全研究人员还推测该漏洞已被以色列公司 NSO 使用，该组织是一个基于 Isreal 的组织，它向政府出售工具以利用 iOS 和 Android。而 NSO 的代表则否认了这一说法。     （稿源：开源中国，封面源自网络。）

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称，小米型号为M365的电动滑板车存在漏洞，可能会让黑客远程控制该滑板车，比如导致滑板车突然加速或突然刹车。小米的这款滑板车于去年引入美国数个城市，为一些共享电动滑板车公司所用。Zimperium认为，问题出在滑板车的密码验证过程中，该验证通过蓝牙通信完成。 “在我们的研究过程中，我们认为，密码在验证过程中未被正确使用，所有命令都可以绕过密码执行，”Zimperium在声明中写道，“密码仅在应用端验证，但滑板车本身不跟踪身份验证状态。” 研究人员称，他们可以无需验证地与设备的防盗系统、导航系统和生态模式进行互动，并更新设备固件。 Zimperium还发布了一则概念验证，演示其应用扫描附近的小米滑板车后，通过他们的防盗功能禁用车辆。Zimperium称，应用对任何100米半径范围内的M365滑板车有效。 该漏洞进一步增加了人们对可出租电动滑板车的担忧。随着这些滑板车陆续出现在各大美国城市以及监管机构匆忙出台法律应对这一新的交通模式，围绕这一设备的争议越来越大。不少人认为，他们更愿意在拥堵的城市间骑着滑板车穿梭于各个街区。反对者认为，骑手通常无视交通规则，在人行道上行使，从而危害行人安全，并且随意停放车辆。 Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现，其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板，完全无需身份验证。 Zimperium表示，其已经将该漏洞通知小米。小米暂未立即回复评论请求。     稿源：，稿件以及封面源自网络；

外媒 3 月 14 日消息，安全公司 Check Point 本周披露了一个名为 RottenSys 的恶意软件家族 —— 通过伪装成系统 Wi-Fi 服务，增加广告收入。根据调查，自 2016 年起，该移动广告软件已感染了近 500 万台 Android 设备，其中受影响较大的包括荣耀、华为以及小米。 Check Point 称最近小米红米手机上的一个不寻常、自称为系统 Wi-Fi 服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的 Wi-Fi 相关服务，反而会要求许多敏感的 Android 权限，例如与 Wi-Fi 服务无关的易访问性服务权限、用户日历读取权限等等。 根据 Check Point 的调查，恶意团伙利用 RottenSys 谋取暴利，每 10 天的收入能达到 115,000 美元。目前，感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo 等。并且需要注意的是，由于 RottenSys 的功能比较广泛，攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。 RottenSys 恶意软件部分细节： 恶意软件实施两种逃避技术：第一种技术包括在设定时间内延迟操作；第二种技术使用不显示任何恶意活动的 dropper。一旦设备处于活动状态且安装了 dropper，与之联系的命令和控制（C＆C）服务器将会向其发送活动所需的其他组件列表。 恶意代码依赖于两个开源项目： 1、RottenSys 使用一个名为 Small 的开源 Android 框架（github.com/wequick/small）为其组件创建虚拟化容器。通过这种方法，恶意软件就可以运行并行任务，从而攻破 Android 操作系统的限制。 2、为了避免 Android 系统关闭其操作，RottenSys 使用了另一个名为 MarsDaemon 的开源框架（github.com/Marswin/MarsDaemon）。 不过虽然 MarsDaemon 保持流程活跃，但它也阻碍了设备的性能并且消耗了电池。 Check Point 调查报告： 《 RottenSys: Not a Secure Wi-Fi Service At All 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

在印度内务部禁止印度军事人员安装一系列中国手机应用软件之后，小米和 UC 公司对此作出了回应。小米公司宣称公司已经针对这一事件展开了调查，UC 则声称不会做出任何破坏用户信任的行为。 小米公司发言人称：“在小米公司内，我们非常严肃认真的对待安全和隐私问题。我们全球的电子商务平台和国际用户的数据都位于加利福尼亚和新加坡的亚马逊 AWS 数据中心。我们目前正在对这一报告进行审查，而且希望让米粉们放心，我们一直致力于安全的储存和传递用户数据。” UC 同样做出回应称：“最近关于印度军人卸载许多手机应用的媒体报道让我们感到委屈和痛苦。在 UC 公司内，我们非常重视安全和隐私问题，而且努力遵守每个运行区域的当地法规，当然包含印度在内。我们也非常自豪于能够为印度和数百万印度用户提供长期的承诺。UC 浏览器和 UC 新闻并非像报告中宣称的那样，它们既不是间谍软件也不是恶意软件。” 周早些时候有媒体报道称，印度情报机构要求安全部队不要使用由中国研发或者与中国相关的手机应用，并且声称它们有可能是间谍软件。 被印度情报机构列入黑名单的应用包括 Truecaller（真实来电）、UC 浏览器、微信以及小米手机上的诸多本土 App，比如说小米社区、小米商店和小米视频通话等。这些 App 被怀疑是间谍软件。 稿源：cnBeta，封面源自网络；