FreeBuf早报丨爱德华·斯诺登将在今年晚些时候发行回忆录《永久记录》;麻省剑桥市将禁止政府使用面部识别;苹果AirDrop和Wi-Fi密码共享功能潜藏个人信息外泄威胁 – 作者:Karunesh91

【全球动态】

1.爱德华·斯诺登将在今年晚些时候发行回忆录《永久记录》【阅读原文

前国家安全局承包商雇员,曾用泄露机密文件的方式引发关于政府监督的争论的著名人士爱德华·斯诺登将在今年晚些时候发行一本回忆录《永久记录》。斯诺登在周四发布了一则视频,透露了他即将出版额度书籍。出版社宣布,斯诺登的《永久记录》将同时在包括美国,德国和英国在内的20多个国家发行。斯诺登在此书中将描述他在元数据积累和“良心危机”中的作用,这令他在2013年窃取了大量档案并与记者分享,除此之外,大都会图书发言人Pat Eisemann拒绝透露更多细节。

2.快递企业泄露个人信息或将被列入信用“黑名单”【阅读原文

中国国家发改委8月1日披露的一份文件显示,未来,如果经营快递业务的企业出现违法收集、使用个人信息;未经被收集人同意,向他人提供个人信息等行为,将有可能被列入信用“黑名单”。中国国家发改委1日发布了其会同有关部门研究起草了《关于加强和规范运输物流行业失信联合惩戒对象名单管理工作的实施意见(征求意见稿)》,向社会公开征求意见。该意见显示,运输物流行业市场主体及其有关人员在快递领域按照相关规定被认定为严重失信的,应按照规定程序列入“黑名单”。

3.麻省剑桥市将禁止政府使用面部识别【阅读原文

在旧金山、麻省萨默维尔和奥克兰之后,麻省剑桥市有望成为美国第四个禁止当地政府使用面部识别技术的城市。剑桥市议会以言论自由和公民权利受威胁为由通过了修正案 Surveillance Technology Ordinance,要求当地政府获得或部署监控术前需要获得议会的批准。提出该修正案的市长和议员认为,面部识别技术侵犯了一个人的公民权利和公民自由,可能会对宪法保护的言论自由产生寒蝉效应。

4.Intel:已申请恢复对华为出口,x86处理器不会影响国家安全【阅读原文

在上周的财报会议上,Intel公司宣布已经部分恢复对华为的供应,日前Intel CEO司睿博在接受采访时表示他们已经向美国政府部门提交了出口申请,请求恢复对华为的供应,目前还在等待政府的批准。6月底中美会谈达成了一致,美国宣布放松对华为的制裁,允许美国公司继续对华为出口技术及产品,但只限那些不会影响美国国家安全的产品及技术。对于申请出口的产品类型,司睿博表示出口的主要是通用计算芯片,卖给华为不会有安全风险,因为向华为出口的芯片也是对其他公司供应的,因此Intel认为这不应该令人担忧。

5.iOS 12.2封堵的几个漏洞由谷歌Project Zero团队提交【阅读原文

来自谷歌Project Zero的Natalie Silvanovich和Samuel Groß近日公布了几个“无交互”安全漏洞,攻击者能够通过iMessage发起攻击。具体来说,黑客仅需要通过简单的操作(例如通过iMessage发送一段代码),就能够发动攻击,也正是由于这一漏洞的“无交互”特点,使其在黑市上备受关注,据称一个漏洞售价可能高达500万美元。所幸的是,这些漏洞由Project Zero团队发现,而且在最新的iOS 12.2中,苹果已经修复了这几个BUG,分别是CVE-2019-8624,CVE-2019-8646,CVE-2019-8647,CVE-2019-8660和CVE-2019-8662。

【安全事件】

1.苹果AirDrop和Wi-Fi密码共享功能潜藏个人信息外泄威胁【阅读原文

安全人员Hexway称,苹果iPhone、Mac和其它苹果设备之间的无线分享功能如AirDrop和Wi-Fi密码共享功能存在被利用外泄个人信息的威胁,尽管这些功能并不直接发送个人隐私相关的任何信息,但安全人员指出,苹果设备之间的AirDrop和Wi-Fi密码共享功能广播了一个特定的加密Hash(SHA256),包含了iPhone的手机号码或者Mac电脑的静态MAC地址,数据包通过BLE协议发送,包含了名字、操作系统版本、电池状态以及Wi-Fi开启情况等信息。这通常是无害的,但是对于不法分子来说,其可以被利用追踪到机主的手机号码,发动更加严重的攻击。

2.本田汽车云端数据库未设密码,全球员工信息险遭泄露【外刊-阅读原文

安全研究人员Justin Paine在网络上发现本田汽车一个未设密码的ElasticSearch数据库,似乎是本田汽车在全球所有员工电脑的库存管理数据库。这个数据库今年3月中旬才上线,但至今累积的数据量高达40GB,包含约1.34亿份文件。经过检查,这批陷遭暴露的数据包括几乎所有本田电脑相关信息。其中一个表格包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本,另一个表格则有员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。

3.多闪回应窃取通讯录事件:近半投诉者是腾讯员工或家属【阅读原文

2019年3月29日,多闪收到一起有关部门转来的深圳用户集体投诉案件。14名深圳“多闪用户”称,在多闪的“可能认识的人”栏目中,系统推荐的一些用户,与微信好友头像、昵称一致,故用户怀疑“多闪”窃取了用户微信通讯录及手机通讯录。今日多闪官方公众号发文说明此前“多闪用户”批量投诉多闪窃取用户通讯录事件疑似为虚假投诉,其中大多数投诉者疑似根本没有注册过多闪,而其中近半投诉的“多闪用户”则是该著名互联网公司员工或员工家属。对此,多闪在声明中表示,由于抖音已被微信封禁了超过一年,多闪在诞生当日就被微信封禁,从技术上,多闪根本无法获取微信通讯录。而手机通讯录是系统级权限,用户不授权,APP从技术上不可能获取。

4.Wind River修复了VxWorks实时操作系统的11个重大安全漏洞【阅读原文

RTOS被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。报道称,过去13年里,这些设备已存在不少于11个零日漏洞。遗憾的是,由于RTOS设备属于电子设备领域的沉默工作者,媒体并没有对其加以广泛的关注。物联网安全研究机构Armis将这些漏洞统称为URGENT / 11,以敦促行业尽快更新机器的RTOS系统。其中六个比较严重的漏洞,或赋予攻击者远程代码执行的权限。好消息是,Wind River已在7月19日发布的补丁中进行了修复。坏消息是,使用RTOS的设备,并不能简单地执行应用软件更新。

5.故意销售带漏洞的软件被曝光:思科赔付6000万元【阅读原文

美国律师事务所Constantine Cannon称,他代表思科经销商NetDesign的视频监控专家James Glenn提起诉讼。Glenn称,他在思科视频监控管理器(VSM)中发现了几个安全漏洞。这些漏洞可能使攻击者可以通过监控软件访问数据存储托管、控制摄像机、绕过安全措施,并在特定情况下获得通过主机网络的“管理”访问权。据报道,思科已同意支付860万美元(约合人民币6000万元)来解决这一诉讼。

6.美军称使用俄罗斯研发的手机App或导致泄密【阅读原文

近期,一款俄罗斯研发的、可以模拟人变老后面容的手机APP在美国颇为流行。美军提醒部队官兵,要在使用俄罗斯研发的手机APP时“保持谨慎”。美军欧洲司令部官员称,“我们提醒所有本战区的军人要谨慎地下载和使用俄罗斯手机APP”。美国海军陆战队则警告下属官兵,要防止在使用手机时,因提交个人信息或头像而泄密。美国空军技术部门则对部队官兵直言,只要授权俄罗斯APP访问他们的手机,就有可能“危及你曾经发布过的信息”。

【优质文章】

1.基于某异性交友APP的小数据分析【阅读原文

我习惯在包里藏一瓶百无聊赖,打发人间的白云和苍狗,一日百无聊赖的我下载了某款异性交友APP,开始了我的异性交友之旅,尬聊了两天成功率为0的我略感苍白。感觉APP里的小姐姐太优秀了,这样尬聊下去注定要孤独一生,于是就在想是否对这些妹子进行大数据分析一波,分析出妹子的需求,才好对症下药。

2.APT之迂回渗透【阅读原文

随着信息安全行业发展,很多企业,政府以及互联网公司对网络安全越来越重视。习大大指出,没有网络安全就没有国家安全,没有信息化就没有现代化。 众所周知,现在的安全产品和设备以及对网络安全的重视,让我们用常规手段对目标渗透测试的成功率大大降低。当然,对于一些手握0day的团队或者个人来说,成功率还是很高的。这里所说的意思是避过正面安全产品和设备,从“侧面”进行渗透。这个“侧面”就是我们现在一起交流的一个方式。

3.斯诺登自传《永久记录》完本,美国的“秘密”又将暴露多少【阅读原文

这一本名为《Permanent Record》(黑鸟译:永久记录)的书,将于9月17日,即美国宪法正式签署的纪念日,也是美国的宪法纪念日正式发售(现在是预售阶段),可见讽刺意义极大。而这本书,将会是一个名为爱德华·斯诺登的前CIA(美国中央情报局)技术分析员的自传,也许是最后的绝笔,而将会有多少美国的秘密,将出现在书中,不得而知。爱德华·斯诺登(Edward Snowden)冒着一切暴露美国政府大规模监视系统的风险,首次揭露了他的生活故事,包括他如何帮助建立这个系统,以及他试图披露这一切的动机。

4.脑机接口新进展,生物黑客的狂欢?“黑客帝国”仍是遥远的疆界【阅读原文

生物黑客:biohacker,顾名思义,即医药、生物等领域同黑客的跨界,既包括颇具争议的基因改造,也包含人体和互联网的联结,但更多时候指的是那些热衷于「自己动手」的生物学家。7月17日,马斯克宣布已经找到了高效实现脑机接口的方法。他拥有的公司Neuralink, 在开发连接人类和计算机的超高带宽脑机接口上有了新的成果。脑机接口,或许是生物黑客寻找的答案。

5.裁判文书网数据竟被商家标价售卖,强行突破“反爬”技术或构成犯罪【阅读原文

最高人民法院裁判文书网的数据被标价0.1元到1元不等出售。裁判文书网发布的判决书都是公开的,为什么会被售卖?获取裁判文书网数据的手段对于网站是否有危害呢?在某网络商城中可以看到,有标注来自湖南、广东、山东等多地的商家均声称出售裁判文书网的数据,其中不少商家声称其数据量超6000万条。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

来源:freebuf.com 2019-08-02 09:00:15 by: Karunesh91

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论