国际资讯

快讯 | FaceBook 承认与华为等中国公司共享数据，表示将终止合作

北京时间 6 月 6 日，外媒路透社发文报道称 FaceBook 承认与至少四家中国科技公司有数据共享协议，美国情报机构认为这会构成国家安全威胁，FaceBook 已经接受相关审查。

这四家机构分别是全球第三智能手机制造商华为（002502.SZ）、电脑制造商联想集团（0992.HK）、智能手机制造商 OPPO 以及 TCL Corp（000100.SZ）。包括这四家公司在内的全球约 60 家公司先后与 FaceBook 签署协议，以便获取用户数据并重新为其用户创建类似 Facebook的体验。昨天，纽约时报已经报道了这一事件，当时 FaceBook 对此否认并表示数据访问只是为了让用户能适应移动设备上的账户功能。

FaceBook  称目前超过一半的合作关系已经停止，并将在本周晚些时候与中国这四家厂商结束协议。但是对于参议院商务委员会关于数据共享和隐私泄露的质疑和调查，扎克伯格尚未回应。

参考链接：http://www.freebuf.com/news/174021.html

澳大利亚议员要求封禁华为5G设备 这事还要怪特朗普？

据英国金融时报报道，华为的电信设备供应或将在澳大利亚受阻。澳大利亚政府已经表示将评估电信网络等设备是否对国家安全构成风险，从而或将以个案方式禁止采购华为5G设备。

事件起源于澳大利亚工党议员迈克尔•丹比对华为的指控，他呼吁自由党-国家党(Liberal-National)联合政府禁止华为和中兴供应5G网络设备。迈克尔•丹比所处的工党目前是在野党，不过仍然引起了澳大利亚政府方面的担忧。

雷锋网了解到，华为澳大利亚分部董事长约翰•洛德（John Lordr）回应称，如果华为5G设备被拒于门外，不仅将严重冲击华为在澳大利亚业务，澳大利亚5G市场因缺乏竞争，发展也会受影响。

资料显示，截至目前为止，澳大利亚有55%的4G设备由华为提供，4G也是华为在当地的主要业务。

约翰•洛德还表示，华为准备向澳大利亚政府提供此前华为给英国和加拿大提供的类似方案，以化解澳大利亚安全方面的担忧。

今年5月份，本该由华为承担的所罗门群岛至悉尼的海底高速光缆工程被澳大利亚搅局，理由同样是莫名的安全因素，该项目全程4000公里，总投资7000万美元。更早在2012年，华为也被禁止参与澳大利亚国家宽带网络项目。据报道，这两起事件都有美国的影子。

参考链接：https://www.leiphone.com/news/201806/wU3cfoXfq7uBEZJI.html

Steam客户端发现远程代码执行漏洞：已放补丁

大家熟知的游戏平台Steam客户端，竟然存在了一个至少10年的远程代码执行漏洞……近日有安全公司的研究人员Tom Court曝出了这一发现。据悉，这个漏洞会影响到每月1500万的活跃用户，因此游戏公司Valve在收到安全通知后，12小时内就放出了安全补丁。

Steam客户端程序库的堆积（Heap）崩溃漏洞能被远端触发，该区代码是用来处理并重组多个UDP数据封包，Steam客户端依赖自定义协议进行通讯，这个协议建立于UDP之上。简单来说，这个错误发生于，客户端程序没有对分段数据包的第一个封包进行基本的检查，来确保指定的封包长度小于或是等于总数据包的长度，Tom Court认为这是一个疏忽，因为在后续传输的封包都有经过检查。

在现阶段的操作系统中，单独的堆积崩溃漏洞很难控制，因此也不容易被利用于远程代码执行攻击，但是Steam自定义的内存分配器，以及在2017年7月之前，steamclient.dll二元档中还没有使用绕过地址随机化（Address Space Layout Randomisation，ASLR）保护技术，因此大幅提高了这个漏洞被利用的可能性。

在Tom Court看来，这是一个简单的漏洞，在缺乏现代化信息安全技术的保护下，漏洞被利用起来也相对简单许多。他在今年2月告知Valve该漏洞，而Valve也在12小时内就在客户端测试版发布了修正补丁，并在3月22日以将正式版推送给所有玩家，目前没有证据显示该漏洞曾被利用来发动攻击。

不过，这个漏洞之所以存在这么久还没有被发现，Tom Court认为，由于这部分程序运作良好，开发者似乎也没有特别的理由更新。但显然这对于程序开发商来说，倒应该是一个很好的教训，而且定期检查包含老旧代码在内的程序，无疑就变得更为重要了。

参考链接：http://www.youxia.org/2018/06/38836.html

黑客事件

DNA检测公司MyHeritage遭黑客入侵：9200万账户泄露

北京时间6月6日早间消息，消费级家谱网站MyHeritage宣布，与该公司的9200万个帐户相关的电子邮件地址和密码信息被黑客窃取。MyHeritage表示，该公司的安全管理员收到一位研究人员发送的消息，后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件，里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。

“没有证据表明文件中的数据被犯罪者利用。”该公司周一晚些时候在声明中说。

MyHeritage允许用户制作家谱、搜索历史记录并寻找潜在的亲人。该公司2003年创办于以色列，2016年推出了MyHeritage DNA，用户只要发送一份唾液样本即可进行基因检测。该网站目前拥有9600万用户，其中有140万曾经接受过基因检测。

参考链接：https://www.t00ls.net/articles-46231.html

谷歌应用现怪异Bug：搜索特定词条会暴露短信

过去几周里，有安卓用户在其设备上发现了前所未有的有趣bug。当用户在搜索一些特定词条时，设备会暴露用户个人的短信息。不过这个bug只会在使用Google Search，Google Assistant以及Pixel Launcher这些谷歌应用时才会触发。

这个问题最初由一位用户报告，据称当他偶然在Google Pixel Launcher中搜索“the1975..com”时，该应用并没有返回搜索结果，而是返回了所有短信。之后这位用户在Reddit上发帖公布了这个bug的细节，其他用户和研究人员发现通过其他词条（如下），在其他谷歌应用中也可以重现这个bug。

谷歌应用通常是可以返回短消息的，但是也仅限于在用户明确指示后才会显示，而不是通过搜索这些随机词条显示。Google Assisant很久之前就可以朗读短信了，这提高了谷歌通过一些模糊词返回相同结果的可能性，

虽说这称不上是个安全风险，但是它比安全风险更加“怪异”。

参考链接：http://www.youxia.org/2018/06/38816.html

高校研究：声波攻击5秒可引发机械硬盘错误！

E安全6月6日讯 浙江大学和密歇根大学的研究人员在 IEEE 2018年安全与隐私研讨会（5.21-5.23）上发表了其“利用声波攻击破坏硬盘”的研究。在对这种声波攻击进行的演示过程中，研究人员可通过目标电脑的内置扬声器播放超声波声音，或利用目标设备附近的扬声器对硬盘造成物理损坏，甚至可让电脑死机。

传统硬盘透过涂布磁性物质圆形碟盘储存资料，利用读写头定位并读取记录的资料。在读取资料时，由于一切读写动作需要机械操作，因此传统硬盘运作时需要有稳定的环境，以避免出现震动而导致运作不正常情况的发生，更严重者则会因为读写头撞击碟盘进而导致硬盘及硬盘内的资料永久毁损。

不同的物体对于不同频率的声波有着不同反应，当物体在某个特定频率之下的振动比其它频率更高，称之为该物体的共振点。电脑零组件当然有共振点特性，对于目前电脑系统当中唯二还使用机械运作原理的传统硬盘而言，共振容易使得读写头定位偏离磁轨，从而导致读写失败，影响整体电脑系统正常运作。

参考链接：https://www.easyaq.com/news/2058011363.shtml

（来源：云天安全搜集整理互联网安全资讯）