国际资讯

雅虎邮箱被曝大规模扫描用户邮件，将数据出售给广告商

援引华尔街日报报道，雅虎依然在扫描用户邮件并将这些数据销售给广告商，而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈，希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件，从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。

Oath向华尔街日报承认公司确实进行了邮件扫描，但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置，避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统，人们不期望获得没有价值交换的免费服务。

报道中还指出，即使启用了雅虎的高级邮件服务（月费3.49美元），如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中，那些经常购买机票的用户就会标记为出差频繁人士，那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。

参考链接：http://hackernews.cc/archives/24001

2018 年上半年无文件及 PowerShell 攻击飙升至新高度

终端安全公司 SentinelOne 发布了“2018年上半年企业风险指数报告”，报告显示：2018 年 1 月至 6 月期间，无文件攻击次数增加了 94％；PowerShell 攻击从 2018 年 5 月的每 1000 个终端遭受 2.5 次攻击飙升到6月的每 1000 个终端遭受 5.2 次攻击；勒索软件传播态势依然十分严峻且上升速率很快，每1000个终端遭受攻击的数量从 1 月的 5.6 极速上升至 6 月的14.4。

参考链接：https://threatpost.com/threatlist-ransomware-attacks-down-fileless-malware-up-in-2018/136962/

研究人员在 Windows 任务管理器中发现零日漏洞

近日，有安全研究人员披露了 Windows 任务管理器中的 0-day 漏洞，可被利用提升系统权限，进行进一步攻击。漏洞出现的原因是 Windows 任务管理器在进行高级本地进程调用（ALPC）处理时出现错误。漏洞曝出后，美国 CERT/CC 及时确认，但该研究人员并没有报告给微软。目前尚不清楚这个 0-day 漏洞是否会影响微软 Windows 系统，据推测微软会在 9 月 11 日的修复日发布补丁。

参考链接：https://securityaffairs.co/wordpress/75717/breaking-news/zero-day-windows.html

黑客事件

黑客劫持埃隆·马斯克推特账号，发帖称提供免费加密货币

全球网络安全解决方案提供商趋势科技（Trend Micro Incorporated）在新的研究中表示，网络犯罪分子的注意力正从勒索软件攻击转为更隐蔽的方法，其目的仍在于窃取金钱和宝贵的计算资源。研究还表明，与2017年全年相比，2018年上半年数字货币采矿探测量增加了96%。

参考链接：http://www.freebuf.com/news/182586.html

来自11家OEM厂商的智能手机容易遭到隐藏AT指令攻击

国外的安全研究人员发现，来自11家智能手机OEM厂商的数百万台移动设备容易遭到隐藏AT命令攻击

AT(ATtention)命令是20世纪80年代早期开发的短字符串(ShortString)命令集合，通过电话线和控制调制解调器传输。将不同的AT命令字符串合并在一起，可用于告知调制解调器进行拨号、挂断或更改连接参数等功能。

普通用户可能不知道，现代智能手机也集成了基本的调制解调器组件，允许智能手机通过其电话功能连接到互联网。虽然国际电信机构已经推出了标准化的标准化的基本AT命令，所有智能手机必须支持这些指令。可出于实际需要，供应商还是为自己的设备添加了自定义AT命令集，可用于控制一些非常危险的手机功能，例如触摸屏界面、设备摄像头等。

针对数以千计Android固件的研究

来自佛罗里达大学、斯托尼布鲁克大学和三星研究美国的11名科学家组成团队，研究了现代Android设备目前支持哪些类型的AT指令以及影响。

该研究团队分析了来自11个Android OEM的超过2000个Android固件映像，如华硕、谷歌、HTC、华为、联想、LG、LineageOS、摩托罗拉、三星、索尼和中兴。发现这些设备支持超过3500种不同类型的AT指令，其中一些可用于访问非常危险的功能。

USB接口暴露AT指令

这些AT指令均通过手机USB接口暴露，这意味着攻击者必须获得用户设备的访问权限或接入隐藏的USB底座、充电器或充电站内的恶意组件。

一旦攻击者通过USB连接到目标手机，他就可以使用手机的一个隐藏AT指令重写设备固件，绕过Android安全机制以获得敏感的设备信息、解锁屏幕等。有些AT指令仅能在手机处于USB调试模式时才可用，但研究人员也发现许攻击者可以直接访问的AT命令，即使手机已进入锁定状态

在许多情况下，运行这些指令完全没有日志记录。最大的风险是攻击者可模拟触摸屏点击，使得攻击者完全控制设备并安装恶意应用程序以进行进一步的行动

参考链接：http://netsecurity.51cto.com/art/201808/582384.htm

200万T-Mobile用户个人信息遭泄露

据外媒报道，国外移动运营商T-Mobile本月20日曾遭受骇客攻击。在其刚刚发布的官方公告中确认，大约有200万名T-Mobile用户的帐号密码，甚至姓名、电话、电子邮件等个人信息也遭受泄露

随后T-Mobile在官网上发表声明说，其网络安全团队现已切断了外界对用户敏感信息的未授权访问，并向有关部门上报了此事。

尽管T-Mobile表示泄露的部分信息如密码数据，已通过了加密处理。不过有第三方安全研究人员发现，其外泄密码的加密算法很可能仅为安全程度不高的MD5，是能够通过暴力破解或逆向工程破解的。因此为了确保信息安全，还是建议T-Mobile用户能够尽快更新现有的帐号密码为妙。

参考链接：http://netsecurity.51cto.com/art/201808/582262.htm