国际资讯

越来越多的iOS应用收集用户信息出售获利

安全研究人员透露，越来越多的iOS应用程序目前收集iPhone用户的位置数据，WiFi网络ID和其他数据，并将其出售给广告公司。此外，还有很多人习惯于收集一些额外的设备数据，如加速度计信息，IDFA广告标识符，电池电量，蜂窝网络信息，GPS高度和/或速度，以及位置到达/离开时间戳。收集此类数据对于大多数被发现的应用程序来说是合理的，因为它们发现它们要求获得许可并确实有正当理由，问题在于它们都不会让用户知道他们的数据将分享获益。

参考链接：https://securityaffairs.co/wordpress/76056/breaking-news/ios-apps-collect-data.html

关闭顺风车平台社交功能，屏蔽乘客信息

交通运输部、公安部10日发出通知，自即日起至12月31日，在全国范围组织开展打击非法从事出租汽车经营的专项整治行动。通知明确，相关网约车平台公司要严格规范派单管理，不得向未经背景核查的驾驶员派单，并要在派单前应用人脸识别等技术，对车辆和驾驶员一致性进行审查；要加强乘客信息保护，关闭顺风车平台社交功能，屏蔽乘客信息，防止泄露个人隐私；要规范车辆安全要求，鼓励有条件的平台公司在网约车显著位置粘贴专用标志，车窗透光率要符合出租汽车要求，确保车内情况可视，车辆运行期间不得开启儿童锁，便于乘客遇有突发情况紧急逃生；要定期随机抽查线下运营车辆及驾驶员，核查注册信息与实际情况一致性，防止“修牌改号”“冒名顶替”等问题。

参考链接：http://www.xinhuanet.com/legal/2018-09/10/c_1123408900.htm

因追踪用户定位数据：谷歌可能在美国遭遇重罚

美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私，该州总检察长马克·布诺维奇（Mark Brnovich）就有可能对谷歌处以高额罚款。

目前布诺维奇的办公室并未确认此事。

美联社上月的一项研究发现，谷歌通过Android设备提供的服务会追踪并存储用户的地理位置，即便用户在隐私设置中关闭地理位置历史也无济于事。

据悉，谷歌应用会存储带有时间戳的定位数据，借此发布精准的地理定位广告。谷歌对美联社表示，他们让用户了解这些定位数据获取工具，并且提供了“强大的控制，让人们可以自行打开或关闭功能，或者随时删除历史。”

布诺维奇可能将此事作为一起消费者保护官司进行起诉，并按照违规次数寻求每次最高1万美元的罚款，这有可能导致谷歌面临巨额处罚。

谷歌发言人对此发表声明称：“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务，例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验，包括：定位历史、上网和应用活动，以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”

参考链接：http://hackernews.cc/archives/24107

黑客事件

常州大学部分学生个人信息泄露 被企业作为员工虚报工资 疑逃税！

近日，常州大学怀德学院学生向记者反映称，该校大量学生遭遇个人信息泄露，多家企业利用这些信息捏造员工身份并虚报工资记录，背后目的可能是逃税。有相关企业负责人表示，虚报工资记录是因为企业“利润太薄”，将告知税务部门删除信息并赔偿学生损失。学生们的自发统计显示，“被入职”的学生可能超过千人，涉及到的公司至少有七家，基本都是江苏的公司。“被入职”的时间短则两个月，长的近一年。

参考链接：http://www.sohu.com/a/253122639_161795

黑客组织PowerPool利用最新Windows零日漏洞在全球多个国家实施攻击

网络安全公司ESET于上周发表的一篇博文中指出，仅在一个最新的微软Windows零日漏洞被公开披露的两天之后，一个被追踪为“PowerPool”的黑客组织就在实际攻击活动中对它进行了利用。虽然从相关数据来看受害者数量并不多，但攻击却横跨了多个国家，其中包括智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰。对于这个最新的Windows零日漏洞的利用，PowerPool并没有直接使用由披露者提供的二进制文件。相反，他们对源代码进行了修改，并对其进行了重新编译。
参考链接：https://www.leiphone.com

微软和苹果浏览器漏洞：不改变地址即可改变网页内容

安全研究人员拉菲·巴罗奇（Rafay Baloch）指出，微软已经用补丁修复漏洞，不过苹果行动迟缓，所以目前Safari仍然不安全。

通过漏洞，攻击者可以加载合法页面，让网页地址在地址栏显示，然后快速将页面内的代码转换为恶意代码，地址栏中的URL地址无需改变。这样一来，攻击者可以创建虚假登录屏幕或者其它表格，收集用户名、密码及其它数据，用户很难区分真假，他们会认为自己登录的页面是真实的。

浏览器的源码是封闭的，巴罗奇不清楚Edge和Safari存在该漏洞，但Chrome和火狐没有的原因。照他的猜测，浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说：“不同的浏览器处理导航的手法并不一样，当页面正在加载时，Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次，这样就可以解决问题了。”

微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告，至今还没有修复。按照惯例有90天的时间窗口，巴罗奇说他会披露漏洞，但是在苹果发布补丁之前不会公开代码。

参考链接：http://hackernews.cc/archives/24104