国际资讯

苹果就 Apple ID被盗刷一事道歉

苹果就中国用户 Apple ID被盗刷一事发表声明，表示深感歉意，它建议用户启用双重认证。苹果表示，它在调查后发现少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。苹果已经采取了多种措施来保护用户，并已防止了相当数量的欺诈交易。比如，通过审查发生在近期账户变动后的购买请求，拒绝了高风险的订单。苹果已经注意到这些问题现已显著减少。苹果正主动识别可疑活动，并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证，以防止未经授权的访问。

参考链接：https://www.solidot.org/story?sid=58243

“请勿跟踪”功能几乎无人遵守

主要浏览器都支持的隐私保护功能——请勿跟踪（Do Not Track，DNT）实际上并没有任何作用。如果你启用请勿跟踪，在访问某个网站时，浏览器向网站服务器发送的 HTTP头文件将包含请勿跟踪的信息，但网站可以置之不理，继续收集你的信息，因为 DNT是一个志愿遵守的系统，而绝大多数网站都不遵守 DNT，从 Google 和 Facebook 到成人网站 Pornhub 和 xHamster，这些排名位居前列的流行网站都不遵守 DNT。只有少数网站遵守 DNT，其中最知名是 Pinterest 和 Medium。 DNT 显然是一个失败的实验。

参考链接：https://www.solidot.org/story?sid=58245

因App过度索取用户信息，上海网信办约谈本地23家常用APP运营企业

上海市网信办近期对本地最常用的23个APP获取用户个人信息等相关权限申请情况开展抽查，发现其中约30%与所提供的服务没有对应关系，属于不合理范围。12日和15日，市网信办分别约谈了运营这些APP的23家企业，要求认真整改。市网信办相关负责人说，从被抽查的APP情况来看，现在上线的APP几乎都有过度索取用户个人信息的问题，APP运营企业都要对此进行自查自改。市网信办今后将定期抽检，并向社会公布抽检结果。

参考链接：http://mobile.163.com/18/1018/00/DUC0JR6N00118017.html

黑客事件

一名俄罗斯男子因非法入侵政府服务器挖矿而被起诉

近日，据外媒引述俄罗斯联邦安全区域办事处报道称，来自西伯利亚城市库尔干的一名21岁俄罗斯人正面临一起刑事指控，至于指控的原因是他通过政府服务器非法开采比特币（BTC）。 调查发现该男子攻击了俄罗斯三个地区的公共管理服务器，官方内部安全部门发现该男子是通过一个漏洞入侵他们的设备的。据称，该男子被指控的罪名是“出于自身利益故意攻击计算机防御网络”，如果被判有罪，他可能面临长达五年的监禁。

参考链接：https://www.cnbeta.com/articles/tech/778297.htm

EOS遭受CPU危机，普通用户无法进行正常转账

据imToken消息，目前EOS正在遭受CPU危机，一个疑似攻击账号blocktwitter在spam攻击整个EOS网络，导致普通用户无法进行正常转账。B1及EOS社区正在积极寻求解决方案。此前据引力观察报道，最近EOS主网的CPU使用紧张，导致用户需要抵押较多的EOS，才能获得足够的CPU资源。社区成员询问CPU的情况后，某个节点表示，一些节点正在一起研究此问题和测试解决方案。

参考链接：https://www.bianews.com/news/flash?id=22530&tdsourcetag=s_pctim_aiomsg

黑掉无钥匙（keyless）汽车的7种方式，或致高风险车辆保险成本飙升

1. 使用Relay(继电器)攻击无钥匙进入系统

所谓Relay(继电器)是具有隔离功能的自动开关元件，广泛应用于遥控、遥测、通讯、自动控制、机电一体化及电力电子设备中，是最重要的控制元件之一。

一般来说，配备无钥匙进入系统的车辆，当钥匙靠近车体时，车门会自动开锁并解除防盗警戒状态;当钥匙离开车体时，车门会自动上锁并进入防盗警戒状态。这种产品采用的是世界最先进的RFID无线射频技术，但这种无线射频技术具有一定的范围限制，如果钥匙距离车体较远，车辆则无法感应到信号并完成解锁操作。

但是，犯罪分子可以通过使用“继电器箱”(relay box)将感应距离扩展到了上百米，钥匙发出的无线电信号通过工具传输到汽车电脑，汽车电脑误以为钥匙就在旁边，最终汽车信号和钥匙被欺骗，允许无钥匙开启车门、开动汽车。

2. 无钥匙干扰

犯罪分子使用的另一种方法是阻止汽车钥匙锁定信号到达您的汽车——这也就意味着，当你离开汽车时，您的车辆仍然处于解锁状态，然后犯罪分子就可以轻松地访问您毫无防护措施的车辆。

3. 轮胎压力监测系统

这是一种不易被人察觉且并不为人所知的方法，黑客可以通过这种方法与车辆轮胎内的传感器进行交互。这就意味着，他们能够跟踪车辆并显示错误的轮胎压力读数——如此一来，可能会诱使你停车检查轮胎情况，犯罪分子就可以借此空档趁虚而入。

4. APP漏洞诱发远程遥控危机

许多车辆都可以在未经驾驶员许可的情况下，获取远程信息处理权限，这是因为许多车辆跟踪应用程序都集成了这些技术。虽说拥有这些应用程序对于那些联网车主而言十分方便，但这确实也意味着，一旦服务器配置错误或遭到恶意篡改，黑客就能找到、解锁并启动附近汽车的引擎。

5. 控制器区域网络(CAN)禁用安全功能

自20世纪末以来，汽车已经使用了专用控制器局域网(CAN)标准，以允许微控制器和设备相互通信。CAN总线与车辆的电子控制单元(ECU)通信，该控制单元操作许多子系统，例如防抱死制动系统，安全气囊，变速箱，音响系统，车门以及许多其他部件，包括发动机。

黑客可以通过汽车的Wi-Fi或电话连接中的漏洞访问内部汽车网络，并发送“拒绝服务”(DoS)信号，这些信号可以关闭安全气囊，防抱死制动器甚至门锁。

6. 攻击“车载诊断端口”

汽车拥有一个名为“车载诊断端口”(OBD)的功能，外部OBD设备可以插入汽车作为执行外部命令及控制诸如Wi-Fi连接、进行性能统计和开门等控制服务的后门。如果安全性无法得到保证，OBD端口则为恶意活动提供了一种途径。

如今，市场上已经出现可以使用此端口编程新密码的工具包，售价仅为50英镑，允许黑客使用它们来创建新的密钥访问车辆。

7. 电话/电子邮件网络钓鱼

如果您在汽车内使用Wi-Fi，黑客也许可以通过网络钓鱼方案访问它。他们可以发送带有恶意网站和应用程序链接的电子邮件，如果您打开了这些网站和应用程序，他们就可以获取到您的详细信息，甚至可以控制您手机上允许您与车辆互动的任何应用程序。

参考链接：http://zhuanlan.51cto.com/art/201810/585217.htm