国际资讯

苹果Siri被曝隐私漏洞：锁屏通知直接读取

iOS 11中，苹果采用了一种新的方式保护用户隐私，用户通过iPhone的锁屏隐藏通知内容，直到使用Touch ID或Face ID解锁设备。但事实上，即使无法解锁手机，还是有非常简单的办法阅读这些隐藏的通知：只需要让Siri阅读即可。

Mac Magazine发现的一个新bug（通过9to5Mac）显示你可以简单地要求Siri监视某人隐藏的通知。

即使在“显示预览”的功能设置为仅显示“解锁时”（设置>通知>显示预览）时，仍然可以让Siri大声朗读任何隐藏的通知，用户只需要说“Hey Siri，阅读我的通知”。

Siri能够读取iOS（11.2.6）最新版本的iPhone X和iPhone 8 Plus上来自第三方通信软件Signal和WhatsApp的大量隐藏消息。

唯一不受漏洞影响的似乎是苹果自己的消息应用。我们一再尝试让Siri阅读其中的文本，iPhone始终要求我们先解锁我们的iPhone。

这个漏洞可以说是比较严重的，因为它违反了iOS相关安全设置的初衷，使得原来解锁后才能看通知的限制形同虚设。苹果表示它“意识到”该漏洞并正在进行修复。 “我们知晓了这个问题，将在将来的软件更新中解决。”

参考链接：http://www.freebuf.com/news/166090.html

AMD 证实处理器漏洞报告完全属实 将在数周内推出补丁

AMD 公司官方证实了3月12日由以色列 CTS 实验室披露的 RyzenFall、MasterKey、Fallout 和 Chimera 漏洞完全属实，且对这四种漏洞的评估情况也和 CTS 实验室的结论以及第三方 Trail of Bits、Check Point 和 Crowdstrike 公司研究人员 Alex Ionescu 的审计结果一致。AMD 公司表示将在“未来几周”推出补丁。此前由于 CTS 实验室披露漏洞的流程并不标准，因此很多安全专家认为 CTS 发布的报告旨在操纵 AMD 股票，因此认为报告中含有错误或具有误导性的问题。

AMD 官方证实产品受影响：

AMD 公司的首席技术官 Mark Papermaster 今天（美国时间3月20日）证实称这些缺陷都是真实存在的，而且，确实影响了 AMD Ryzen 和 EPYC 处理器系列。具体来讲，其中的三个漏洞即 MasterKey、Fallout 和 RyzenFall 影响 AMD 平台安全处理器 (PSP)。它是一款安全的层叠式芯片处理器，类似于英特尔公司的管理引擎 (ME)，和硬件层面的其它 AMD 处理器分离，通常处理的是安全数据如密码、加密密钥等。最后一个漏洞 Chimera 影响的是用于管理处理器、内存和外围设备进行通信的 AMD 芯片集（主板组件），该漏洞可导致攻击者执行代码并将错误信息中继到其它组件。

AMD 称只有一天核验原始报告内容

AMD 花费一周的时间才评估完这些漏洞的原因是，CTS 实验室在公布研究成果前仅预留给 AMD 一天的时间阅读报告。AMD 同时也驳回了 CTS 实验室对漏洞严重程度的评估，和第三方调查人员的结论一致，AMD 公司认为利用这些漏洞需要获得管理员权限。Meltdown 和 Spectre 缺陷在利用过程中并不需获得权限提升。如下是 AMD 公司对 MasterKey、Fallout、RyzenFall 和 Chimera 漏洞的品谷以及补丁修复计划。AMD 承诺将会在未来几周推出更多关于修复进程的详情。

参考链接：https://www.anquanke.com/post/id/101803

谷歌开发区块链相关技术,支持云业务与创企竞争

据熟悉情况的人士透露，谷歌正致力于开发区块链相关技术，以支持它的云业务，并与新兴的初创公司展开竞争，后者利用这种大肆炒作的技术，以新的方式在线运作。一些公司利用区块链和其他所谓的数字账本，在互联网上安全似记录交易和处理其他数据。谷歌可以利用这一技术向客户保证，其信息存储在支撑的计算机时受到了保护。其中一位知情人士说，Alphabet的子公司正在开发自己的分布式数字分类帐本，第三方可以用它来发布和验证交易。虽然产品发布的时机还不清楚，但该公司计划提供这款产品，以便使自己的云服务区别于竞争对手。该人士补充说，谷歌同时还将提供一个白标版本，其他公司可将其安装在自己的服务器上运行。

这家互联网巨头还在收购并投资拥有数字分类帐专门知识的初创企业。许多交易尚未公布，该人士说。不过，根据研究公司CB Insights的数据，去年，Alphabet子公司已成为该领域的主要企业投资者，领先于花旗集团和高盛集团。据另一位知情人士称，在最近几个月，谷歌基础设施团队的几个人一直在研究区块链协议，他们的顶头上司是谷歌云业务主管戴安妮·格林（Diane Greene）。其他几位不愿透露姓名的谷歌内部人士近日表示，云计算业务理所应当在区块链相关服务占有一席之地。谷歌的一位发言人说。“像许多新技术一样，我们的几个各种团队已经在探索区块链的潜在用途，但猜测任何可能的用途或计划，目前仍为时尚早。”2016年谷歌开始在云上位一些开发商测试区块链服务。知情人士说，该公司目前正在探索如何用更为广泛的方法采用这项技术。

像区块链一样，数字分账式账本也在支撑着比特币和其他加密货币的发展。它们是通过因特网在数千台计算机上定期更新的。每个条目都由这些机器加以确认，而这些机器可以是公共网络的一部分，也可以由企业私下运营。数字账本的种类很多，区块链只是其中一个。该技术的数据分析范围广泛，涵盖内容从交易到供应链更新，再到数字养猫。这项技术给谷歌带来了挑战和机遇。分布式计算机网络运行的数字账本可以消除单一公司集中持有信息的风险，虽然谷歌的安全措施严密，但它毕竟是世界上最大的信息持有者之一。分散的方法也开始支持新在线服务，它们正在与谷歌展开竞争。尽管如此，作为互联网先驱，谷歌拥有认可新的、开放的Web标准的长期经验，已经开始了解这项技术，建立自己的数字账本。不过，知情人士称，谷歌可能另一种类型，以便更容易运行数以百万计的交易。

参考链接：https://www.easyaq.com/news/442663986.shtml

黑客事件

国机密反恐计划！军方黑客行动“Slingshot”曝光

018年3月9日，卡巴斯基发布报告揭露了一起潜伏6年的“弹弓”（Slingshot）网络间谍行动。攻击者通过非洲和中东多国被入侵的路由器感染数千台设备，这些国家包括阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其和也门。

Slingshot 为美军搜集情报

卡巴斯基并未在报告中将该行动归因到某个国家或政府，只是将其描述为高级持续威胁（APT）。但几名前任与现任美国情报官员向美媒透露， Slingshot 代表的是美国特种作战司令部（SOCOM）下属联合特种作战司令部（JSOC）运作的一项军事计划。卡巴斯基的研究人员称，这起复杂的间谍活动可以传播具有高度入侵性的恶意软件，以便从被感染的设备窃取大量数据。消息人士透露， Slingshot 通过感染恐怖分子常用的电脑，帮助美国军方和情报界收集相关情报。这些目标电脑通常位于发展中国家的网吧， 因为“伊斯兰国”（ISIS）和基地组织（al-Qaeda）目标通常会在网吧收发消息。这几名消息人士不愿透露姓名，因为这涉及保密计划，他们担心暴露姓名可能会导致美国失去一个有价值的长期监控计划，并且会为士兵的生命安全构成威胁。

美国特种作战司令部负责“特殊侦察”任务

Slingshot 计划被揭露，也代表着由美国特种作战司令部（SOCOM） 领导的网络间谍行动首次被曝光。SOCOM 一向负责在敌方领土部署精锐部队执行前线任务。过去十年间，SOCOM 在全球反恐战中发挥了重要作用，执行了多项保密任务，包括杀死基地组织头目本拉登。Slingshot 辅助联合特种作战司令部（JSOC）执行前线任务 。一名前美国情报官员透露，卡巴斯基的调查结果可能已经使美国方面放弃并摧毁用来管理这个监控计划的某些数字基础设施。因为美军标准程序是：一旦被发现就直接摧毁。尽管美国已经习惯处理这类事件，但这种情况仍很糟糕。

下属黑客组织 CNOS分布全球

约2007年，美国一个名为“计算机网络作战中队”（简称CNOS）的黑客组织由 JSOC 指挥运作。尽管 CNOS 的总部设在弗吉尼亚州北部，但它会帮助中东地区的秘密特工协调任务，有时会入侵网吧和当地的电信公司。加拿大记者肖恩·奈勒曾在其著作《Relentless Strike: The Secret History of Joint Special Operations Command》中首次提到黑客组织 CNOS。

参考链接：https://www.easyaq.com/news/55905718.shtml

美国政府再次指责俄罗斯黑客攻击其关键基础设施

3月15日，美国国土安全部(DHS)和联邦调查局(FBI)发布了一份警告，指责俄罗斯政府针对美国的关键基础设施进行网络攻击。该警告称，美国政府部门公布了一项名为“由俄罗斯政府网络攻击者发起的多阶段入侵行动，他们针对小型商业设施，在攻击的网络中使用鱼叉式网络钓鱼和恶意软件，并获得了进入能源部门网络的远程接入。”一旦获得访问权，俄罗斯政府的网络攻击者就可以进行网络侦查、横向移动，并收集有关工业控制系统的信息。

虽然针对路由器的入侵并不新鲜，但这种方法相对比较少见，因为针对路由器的攻击很可能牵涉到路由器固件，调查人员很难通过工具进行检测。这背后的攻击者主要是之前安全行业调查过的Dragonfly（蜻蜓，也称Energetic Bear）、Crouching Yeti、 DYMALLOY、和Group 24。研究人员说“2015年，在将目光投向美国之前，该集团也针对其他国家（可能包括爱尔兰和土耳其）的核能和能源公司实施过攻击。这个活动包括两类不同的受害者:临时目标和预定目标。最初的受害者是一些外围组织，比如受信任的第三方供应商，他们的网络不那么安全，被称为“临时目标”。威胁行为者在锁定最终目标受害者时，使用了临时目标网络作为枢纽点和恶意软件储存库，最终目标是破坏组织网络，也称其为“预定目标”。

在这个活动中攻击者使用了一系列策略和技术，包括：

①鱼叉式钓鱼邮件（利用合法的账户）；

②水坑攻击域；

③收集凭证；

④开源和网络侦查；

⑤基于主机的利用；

⑥锁定工业控制系统（ICS）基础设施。

参考链接：http://www.freebuf.com/news/165860.html

全球最耸人听闻的5起加密货币诈骗案：黑客、庞氏骗局和暗网

当比特币面世时，其最大的吸引力之一是通过区块链使我们的数字世界中的货币更加安全。不幸的是，到目前为止，我们的数字钱包仍然面临着被黑客攻击的危险，每天发生的欺诈事件更是数不胜数。想知道情况到底有多糟糕吗？来看看历史上几起最大的比特币诈骗事件和导致其发生的荒谬的原因吧。

Mt. Gox巨额比特币被盗丑闻

你可能早就听说过Mt.GOX的大名，这可是比特币史上最臭名昭彰的事件的主角。成立于2010年的Mt.Gox是最早的加密货币交易所之一，它曾是全球最大的交易所，负责处理全球大部分比特币交易，人们对其相当信任。不幸的是，Mt.GOX似乎和安全有着八竿子打不着的关系。短短几年间，它就遭受了数次大规模的黑客攻击。此外，它还要应对支付处理问题和政府调查等令人头痛的大麻烦。

ICO诈骗案

加密货币骗局中最糟糕的类型之一，就包括ICO骗局。

大多数ICO诈骗都使用基本的投资欺诈手段，也就是说，当一家公司实际上并不存在并且没有计划盈利的时候，他们承诺自己是一家真实存在且非常成功的公司。更先进的ICO骗局甚至可能将其伪装成某个真实存在的加密货币组织，以混淆在线搜索的买家Bitcoin Savings and Trust更是明目张胆，它以一个简单的庞氏骗局为基础策划了一场ICO骗局，然后就如滚雪球一般，欺骗了越来越多的人。不知情的投资者被承诺每周将得到7%的高额回报，最终该公司通过欺诈手段窃取了超过26.5万比特币。Bitcoin Savings and Trust最终在2012年倒闭，组织者Trendon Shavers多年来身陷官司大战，最终结果是他被判监禁并罚款四千万美元。他在被宣判时，他窃取的比特币币值已经达到970万美元。

暗网毒品交易网站“丝绸之路”的电子邮件骗局

丝绸之路是一个在暗网交易毒品和其他各种非法物品的黑市。捣毁该网站后，事情的走向有些不太对劲。具体来说就是，政府同意拍卖从丝绸之路查获的比特币，并且通知了潜在参与者，让他们了解拍卖并询问他们是否有兴趣注册。尴尬的是，由于加密抄送的电子邮件发生错误，所有潜在的参与者都看到了收件人的名单。该名单很快被复制、出售和盗用。结果就是，名单上的这些人被各种诈骗邮件轰炸了。类似的网络骗局假装来自政府或相关机构，寻找敏感的金融信息，从人们手里窃取比特币。

史上最简单的骗局

最糟糕是，那些看着就不可信，但竟然还有傻子往里跳的骗局。这种事确确实实发生在了加拿大，正如你看到的，Canadian Bitcoins交易所曾为加拿大的投资者管理比特币。早在2014年，该交易所就遭到了黑客的攻击，至少价值10万美元的比特币被盗。最糟糕是，那些看着就不可信，但竟然还有傻子往里跳的骗局。这种事确确实实发生在了加拿大，正如你看到的，Canadian Bitcoins交易所曾为加拿大的投资者管理比特币。早在2014年，该交易所就遭到了黑客的攻击，至少价值10万美元的比特币被盗。那么，这个骗局又是从何而来呢？Canadian Bitcoins在Rogers数据中心租用了一些服务器硬件，这些硬件可用于侵入交易。然而，该数据中心可能是中了降头，竟然随便相信了黑客的那些谎话。

参考链接：https://www.t00ls.net/articles-44798.html

（来源：云天安全搜集整理互联网安全资讯）