今天是 1 月 2 号，2018 的第二天，FreeBuf 依然陪伴你。DHS：对紧急情况下使用的33个应用程序进行了审查，发现部分应用存在隐私和安全问题;EXMO加密货币交易所创始人在乌克兰遭到绑架;另有3个WordPress插件存在后门;CryptoMix勒索软件变种出现，使用.tastylock后缀;风险分级：央行新规致力于打造电子条码安全支付习惯;

【国际时事】

DHS：对紧急情况下使用的33个应用程序进行了审查，发现部分应用存在隐私和安全问题

美国国土安全部（DHS）近期对第一批救援所使用的Android和iOS应用中发现存在的隐私、安全相关问题。这批测试的内容包括了由 20 个应用程序开发人员开发的33个紧急响应APP。这项审查是由美国政府机构与Kryptowire专家共同完成的。

审计人员表示，他们确定在应用程序中发现了隐私和安全问题。33个应用程序中的32个具有各种隐私问题，如，应用程序越权问题，发送短信，访问手机相机和设备的联系人列表。专家还发现，18个应用程序存在严重安全问题，这些应用程序会容易受到MitM（中间人）攻击，还存在处理不当的SSL证书或使用硬编码证书。

审计一共花费了三个月时间，目前调查人员已经通知了所有的应用程序开发人员。在上周发布的DHS新闻稿中可以看到，14个应用程序已经进行了修复。美国国土安全部在一份声明中表示：“大多数修复应用程序漏洞的开发者报告说，他们投入了大约一个小时的时间进行补救。 “修复步骤包括删除旧的或未使用的代码，启用操作系统提供的内置安全性，并保证操作所需的功能依然健全。

[来源：bleepingcomputer]

EXMO加密货币交易所创始人在乌克兰遭到绑架

据乌克兰媒体报道，EXMO加密货币交易商Pavel Lerner的负责人在乌克兰基辅遭到绑架，警方正在调查此案。这位Pavel Lerner 是 EXMO 的常务董事，EXMO 是最大的加密货币交易所之一。

根据案件汇报人表示，Lerner在他的工作场所附近被绑架。 他被身穿黑衣服和帽子的不明人物拖进了一辆梅赛德斯奔驰，并带到了一个不知名的目的地。他的主要工作是领导区块链技术和加密货币挖掘有关的创业工作。

EXMO证实了绑架事件的消息，并澄清说，公司的运作不受事件的影响。 EXMO还补充说，目前交易所照常运作，所有的用户资金是绝对安全的。

[来源：securityaffairs]

【Web安全】

另有3个WordPress插件存在后门

WordPress插件庞大的生态系统已经开始显示出日益腐烂的迹象，前一阵有过新闻报道一些黑客利用旧的被遗弃的插件，对源代码添加后门后销售给新的作者，以此来谋取利益。

日前，WordPress 安全团队干预并删除了官方 WordPress 插件目录中的所有插件。 而另有 WordPress安全公司 Wordfence 报告新发现的三个后门。 关于三个后端插件的细节如下：

所有三个插件中的后门代码都是通过调用远程服务器，然后在受影响的站点上插入内容。由于这三款的形式非常类似，专家认为，后门代码可能是用来在受影响的网站上注入隐藏的SEO垃圾邮件，助于提高其他网站的搜索引擎排名。

[来源：bleepingcomputer]

【系统安全】

CryptoMix勒索软件变种出现，使用.tastylock后缀

安全研究员 Michael Gillespie 发现了 CryptoMix 勒索软件的一个新变种。这款变种中，勒索软件会将 .tastylock 扩展附加到加密文件，并更改勒索软件使用的联系电子邮件。

虽然勒索加密方法在这个变体中依然保持不变，但还是出现了一些细微的差别。 赎金信息据仍被命名为_HELP_INSTRUCTION.TXT，但现在使用的是t_tasty@aol.com电子邮件让受害人联系以获取付款信息。第二个明显的变化是附加到加密文件的扩展。 有了这个版本，当一个文件被勒索软件加密，它会修改文件名，然后附加.tastylock扩展名到加密文件的名称。

上周，我们也报道过CryptoMix勒索软件的.FILE变种附加到加密文件中，并更改了勒索软件使用的电子邮件。.FILE变种使用file1@keemail.me，file1@protonmail.com，file1m@yandex.com，file1n@yandex.com和file1@techie.com的电子邮件地址，受害人可以通过联系他们进行付款。第二个明显的变化则出现在加密文件的扩展。 新变体加密的测试文件具有加密的文件名0D0A516824060636C21EC8BC280FEA12.FILE。

[来源：bleepingcomputer]

【黑客行动】

知名安全专家John McAfee的Twitter账户被黑，用于推广加密货币

网络安全专家John McAfee的官方Twitter账号元旦前遭受了黑客攻击，黑客利用这个账号来推广加密货币。攻击者利用这个账号发送了几条推特，用于推广像NXT，XRP，PTOY和BAT这样的加密货币。

关于这次攻击的进一步的信息尚未获得，但约翰·迈克菲解释说，他的帐户收到双因素验证过程的保护。

这表明攻击者已经找到了获取 Twitter 认证码的方法，这可以通过侵入移动设备或通过SS7攻击来实现。目前主要的即时通讯服务，包括 WhatsApp 和 Telegram ，都依靠 SMS 认证作为主要的安全验证机制，而这都通过 SS7 进行路由。

McAfee方面表示，当他的帐户遭到黑客入侵时，他正在一艘船上。

“那时我知道我的电话已经被盗用了，但当时我在船上，不能去和我的运营商（AT＆T）纠正这个问题。黑客所做的一切都让我的Twitter账户受到了损害。 本来可能会更糟。”

[来源：securityaffairs]

【国内新闻】

风险分级：央行新规致力于打造电子条码安全支付习惯

央行在12月底发布了《条码支付业务规范》（试行）（简称“《规范》”），根据风险防范能力的分级对个人客户的条码支付业务进行限额管理，新规自2018年4月1日起实施。备受关注的条码（二维码）支付，终于有了明确的制度规范。

根据央行规定，对于使用动态条码（如手机上实时生成的条码）进行支付的，风险防范能力根据交易验证方式不同分为A、B、C三级，同一客户单日累计交易限额分别为自主约定、5000元、1000元。 而如果风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

二维码通过几何图形来记录数据和储存信息，这样的功能可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能，就可能产生安全漏洞和隐患。而二维码本身的可视化特性，在互联网环境下以图形化方式传输，容易受到攻击，容易传播木马、病毒，造成用户资金损失和信息泄露。

中国支付清算协会执行副会长兼秘书长蔡洪波指出，很多不法分子就是针对条码防护能力弱、使用环境可控性差这些特点实施诈骗。如静态条码被调换、伪造条码进行欺诈、条码中嵌入木马病毒程序等导致客户个人信息泄露和账户资金被盗用等。

《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为，是用户主动扫码付款，俗称“主扫”；“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为，是用户被动扫码支付，俗称“被扫”。

来源：新华网

*本文整理编译Elaine，转载请注明FreeBuf.COM