各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

热点资讯：

上海通报51款App侵犯用户权益，26款未完成整改

上海市通信管理局 7 月 26 日发布了关于侵害用户权益行为 App 的通报（2022 年第一批）。

通报称，经检测发现 51 款 App 存在“违规收集个人信息”“违规使用个人信息”“App 强制、频繁、过度索取权限”等相关问题，上海市通信管理局已通报相关 App 运营企业，督促存在问题的 App 进行整改。

截至目前，尚有 26 款 App 未完成整改，上述 App 应在 8 月 2 日前落实整改工作。逾期不整改的，上海市通信管理局将依法依规组织开展处置工作。

最高法：依法严惩强制“二选一”、大数据杀熟、低价倾销、强制搭售等行为

7月25日，最高人民法院发布了《关于为加快建设全国统一大市场提供司法服务和保障的意见》，其中提出，加强对平台企业垄断的司法规制，及时制止利用数据、算法、技术手段等方式排除、限制竞争行为，依法严惩强制“二选一”、大数据杀熟、低价倾销、强制搭售等破坏公平竞争、扰乱市场秩序行为，防止平台垄断和资本无序扩张。

美国与英国达成协议，可互相访问互联网用户数据

美国司法部（DoJ）和英国内政部在近日的联合新闻稿中宣布，美国和英国已经签署了一项数据访问协议，该协议将允许每个国家的执法机构向对方索取用户互联网数据。

该协议于 2019 年作为 CLOUD 法案制定，允许各国打击包括恐怖主义、虐待儿童和网络犯罪在内的严重犯罪，将于 2022 年 10 月 3 日生效。美国司法部表示：“数据访问协议将允许我们更快访问两个国家的服务提供商数据，包括持有的与严重犯罪的预防、侦查、调查或起诉有关的信息和证据等。”

美国大学发布重磅报告，揭露政府持续监视民众的阴谋

近日，美国乔治敦大学隐私与技术法律中心发布《美国的天罗地网：21世纪数据驱动下的驱逐》报告，揭露了美国入境和海关执法局建立监控系统，绕过法律近乎全息监控美国公民。这也意味着执法局已经从一个普通的政府单位，发展成一个更庞大的国内监视机构。

据该报告的调查结果显示，美国入境和海关执法局使用的数据来源包括驾照数据、公共事务公司客户信息、通话记录、儿童福利记录、信用记录、就业记录、地理位置信息、医疗保健记录、住房记录和社交媒体发布内容等，涵盖了美国民众日常工作生活的方方面面。

2022上半年Web3相关经济损失超去年全年

CertiK近期发布了《Web3 安全季度报告》（2022年第二季度版），报告描述了2022年第二季度的Web3网络安全质量的状况，并指出2022年第一、二季度与Web3网络相关的经济损失已超20亿美元，超越2021年全年创历史新高。同时在网络攻击方面，“闪电贷”攻击和互联网钓鱼攻击也在突破历史记录，“闪电贷”攻击在第二季度造成了高达3.08亿美元的损失，远超过去的季度高峰。而网络钓鱼攻击虽损失金额略低于一季度，但攻击频次与第一季度相比却上升了170%。

当然报告中也存在着一些好消息，受到NFT市场的整体萎靡影响，虽然与第一季度相比地毯骗局（Rug pulls）与退市骗局的攻击次数略微上升16%，达到89次，但损失金额大幅度下降，仅仅造成了3800万美元的损失。而针对特定漏洞的大规模攻击也有同样的趋势，虽然攻击频次上升了6次达到39次，攻击损失5.2亿美元，但均次的损失仅有1330万元。

IBM数据泄露成本报告发布，数据泄露创历史新高

IBM发布了最新的数据泄露成本报告。报告称目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。数据泄露成本报告是IBM的年度重磅事项，至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。

与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。

安全事件

新钓鱼平台Robin Banks出现，多国知名金融组织遭针对

近期出现了一个名为 "Robin Banks "的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。

此外，Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。

恶意应用程序上架谷歌商店，下载竟超1000万次

来自Dr. Web的防病毒团队在Google Play商店中发现了一批充斥着广告软件和恶意软件的Android应用程序，令人惊讶的不是这些应用程序是如何通过审核的，而是这些应用程序已在移动设备上安装了近 1000万次。

这些应用程序通常会伪装成图像编辑工具、虚拟键盘、系统优化器、壁纸更换器等。但是，它们的目的是推送侵入性广告、为用户订阅高级服务或窃取受害者的社交媒体帐户。虽然谷歌及时删除了绝大多数此类应用程序，仍有一些漏网之鱼，截至目前仍有三类应用程序可通过Google Play商店下载和安装。如果在谷歌清理这些带有恶意软件的应用程序之前你不幸也下载了它们，那要彻底删除这些应用就需要再次手动卸载并运行AV扫描以清除所有残留物。

不法分子利用PrestaShop零日漏洞入侵网店

PrestaShop团队上周五发出紧急警告，有黑客正在针对使用PrestaShop平台的网站，利用以前未知的漏洞链进行代码执行，并很有可能在窃取客户的支付信息。该团队建议用户尽快对网站进行相关安全审查。

该攻击影响到的版本有PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本，这些版本运行了容易受到SQL注入的模块，如Wishlist 2.0.0至2.1.0模块。

Lockbit 勒索软件团伙声称入侵了意大利税务局

近日，勒索软件团伙 Lockbit 声称已经从意大利税务局窃取了 78GB 的文件。另外，该团伙已经将税务局添加到其暗网泄密网站上展示的受害者名单中。

据悉，意大利税务局是在 1999 年第 300 号立法令对财政管理部门进行重组而诞生，自 2001 年 1 月 1 日开始运作，有自己的章程以及管理行政和会计的具体条例，该局的管理机构由局长、管理委员会和审计委员会组成。

意大利税务局主要负责执行意大利的财政法规，并征收税收和收入，并为意大利和非意大利的纳税人提供了若干在线服务勒索软件团伙 Lockbit 声称已经窃取的意大利税务局 78GB 数据，其中主要包括公司文件、扫描、财务报告和合同，计划很快发布文件和样本的屏幕截图。如果消息属实，此次网络攻击将是意大利政府机构遭受的最严重事件之一。

一周好文共读

企业攻防能力仍显不足 | 《2022企业攻击面管理》报告解读

Hackerone发布了《2022年企业攻击面管理》报告，报告中阐述了大部分企业存在团队对攻击面管理准备不足、测试频次严重欠缺、现有的处理方案无法应对全部风险、安全人才严重不足这四大问题，因此企业对于互联网攻击的防护能力实际上远低于企业面临的攻击力度，而且这一差距正在放大。针对这一问题，Hackerone在报告中提出建议，企业应该采取多管齐下的方式，在满足完善布置基础攻击面管理的前提下，加强团队间的协作配合，引入白帽子思想从外部对企业安全进行审视，最终实施好攻击面管理流程，实现良好的安全循环。

霸权之手伸向网络 | 揭秘美国网络安全战略发展轨迹

俄乌战争持续进行了五个多月，从人人叫喊的“闪电战”逐渐演变成了“持久战”，背后拱火者美国虽未直接派遣部队参与战争，但也并没有真正束手旁观，甚至从某种意义上讲，美国早已投身到这场冲突中，帮助乌克兰应对俄罗斯方面的网络战。

美国之所以能够应对俄罗斯方面的网络威胁，得益于其自身拥有全球最强大的网络安全力量。美国到底是如何一步一步成为网络世界的霸主？跟随文章，一起揭开美国网络力量背后的秘密。

2022攻防演练情报追踪

一年一度的攻防演练已经开始，FreeBuf联合漏洞盒子情报星球为大家送上新鲜及时的情报分享，实时更新，绝对不容错过。

安全工具

Norimaci：一款针对macOS的轻量级恶意软件分析沙箱

Norimaci是一款针对macOS的轻量级恶意软件分析沙箱，Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动（没有使用Sysinternals进程监视器procmon。在该工具的帮助下，广大研究人员可以轻松监控macOS下的恶意软件活动情况。

GooFuzz：一款基于OSINT方法的模糊测试工具

GooFuzz是一款基于OSINT方法的模糊测试工具，该工具基于Google Dork实现其功能。本质上来说，GooFuzz是一个Bash脚本，该脚本使用了Google Search技术来获取文件或目录中的敏感信息，而无需向目标Web服务器发送请求。

如何使用EmoCheck检测Windows上的Emotet木马

EmoCheck是一款针对Emotet木马病毒的安全检测工具，可以帮助广大研究人员检测目标Windows操作系统是否感染了Emotet木马病毒。