易盾业务风控周报每周呈报值得关注的安全技术和事件，包括但不限于内容安全、移动安全、业务安全和网络安全，帮助企业提高警惕，规避这些似小实大、影响业务健康发展的安全风险。

1.“暴走漫画”和今日头条因丑化英雄烈士被查处

北京时间5月31日，文化和旅游部指导陕西省文化厅、西安市文化广电新闻出版局依法立案查处，对“暴走漫画”将从快从重作出行政处罚。

“今日头条”平台未落实主体责任，传播含有丑化恶搞英雄烈士的视频，文化和旅游部指导北京市文化市场行政执法总队依法立案调查。

2．区块链爆漏洞，可完全控制虚拟币交易

北京时间5月29日，360安全卫士团队发现区块链平台EOS一系列高危安全漏洞。经验证，攻击者可以利用该漏洞控执行EOS节点上任意代码。在攻击状态下，攻击者可以完全控制虚拟币的交易，攻击者几乎可以为所欲为。

3．亚马逊Alexa录制对话并未经用户许可就发给用户联系人

继不久前被爆发出怪异笑声后，亚马逊的人工智能助手Alexa又发生窃听风波。波特兰一个家庭发现Alexa未经许可录制了他们的对话并将其随机发送给了他们的联系人。

这个波特兰家庭表示，突然有一天，他们接到一个朋友的电话，朋友表示收到了这家人说话的录音，让他们拔掉Alexa的电源，你们有可能被黑客攻击了。随后这家人向亚马逊反馈情况，工程师检查日志后确认了问题，并向他们道歉。

4.90多个国家的低端Android设备中存在预装恶意软件

反病毒公司Avast研究人员发现，90多个国家的141款低端安卓设备中存在预装恶意软件。该事件与反病毒公司Dr.Web在2016年12月份发现的事件有关，当时该恶意软件感染了至少26款低成本安卓手机和平板电脑。这两期事件都发生在低成本的安卓智能设备上，恶意软件在上面收集用户数据，并在运行的APP上播放广告、甚至偷偷给用户下载APP。安全人员还发现，受感染的设备使用的都是联发科的芯片组，但联发科并不是感染根源，因为只有部分型号的设备受到恶意软件的污染。

5.AMD 处理器的 SEV 虚拟机加密机制遭绕过

德国慕尼黑应用和集成安全弗兰恩霍夫研究所的四名研究人员发表一篇研究论文，详细介绍了恢复由AMD的安全加密虚拟化（SEV）加密数据的方法，这个安全机制旨在加密AMD CPU的服务器上运行的虚拟机的数据。在攻击测试中，研究人员表示能够追踪到测试服务器整个 2GB 内存，攻击之所以成功是因为虚拟机将某些数据存储在了主 RAM 内存中，而且“主内存的页面加密缺乏完整性保护机制”。

6．攻击雅虎并盗取5亿账户的23岁黑客被判刑5年并罚款现有全部资产

2014年到2016年期间，23岁的巴拉托夫(KarimBaratov)对雅虎进行网络攻击，造成5亿个雅虎账号数据外泄。美国司法部当地时间29日表示，巴拉托已与检察官达成认罪协议后，被判刑5年，外加罚款他现有的全部资产。

7. 苹果承认交出大量用户数据，涉及敏感隐私

根据苹果官方的透明度报告，2017年下半年，苹果收到了政府多达3358次分享用户个人数据的要求，苹果答应了其中的717次，比例高达21%。这些数据大多数多围绕iCloud，包括个人照片、日程表、联系人、电子邮件等等，甚至是设备备份数据。被交出的这些数据，大多都被执法部门用来协助破案。

8.加拿大两大银行遭黑客攻击 近9万名客户数据被窃

蒙特利尔银行和加拿大帝国商业银行周一表示，网络攻击者可能窃取了近9万名客户数据。欺诈者曾联系该行，称他们掌握了改行有限数量客户的个人数据。目前两家银行正在联系客户监控自己的账户并报告任何可疑活动。

9.Windows JScript组件存在远程代码执行漏洞

TelspaceSystems公司的Dmitri Kaslov发现了Windows系统上的Jscript组件中存在漏洞，攻击者可以在利用此漏洞在用户电脑上执行恶意代码。目前这个漏洞已被提交至趋势科技的ZDI计划，ZDI专家解释称：“这个缺陷存在于 JScript 对 Error 对象的处理过程中。攻击者通过在JScript 中执行动作，能够导致某个指针在释放后遭重用。攻击者能利用该漏洞在当前进程下执行代码。”

10. Git 源码版本软件存在远程代码执行漏洞

Git开发人员以及多家提供Git库托管服务的公司已经在Git 2.17.1版本中推出了修复补丁。该补丁主要针对CVE-2018-11233和CVE-2018-11235这两个漏洞，其中CVE-2018-11235被认为是最危险的，因为它可导致恶意人员创建包含特殊构建的 Git 子模块的恶意 Git 库。每当用户克隆这个库时，由于 Git 客户端处理这个恶意 Git 子模块方式的问题，均可导致攻击者在用户系统上执行代码。刚刚推出的 Git 2.17.1 应该能够阻止这些命令在用户电脑上执行。​​​​