今天的早餐包括：中国白帽子发现可用于入侵 Pixel 智能手机的利用链，获得谷歌 11.25 万美元的奖励；土耳其网络网络军团黑客侵入美国前警长的推特账户；Opera浏览器在最新移动版本中禁用浏览器内置挖矿；Linus Torvalds 评价 Linux Spectre 补丁是“彻底的垃圾”。

【国际时事】

中国白帽子发现可用于入侵 Pixel 智能手机的利用链，获得谷歌 11.25 万美元的奖励

谷歌已经向安全研究人员提供了了一笔112,500美元高额奖励，而这个利用方法可以用来破解谷歌的Pixel智能手机。研究人员是奇虎360的Alpha团队安全研究员龚广，去年2017年8月发现了这种特别的利用链技术。

 研究人员通过Android安全奖励（ASR）计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。该漏洞链包括两个漏洞，CVE-2017-5116和CVE-2017-14904。

 CVE-2017-5116是一个V8引擎错误，用于在沙盒渲染过程中获得远程代码执行。 

CVE-2017-14904是Android的libgralloc模块中的一个漏洞，用于Chrome的沙箱中。 通过访问Chrome中的恶意URL，这个漏洞利用链可以用来将任意代码注入到system_server中。

[来源：securityaffairs]

【黑客活动】

土耳其网络网络军团黑客侵入美国前警长的推特账户

土耳其网络黑客团队最近一直针对众多网站和用户的Twitter账号。 他们最新的受害者是 David A. Clarke, Jr.，他在特朗普总统的竞选和总统任期内获得了宣传。

在这个黑客攻击中，土耳其网络军修改了该账号中的介绍和其他内容，添加了该组织的图像和他们的行动口号，并发布了一条消息称，

“您的帐号被黑客攻击了，土耳其网络军AYYILDIZ TIM！ 您的通信已被捕获！ 土耳其人无处不在！”

[来源：bleepingcomputer]

【系统安全】

Linus Torvalds 评价 Linux Spectre 补丁是“彻底的垃圾”

Intel近期递交Spectre修补补丁，但是 Linux 之父 Linus Torvalds 在与Linux内核邮件列表成员沟通时无法抑制自己的强烈感受，他评价道“这是彻底和十足的垃圾”。

 Linus 表示 Intel看上去已经尽力尝试了，拿出了他们认为最合适的修复方案，来解决Meltdown问题, 但 Spectre 的解决方案对 Linux 却不够理想。

[来源：bleepingcomputer]

【移动安全】

Opera浏览器在最新移动版本中禁用浏览器内置挖矿

Opera发布了新版本的移动浏览器，如果用户启用了内置广告拦截功能，就可以阻止浏览器内的数字货币挖掘。

 2017年12月开始，这个功能出现在 Opera 的桌面版本中。在浏览器中，秘密挖矿会使用用户的移动设备的CPU来挖掘加密货币。

 通常这种行为会对硬件造成严重的后果，导致设备CPU在很高的温度下长时间运行。 虽然在Android和iOS版本的Opera Mini版本中目前还没有加入广告拦截器功能，但该功能出现在Google Play上的完整Opera应用程序中。

[来源：bleepingcomputer]

【国内时事】

新华网：中国迈进 “轻现金社会” 需破解金融信息安全难题

出门吃饭或者在街边买个煎饼果子，也能用手机扫二维码支付，甚至“刷脸”买单；海外“买买买”也可以用手机支付……刚刚过去的2017年，移动支付进入集中爆发期，仅在第三季度，中国第三方移动支付交易规模约达29.5万亿元。这一年，中国二维码支付有望突破9000亿元市场规模。

专家表示，轻现金社会给人们带来实实在在便利的同时，也对公民信息安全、支付习惯乃至国家金融安全等带来挑战。如何引导“轻现金社会”健康发展，成为亟待解决的问题。

技术层面，二维码支付可能产生安全漏洞和隐患。市场层面，部分支付机构可能会挪用备付金或开展不正当竞争，扰乱市场秩序。合规层面，部分市场机构可能会违规收单等。对此，中国人民银行近期出台条码支付新规，实施支付机构客户备付金集中存管并提高缴存比例，以加强对支付清算市场的整治。

赵鹞认为，一些深层次问题仍待解决。例如，轻现金社会会对老年人、文盲、残障人士等弱势群体造成伤害，造成个人敏感信息泄露，不利于个体管理金融风险等。

其中金融信息安全备受关注。在“去现金化”程度已非常高的挪威，很多人认为，取消现金交易会侵犯消费者的隐私权和选择权，而且面临电子支付系统风险。此外，取消现金也不能杜绝金融犯罪。

[来源：新华网]

*本文整理编译Elaine，转载请注明FreeBuf.COM