*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

今天是6月27日星期三，今天早餐铺的主要内容有：智能手机电池也能泄露用户活动数据； 任天堂采用服务器防止NS破解，头铁可能会被秒封； 研究人员：去年平均每个ICO都有五个安全漏洞； Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机； 《网络安全等级保护条例》拟将于本周发布。

安全资讯早知道，两分钟听完最新安全快讯~

智能手机电池也能泄露用户活动数据

根据外媒The Register的报道，一组研究人员最近有一个发现：通过功耗分析，智能手机电池也可以“泄露”用户的操作数据，并为旁路攻击留下了可趁之机。通过读取CPU和屏幕的电源果冻痕迹都能显示用户访问的网站信息。他们的做法是，通过1KHz的采样频率功耗、再根据网页的特定API，就可以成功再现用户的活动。他们在论文中举例了如何还原出“Welcome”一词。[来源：IT之家]

任天堂采用服务器防止NS破解 头铁可能会被秒封

任天堂显然对Switch采取了非常严密的防破解措施，而根据一些破解者的反馈，目前老任已经开始通过游戏卡带的认证系统进行封禁，推特用户SciresM表示，不管你是使用卡带还是数字版，任天堂现在能够迅速检测出你试图联网的游戏是否来自合法购买。

根据介绍，任天堂方面采取了服务器上的认证系统，所以无法进行绕过，如果服务端确认联机的游戏是合法购买，那么就会授权一个独一无二的令牌，而这些令牌也无法进行伪造。而如果服务器检测到你尝试游玩破解游戏，那么首先会禁止游戏联网，甚至最终会禁止这台NS连接到官方网络。[来源：游民星空]

研究人员：去年平均每个ICO都有五个安全漏洞

安全研究人员发现，去年出现的每个加密货币ICO项目平均存在五个安全漏洞，大多数漏洞都是在ICO本身的智能合约中发现的，2017年仅有一家ICO不存在任何严重缺陷。71% 漏洞存在于 ICO 核心的智能合同中。一旦 ICO 上线，智能合同将不能被修改，这意味着任何人都能查看和寻找漏洞。漏洞主要为与 ERC20 标准（数字钱包和数字货币交换的令牌接口）不一致，不正确的随机数生成，以及不正确的范围等有关，出现这些漏洞主要是因为缺乏编程经验和没有充分的测试。研究人员还指出，所有 ICO 移动应用都包含漏洞，而移动应用发现的漏洞 比 ICO Web 应用更多。[来源：BleepingComputer]

Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机

SEC Consult的安全研究人员发现，Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基础架构并保持此连接。移动设备和桌面应用程序可以通过云连接到相机。这种架构使用户能够更轻松地与摄像机进行交互，路由器上不需要防火墙规则，端口转发规则或DDNS设置。但研究人员强调这种方法存在许多安全缺陷，不安全的Fredi Wi-Fi婴儿监视器也可能被黑客用作家庭网络的入口。[来源：SecurityAffairs]

《网络安全等级保护条例》拟将于本周发布

6月25日，网络安全标准论坛在京召开。南都记者获悉，由公安部牵头，会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》（以下简称“条例”）拟将于本周在网上发布。公安部网络安全保卫局总工郭启全在发言中表示，关键信息基础设施保护是网络安全等级保护制度2.0的重点。目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成，正在走司法程序。[来源：搜狐]

*本文由Andy.i整理编译，转载请注明来自FreeBuf.COM