今天是7月4日星期三,今天早餐铺的主要内容有:发现微信支付的重大漏洞,白帽子先联系了360;美政府拒绝中移动进入美国市场,称威胁国家安全;第三方邮件 app 开发商允许员工阅读你的邮件;比特币窃贼使用剪贴板恶意软件监控230万个地址;Facebook承认与61家公司共享用户数据。
安全资讯早知道,两分钟听完最新安全快讯~
微信支付SDK被曝XXE漏洞,可窃取商家密钥伪造订单
国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在Twitter上@360NetLab。在360安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢360”不远了……根据白帽子的描述,通过微信支付SDK存在XXE漏洞,攻击者可窃取商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。[来源:FreeBuf]
美政府拒绝中移动进入美国市场 称威胁国家安全
特朗普政府拒绝中国移动进入美国电信市场,称这家中国电信运营商将威胁国家安全。美国商务部下属国家电信和信息管理局(National Telecommunications and Information Administration,NTIA)当地时间周一通过电子邮件发布的一份文件显示,美国联邦通信委员会(FCC)将拒绝中国移动于2011提交的进入美国申请。据NTIA这份文件称,美国情报机构和其他官员发现,中国移动的申请“将构成不可接受的国家安全和执法风险”。[来源:cnBeta]
第三方邮件 app 开发商允许员工阅读你的邮件
据《华尔街日报》报道,为了开发更好的软件体验,部分第三方邮件供应商(链接诸如 Gmail 服务)竟然允许员工阅读用户的邮件。报道称,国外邮件解决方案供应商 Return Path(与 163 款 app 进行了合作)两年前曾允许其员工阅读接近 8000 封完整的用户邮件以训练其软件。类似的情况在 Edison Software 也存在,该公司开发了 iOS 版 Edison Mail 应用,也允许其员工阅读了数百封用户邮件以打造一种「智能回复」功能。[来源:MacX]
比特币窃贼使用剪贴板恶意软件监控230万个地址
技术网站Bleeping Computer对数字货币用户发出预警,在实施交易之前仔细检查地址,以此来防范日益增长的重定向交易的恶意软件。该网站上周末表示恶意软件运行者使用剪贴板恶意软件,正在监控超过230万个地址,以便替换其地址。[来源:Bleeping Computer]
Facebook承认与61家公司共享用户数据
在周五向美国众议院能源和商务委员会提交的一份747页的文件中,Facebook承认它向61家科技公司授予了用户数据的特殊访问权限。从2015年5月开始,当Facebook限制其API以便应用程序无法访问其用户的太多数据,特别是用户朋友的数据。但是这61家科技公司,因为他们运行流行的应用程序,获得了这种API变更的豁免,在理论上,他们可能滥用Facebook API来收集Facebook用户和他们的朋友的数据。可以收集的数据包括姓名,性别,出生日期,地点,照片等。[来源:BleepingComputer]
*本文作者由Andy.i整理编译,转载请注明来自FreeBuf.COM