稻花香里说丰年，听取蛙声一片。

各位 Buffer 早上好，今天是 2018 年 7 月 26 日星期四，农历六月十四。今天份的 BUF早餐内容有：加密漏洞影响大量蓝牙实现，主流厂商设备都受影响；电子邮件网络攻击急剧上升，邮件安全风险增大； 谷歌引入物理密钥后，8.5 万雇员都没有再被成功钓鱼；黑客在虚假 HTTP 错误页面中隐藏登陆页面，获取 webshell 用于攻击；APP  注销难引官媒关注，人民日报点评称要保障信息安全。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

加密漏洞影响大量蓝牙实现，主流厂商设备都受影响

近日，大量蓝牙设备和系统被曝存在严重加密漏洞 CVE-2018-5383，漏洞主要是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。这会导致配对减弱并导致远程攻击者获取设备使用的加密密钥，并恢复“安全”蓝牙连接中的两个设备之间发送的数据。

目前，苹果、博通、英特尔、高通等多家硬件厂商都确认其蓝牙实现和操作系统驱动都受到影响，苹果、博通和英特尔已经发布了修复补丁。[来源：bleepingcomputer]

电子邮件网络攻击急剧上升，邮件安全风险增大

网络安全公司 Mimecast 近期发布了《2018 邮件安全现状》报告，报告显示，攻击者持续针对终端用户发起邮件攻击，邮件攻击数量急剧上升。在报告的受访者中，将近 40% 的 C 端用户都认为自己所在公司的 CEO 是公司安全的薄弱环节；31% 的 C 端用户都曾通过邮件不慎将敏感数据发送给无关人员。

此外，2017 年有 92% 的勒索软件都是通过邮件分发，造成了较大危害。90% 的组织都表示邮件钓鱼攻击数量有所增长。但是，只有 11% 的企业不断培训员工识别网络攻击，而52% 的企业每年只组织一次培训。Mimecast CEO 表示，电子邮件攻击持续增长，除了常规的防御之外，企业还需要采取其他应对措施来确保安全。[来源：infosecurity]

谷歌引入物理密钥后，8.5 万雇员都没有再被成功钓鱼

安全博客 KrebsOnSecurity 报道，Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码，此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼。物理安全密钥是廉价的 USB 设备，可作为双重认证（2FA）的替代。当用户登录时，既需要提供密码，还需要提供移动设备等物理安全密钥。

Google 发言人称，物理安全密钥是访问 Google 所有帐户的基础，自推行物理安全密钥以来，公司内雇员没有再报告过账号被接管的问题。[来源：krebsonsecurity】

黑客在虚假 HTTP 错误页面中隐藏登陆页面，获取 webshell 用于攻击

安全研究人员发现，黑客在伪造的 HTTP 错误页面中隐藏登录表单、获取 webshell 访问权限用于攻击的行为近期有所增加。这些页面假装出现 HTTP 错误，例如 404 Not Found 或 Forbidden，但实际上却是登录页面，允许攻击者访问 webshell 以在服务器上发出命令。

利用 webshell，黑客可以上传恶意软件、网络钓鱼脚本或其他软件。如果不慎点击到页面，就可能中招。这并非是一种新的攻击技术，但近来越来越频繁，容易让不熟悉的人上当。[来源：bleepingcomputer]

APP 注销难引官媒关注，人民日报点评称要保障信息安全

近日，中国青年报社社会调查中心联合问卷网，对 2002 名受访者进行的一项调查显示，75.9% 的受访者遇到过 APP 账号难注销的情况，62.9% 的受访者担心 APP 账号注销难会导致账号被盗用。目前，很多应用软件商通过 APP 注册的形式获取用户数据，然后将数据卖出来获取收益，给用户造成种种困扰。

对于应用软件商而言，设置简单的注销通道在技术层面并不难，但业内人士透露，这些软件商并不愿意让用户注销，这样他们就能保证自己掌握越来越多的用户数据，用于将来变现。人民日报海外版认为，APP 账号注销难的行为其实是对用户隐私的侵犯。对于拒绝注销账户的行为，《电信和互联网用户个人信息保护规定》和网络安全法都明确了惩戒举措，但从现状来看，惩罚力度明显不够大。未来需要更严厉的应对举措。[来源：人民网]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM