各位Buffer早上好，今天是2018年8月22日星期三，农历七月十二。今天份的 BUF 早餐内容有：黑客欲使用数字货币支付保释金被拒；特朗普在网络安全上的态度偏进攻型；PHP现反序列化漏洞，或使WordPress遭远程攻击；谷歌遭起诉：被指非法追踪iPhone和Android用户位置；高功率设备组成的物联网僵尸网络能干扰电网。

安全资讯早知道，两分钟听完最新安全快讯~

黑客欲使用数字货币支付保释金被拒

据NewsBTC报道，此前，Martin Marsich因涉嫌黑客入侵视频游戏巨头Electronic Arts Inc.（EA）系统并窃取数字资金而被捕。为了支付他的保释金，Marsich计划以75万美元的价格进行山寨币交易。然而，联邦当局拒绝了这一做法，因为出售大量的山寨币可能会引起它价格的剧烈波动。[来源：Bianews]

谷歌遭起诉：被指非法追踪iPhone和Android用户位置

谷歌在一桩最新的法律诉讼中被指非法追踪成百上千万iPhone和Android智能手机用户的活动，哪怕用户试图利用隐私权设置来避免被追踪也不例外。根据上周五提起的一桩诉讼，谷歌欺骗性地向用户保证，如果他们将手机上的“位置历史”（Location History）功能设置为“关闭”，那么就不会被追踪；但在实际上，谷歌则仍会监控和存储用户的活动，从而侵犯 了其隐私权。[来源：cnBeta]

高功率设备组成的物联网僵尸网络能干扰电网

物联网设备以不安全著称，利用物联网僵尸网络，攻击者可以发动各种攻击，其中最常见的是流量令人叹止的 DDoS 攻击。在上周举行的 USENIX 安全会议上，普林斯顿大学的研究人员介绍了一种新型物联网攻击 Manipulation of demand via IoT (MadIoT)（PDF） ，它能造成更严重的破坏。攻击者不是利用低功率的常见物联网设备而是高功耗的设备如空调（1千瓦）和取暖器（1.5 千瓦），利用设备的高功耗攻击者能对电网发动协调式攻击，操纵电网的电力需求。此类的攻击能导致本地电网发生电力中断，在更严重的情况下，级联故障能导致电网的大规模停电。研究人员希望他们的工作能引起电力公司、智能设备制造商和系统安全专家的注意，共同合作让电网能抵御 MadIoT 攻击。[来源：Solidot]

PHP现反序列化漏洞，或使WordPress遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞，并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库，包括 WordPress 等内容管理系统（CMS），并将允许远程程序攻击。

Thomas 表示，过去外界认为 XXE 漏洞带来的最大问题是信息外泄，但现在可出发程序执行。相关攻击分为两个阶段。 首先，将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统，然后触发一个基于 phar:// 的文件操作，就可能导致恶意程序执行。[来源：开源中国]

特朗普在网络安全上的态度偏进攻型

根据华尔街日报8月15日的一份报告，特朗普总统推翻了奥巴马总统政策指令20（PPD-20），该指令概述了美国部署网络武器所需的机构间通信。据报道，特朗普政府尚未就撤销PPD-20的决定发表官方声明。

OneSpan首席营销官John Gunn表示，来自民族国家行为者的网络威胁和网络攻击需要采取行动，但为保护美国利益和资产免受外国侵略所必需的规划和执行采取的行动可能需要数月或数年。“通过适当的保障措施，这是一项积极的举措，将提高我们的安全性。”美国不是第一个允许攻击性技术以防止网络攻击进入其边界的国家。包括Thycotic首席安全科学家约瑟夫卡森在内的许多专家都支持网络攻击能力。然而，网络空间存在挑战。

PPD-20的逆转也会在美国的关键时刻发出全球信息。 “美国政府对网络武器的立场变化被用于对抗对手的网络攻势，这恰好在美国中期选举之前。这很可能是公开表明任何试图入侵或操纵即将举行的选举的民族国家，美国政府已取下手套并作出回应，“卡森说。[来源：infosecurity-magazine]

*本文由Andy.i整理编译，转载请注明来自FreeBuf.COM