各位 Buffer 早上好，今天是 2018 年 10 月 25 日星期四，农历九月十七。今天的早餐铺内容有：研究人员发现近90%安卓App数据被传回谷歌；部分安卓应用发现广告骗局，窃取金额达数亿美元 ；史上最大安全漏洞案和解，雅虎向2亿用户赔偿3.5亿元；日本官方责令 FaceBook 提升安全性；研究人员再次在 Twitter 上披露 Windows 0-day 漏洞；信息窃取软件 Azorult 新版本在地下黑市出现。

研究人员发现近90%安卓App数据被传回谷歌

据国外媒体报道，牛津大学研究人员发现，通过近100万款安卓APP收集的数据有近90%被传回谷歌。这项经过同行评审的研究分析了2017年谷歌Play Store提供下载的约三分之一APP，发现这些APP可能将数据传给多个（中位数为10个）第三方。项目负责人、计算机科学家鲁宾•宾斯(Reuben Binns)表示，随着多数APP转向“免费增值”模式（即它们从广告而不是销售获得营收），数据共享已经失控。第三方通过智能手机 APP 收集的数据非常多样，包括个人资料信息（如年龄和性别）到位置详细信息（包括附近 WiFi 路由器数据信息等等），以及有关手机上其他所有 APP 的信息。[来源：techweb]

部分安卓应用发现广告骗局，窃取金额达数亿美元 

美国的新闻网站 Buzzfeed News 发布的深入调查报告显示，超过125个安卓（Android）应用程序和网站被卷入一个大规模的欺诈行为，该行为导致数亿美元的广告收入被盗。报告显示，欺诈者通过一家名为“我们购买应用程序”的前端公司从开发者处购买合法的，已上传的应用程序。这些应用程序会将其所有权转移给将继续管理该应用程序的空壳公司，同时还会分析用户的行为和与该应用的互动行为。然后，该数据将被编程成为一个网络机器人，从而链接到有购买行为的应用程序上，接着用真实的数据欺骗用户，而用户此时并未意识到。这就从应用内（包括谷歌自身运营的那些）支付广告费用的公司那里获得了数亿美元的广告收入。[来源： 新浪科技]

史上最大安全漏洞案和解，雅虎向2亿用户赔偿3.5亿元

据NBC News报道，雅虎已经同意向2亿用户支付5000万美元（约合3.47亿元人民币）赔偿金，并为他们提供为期两年的免费信用监控服务。2016 年曝出的雅虎信息泄露案件成为有史以来最大的安全漏洞案，导致约 30 亿雅虎账户遭到黑客攻击，泄露了受害用户的电子邮件地址和其他个人信息。根据初步和解协议，雅虎将以每小时25美元的标准对雅虎账户持有人进行补偿，以弥补他们在处理因安全漏洞引发问题的时间损失。那些有记录在案的损失可以要求最多获得15小时赔偿，或者375美元。而无法记录损失的人可以提出索赔，要求最多获得5个小时（约125美元）的赔偿。[来源： 网易科技]

日本官方责令 FaceBook 提升安全性

本周一，日本个人信息保护委员会下令对数据泄露进行进一步调查，并要求Facebook实施预防性安全措施。这是日本官方机构在与英国当局一起进行调查后首次 向Facebook 发出警告。日本政府发言人表示，日本有多达10万名用户可能受到 FaceBook 近期数据泄露事件的影响。此外，他们还要求 FaceBook改善与用户的沟通方式，使其更加透明地管理其数据，并及时响应删除帐户的请求。Facebook承诺将在网站及时通知用户平台账号是否被不当使用，并及时与相关国家的监管机构合作沟通。[来源： Securityweek]

研究人员再次在 Twitter 上披露 Windows 0-day 漏洞

一位名为 SandboxEscaper 的安全研究人员在两个月内第二次在 Twitter 上披露了 Windows 0-day 漏洞，并在 GitHub 上发布了概念验证（PoC）。这个漏洞主要影响微软的数据共享服务（dssvc.dll）。dssvc.dll是一项本地服务，主要用于在应用程序之间提供数据代理。而攻击者可以利用此次发布的0-day 漏洞，提升所访问过的系统权限。在概念验证中，攻击代码可以用于删除原本需要管理员权限才能删除的文件。有专家表示，这个漏洞主要影响Windows 最新版本，如 Windows 10、Server 2016 和 Server 2018 等。[来源：zdnet]

信息窃取软件 Azorult 新版本在地下黑市出现

据外媒报道，新版本的 Azorult 信息窃取软件在地下黑市出现，能窃取更多数据，包括多个类型的加密货币。最新版本的 Azorult 主要通过RIG漏洞利用工具包以及其他渠道分发，而以前的版本则通过伪造的 Office 文档、作为网络钓鱼邮件的附件分发。AZORult 最早由 Proofpoint 的研究人员于 2016 年首次发现。在2018年7月，研究人员发现了复杂版本的 AZORult 间谍软件，可用于窃取凭证、支付卡数据、浏览器历史记录和加密货币钱包的内容。在此基础上，新版本使用新的加密方法，用于保护硬编码的 C&C 域字符串，还采取了用于连接命令和 C&C 服务器的新密钥。[来源：Securityaffairs]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM。