各位 Buffer 早上好，今天是 2018 年 12月5日星期三，农历十月二十八。今天的早餐铺内容有：英国秘密情报处负责人称华为构成安全威胁；谷歌开源漏洞跟踪工具 Monorail 中被曝跨站点搜索漏洞；美国国土安全部调查加密货币交易；微信支付回应勒索病毒事件：已封禁涉事账户；谷歌Play官方下架猎豹文件管理器，称其存在欺诈和恶意行为。

英国秘密情报处负责人称华为构成安全威胁

英国秘密情报局（军情六处）局长扬格(Alex Younger)称华为构成了安全威胁。扬格表示，在美国、新西兰及澳大利亚等密切情报伙伴禁止华为参与未来 5G移 动网络的建设后，英国不得不对华为做出“一些决定”。扬格说：“我们需要决定，在我们的一些盟友已经采取非常明确的立场后，我们需要在多大程度上接受中国对这些技术和平台的所有权。”目前英国使用的一些华为设备被嵌入英国电信网络的核心，这些设备受到一个专门实验室的测试，该实验室由隶属于数字情报机构——政府通信总部(GCHQ)的国家网络安全中心(NCSC)的情报负责人监督。扬格表示 5G 时代的到来将加大对华为设备监控的难度，中国的“法律和道德框架”、以及全球实力、政治及资金向亚洲的快速转移，使这一威胁更具挑战性。[来源：Solidot]

谷歌开源漏洞跟踪工具 Monorail 中被曝跨站点搜索漏洞

一名安全研究员表示，在谷歌开源漏洞跟踪工具 Monorail 中找到一个漏洞，可被用于执行跨站点搜索 (XS-Search) 攻击。Monorail 用于检查和 Chromium 相关项目中的问题，PDFium、Gerrit、V8甚至著名的 0day 漏洞团队 Project Zero 也在使用它。Luan Herrera 表示，最近发现的这个漏洞可导致信息泄露问题。Herrera 发现 Monorail 支持将某种搜索查询结果下载为 CSV 格式以及其它功能，它易受跨站点请求伪造攻击的影响。因此，攻击者能够强制用户在访问恶意链接时下载搜索查询结果。[来源：CodeSafe]

美国国土安全部调查加密货币交易

根据11月30日发布的预先征集通知，美国国土安全部（DHS）正在寻求有关调查和分析区块链的信息，包括用于加密货币的区块链交易。国土安全部发布了一份提案，邀请有兴趣的各方就新兴加密货币的区块链法证分析发表评论并设计应用程序。该提案还呼吁提出解决方案，使调查人员能够对区块链交易进行相关分析。

值得注意的是，国土安全部指出，虽然之前的分析是针对比特币(Bitcoin, BTC)的分析，但这只涵盖了“加密货币领域的有限范围”。国土安全部的提案寻求将区块链分析应用于Zcash和Monero等匿名的加密货币，这些加密货币在私有区块链上运营。[来源：Bianews]

微信支付回应勒索病毒事件：已封禁涉事账户

针对近期爆发的“微信支付”勒索病毒事件，火绒安全表示，被该病毒感染的用户可以下载破解工具，还原被加密的文件，经分析，该勒索病毒开始勒索前，会在本地生成加密、解密相关数据，火绒工程师根据这些数据成功提取到了密钥。微信支付方面回应称，微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。[来源：cnBeta]

谷歌Play官方下架猎豹文件管理器，称其存在欺诈和恶意行为

谷歌Play商店下架了来自猎豹移动的文件管理器和来自Kika Tech的一款输入法应用，原因是在内部调查时认定这两款应用存在“欺诈和恶意行为”。应用分析研究公司Kochava在一份报告中指出有8款应用涉嫌广告欺诈，其中7款来自猎豹移动，1款来自Kika Tech。猎豹移动回应，应用内的广告来自第三方SDK，自有广告不足1%，不存在作弊的动机，并称Kochava向媒体提供了有关猎豹移动广告系统的不实信息及判断，给猎豹移动造成巨大损失，将起诉Kochava。不过，猎豹随即自动下架了电池医生和CM Launcher两款应用。

谷歌在声明中称：“我们非常重视这些指控。谷歌Play的开发者政策禁止在我们的平台上进行欺诈和恶意行为。如果应用违反我们的政策，我们就会采取行动。”谷歌同时表示，猎豹和Kika Tech可以对这个决定提出申诉。[来源：TechWeb]