freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BUF早餐铺 | 苹果隐私表现不及特斯拉、微软,Facebook垫底;网络犯罪分子通过谷歌云托管用于...
2018-12-28 07:00:23

各位Buffer早上好,今天是 2018 年 12 月 28 日星期五。今天的早餐铺内容有:苹果隐私表现不及特斯拉、微软,Facebook垫底毫无意外;网络犯罪分子通过谷歌云托管用于攻击英美银行的恶意负载;CVE-2018-7900:华为部分型号路由器曝信息泄露漏洞;新的Google Chrome攻击可能会让Windows 10设备发生假死;日本警察厅发布警告:加密货币勒索邮件正在扩散;阿里云:网传“可重置任意服务器root密码”为虚假信息。

San-Franciso-Benedict_Menu.jpg

苹果隐私表现不及特斯拉、微软,Facebook垫底毫无意外

在数据研究公司Toluna进行的一项用户个人信息隐私调查中,与苹果相比,特斯拉、微软更受用户信任,毫不意外的是,用户最不信任的科技公司是Facebook。40%的受访者对Facebook保证用户个人信息安全的能力提出质疑,排在第二位的是Twitter,有8%的受访者表示不信任它。

苹果与阅后即焚照片分享应用Snapchat商Snap并列第四,有4%的受访者对它们保护用户个人信息安全的能力提出质疑。考虑到苹果在保护用户隐私方面的强硬态度,这很有趣。除刚刚发布透明性报告外,苹果还经常宣扬其被广泛使用的端到端加密技术——目前使用这类技术的产品已经越来越少了。在保护用户隐私方面最受用户信任的前三家公司是特斯拉、Netflix和微软。[来源:cnbeta]

网络犯罪分子通过谷歌云托管用于攻击英美银行的恶意负载

Menlo Labs研究人员报告称,谷歌云存储服务正在被网络犯罪分子滥用,用于托管针对英美银行的恶意电子邮件活动所用的恶意负载。自2018年8月以来,此类威胁活动在美国和英国一直保持很活跃的状态。受害者会收到包含档案文件链接的电子邮件,研究人员表示所有实例都是.zip或.gz文件。所有案例都涉及在storage.googleapis.com上托管的恶意负载,该有效负载似乎看起来是正常的Google云存储服务,但实际上是恶意链接。

攻击者经常使用正规的存储平台来托管恶意负载,因为它受信任且可能绕过商业威胁检测产品。攻击者选择链接形式而不是直接附上恶意软件,因为许多电子邮件安全产品能够检测文件,并且如果恶意URL已经存在于其威胁存储库中,恶意URL也会被屏蔽。研究人员表示,这是一个不断增长的趋势:在对Alexa排名前10万个域名的年度分析中,Menlo Labs发现了4600个使用合法托管服务的网络钓鱼站点。[来源:darkreading]

新的Google Chrome攻击可能会让Windows 10设备发生假死

Google Chrome中发现了一种可能完全冻结Windows 10设备的新漏洞。新的错误被用于技术支持骗局,让Windows 10出现假死,然后告诉用户他们的设备被病毒感染。新发现的错误使用Javascript代码创建循环,这使得无法关闭选项卡或浏览器。该弹出窗口还声称来自官方微软支持网站并声称该电脑感染了病毒,这可能会危及用户的密码,浏览器历史记录,信用卡信息和其他数据。[来源:cnbeta]

CVE-2018-7900:华为部分型号路由器曝信息泄露漏洞

网络安全公司NewSkySecurity的首席研究员Ankit Anubhav发现,华为部分型号路由器存在一个安全漏洞。攻击者可以利用这个漏洞,在不连接设备的情况下,判定设备是否使用的是默认凭证。这个漏洞(CVE-2018-7900)位于路由器管理面板中,存在泄露路由器凭证信息的风险。具体来说,攻击者可以通过物联网搜索引擎(如ZoomEye或Shodan)来扫描使用默认密码的华为路由器。

华为目前已经修复了这个漏洞,但仍在与运营商合作,以求彻底解决这一问题。Ankit Anubhav表示,NewSkySecurity目前不会透露有关该漏洞的具体细节,目的是避免其遭到大规模的利用。[来源:安全内参]

日本警察厅发布警告:加密货币勒索邮件正在扩散

日本警察厅网络安全中心今日发布推文称,索要加密货币的邮件正在扩散中,主题为“你的密码已被入侵”,并附上设备区块或被劫持的网络摄像头拍下的照片,以此要挟索要加密货币。警察厅提醒公众,不要给对方回信,也不要回应其要求。[来源:bianews]

阿里云:网传“可重置任意服务器root密码”为虚假信息

近日,有人发布安全警示称,阿里云存在未知0day,可重置任意服务器root密码。

阿里云安全专家确认:网络传闻“可重置任意阿里云服务器root密码”为虚假信息。真实情况为某客户自身的管理员AK(access key)泄露所导致的独立事件,目前我们已经联系该客户进行处理。借此提醒:AK为核心密钥,务必按照最佳实践合理使用。[来源:安全内参]

*Freddy编译整理,转载请注明来自FreeBuf.COM

# 华为 # 隐私 # chrome
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者