*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是2019年4月1日星期一。今天的早餐铺内容主要有：沙特政府从亚马逊CEO贝索斯手机获取到个人数据；新发现的HTTPS漏洞可能会使您的数据暴露在外；偷看日历？9款APP涉嫌过度获取权限；研究人员演示英特尔VISA漏洞；前员工指控苹果：Apple News+自动续订违反App Store规则；芬兰两所监狱内服刑人员尝试新型劳役：训练AI算法。

沙特政府从亚马逊CEO贝索斯手机获取到个人数据

安全主管加文·德贝克尔（Gavin De Becker）在周六表示，沙特政府黑入了亚马逊首席执行官杰夫·贝索斯（Jeff Bezos）的手机并获取到了个人数据。

贝索斯先前曾要求德贝克尔调查《国家问讯报》是如何获取到其与电视主持人劳伦·桑切斯（Lauren Sanchez）发送的私密信息一事。在二月被曝出的新闻中，贝索斯指控这家小报的母公司AMI曾试图敲诈他，威胁其如果不公开声明这家小报的报道无任何政治动机，便会将这些不雅照片公之于众。

AMI坚持表示，自己的报道均是合法的。德贝克尔表示自己在完成调查之后，非常确信“沙特曾经黑入贝索斯的手机并获取了个人信息”。

沙特方之前回应，自己与《国家问讯报》报道贝索斯一事毫无任何关系。德贝克尔表示自己已经将调查结果交给了联邦官员。沙特大使馆以及AMI尚未回应置评请求。[sina]

新发现的HTTPS漏洞可能会使您的数据暴露在外

意大利威尼斯CA'Foscari大学和奥地利Tu Wien大学的研究人员发现，超过10000个使用HTTPS的顶级网站仍然容易受到传输层安全漏洞的攻击。

HTTPS（超文本传输协议安全）在几年前取代了HTTP，目前大多数顶级网站都在使用它，但是发现它仍然不安全。 HTTPS应该保护用户免受中间人攻击，并且不允许黑客访问您的密码，历史记录和其他数据。

当用户访问这些网站时，HTTPS的绿色挂锁锁仍然会出现在地址栏中。TLS中的错误很难被检测到，但它们仍然存在，攻击者可以使用这些漏洞来解密来自cookie的信息。虽然cookie不会向攻击者提供任何敏感信息，但还有其他缺陷。攻击者可以访问浏览器和服务器之间交换的几乎所有数据。[secgroup]

偷看日历？9款APP涉嫌过度获取权限

不久前上海消保委针对网购平台、旅游出行、生活服务等39款手机APP进行了涉及个人信息权限的评测，主要包括四个方面：App所使用的目标API级别、App敏感权限的数量、敏感权限的授权方式（是否存在一揽子授权），及查看是否存在无实际功能对应用的权限申请。

结果发现，15款网购平台类APP中10款存在问题，13款旅游平台类APP中7款有问题，11款生活平台类APP中8款有问题。

截止3月23日，仍有9款“头铁”应用没有改进其权限功能。这9款应用分别为：聚美优品(v7.951)，贝贝(v8.2.01)，穷游(v9.2.0)，TripAdvisor猫途鹰(v29.4.1)，神州租车(v6.4.4)，一嗨租车(v6.2.1)，饿了么(v8.13.1)，百度糯米(v8.4.7)，格瓦拉生活(v9.5.0)。

这些APP向用户索要了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限，除此之外，部分APP还会申请获取用户日历权限。

平台方解释称如果上有抢购活动，消费者点击“关注”，就会将信息放在日历中，抢购前可以提醒。相关技术专家表示这个功能完全可以通过后台的信息推送等别的途径来实现，根本不需要获取日历权限。而一旦获取了日历权限，就可能获取用户更多隐私。

事件曝光后，目前，一嗨租车、格瓦拉、饿了么已回应并删除了相关功能。[leiphone]

研究人员演示英特尔VISA漏洞

在本周举行的 Black Hat Asia 会议上，安全研究人员演示了利用Visualization of Internal Signals Architecture (VISA)查看芯片内部工作过程。

VISA是被称为Trace Hub的调试接口之一，它本身没有安全漏洞，但将它与其它提权漏洞组合利用，攻击者可以了解芯片组的内部工作，因此这个漏洞主要对想了解内部原理的研究人员和芯片设计师有用。[solidot]

前员工指控苹果：Apple News+自动续订违反App Store规则

一位前苹果员工指责苹果公司对第三方应用开发者制定了严苛的App Store规则，但最新推出的Apple News+服务却可以任意违反。

开发者Dave DeLong在推特上解释称苹果的自动续订订阅屏幕违反了App Store的第3.1.2细条，因此这APP应该被拒绝通过。

根据苹果官方自己制定的政策，订阅服务必要提供包括订阅名称、持续时间、提供给客户的内容或者服务的信息、应用程序使用条款的链接、用户收费方式的信息以及可以管理订阅等。

而Apple News +订阅屏幕上确实缺少这些内容，从技术角度来说应该拒绝上架App Store的。[bianews]

芬兰两所监狱内服刑人员尝试新型劳役：训练AI算法

狱中劳役”通常与体力活动相关，但是芬兰两所监狱内的服刑人员却在尝试一种新型劳役：归类数据，从而训练一家初创企业的人工智能算法。

尽管这家初创企业Vainu认为这种合作形式是一种传授有价值技能的劳役改革，但是不少专家认为这种做法剥削了服刑人员的劳动力，因为囚犯的薪资待遇都非常低。

Vainu与监狱达成合作已有三个月时间。目前合作的两所监狱分别位于赫尔辛基以及图尔库。Vainu向这些监狱运送了10台电脑，并将根据服刑人员完成任务的情况向刑事制裁机构（Criminal Sanctions Agency）支付费用。目前只有不到100名服刑人员参与这项工作，每天工作时间为几个小时。

尽管Vainu的联合创始人托马斯·莱斯利认为这种技能也许适用于未来，但他也承认这些任务都是“零学习曲线”，只需要识字即可，这就不免让人开始质疑该技能的用处。加州大学洛杉矶分校的信息科学教授萨拉·罗伯特（Sarah T. Roberts）表示，“这种类型的工作往往只是死记硬背、技术含量低的重复性工作”，且不需要具备任何高水平的技能。[cnbeta]