各位Buffer早上好，今天是 2019 年 5 月 24 日星期五。今天的早餐铺内容主要有：GitHub ID为SandboxEscaper的用户再次上传2个零日漏洞；新型纹识别技术存在漏洞，可导致Android和iOS设备被跟踪；欧盟监管机构对谷歌发起数据隐私相关调查；继俄罗斯之后，Shade勒索软件开始攻击英语国家；工信部：一季度处置网络安全威胁967万余个；国家市场监管总局谈“浏览器主页劫持”：将会同相关部门治理。

GitHub ID为SandboxEscaper的用户再次上传2个零日漏洞

GitHub ID为为SandboxEscaper的用户之前在GitHub上上传了类似的安全功能漏洞之后，这一次又发布了针对另外两个微软零日的演示代码。这样一来，该用户在过去十个月里发布的WIndows零日漏洞已达到7个。

这两个零日漏洞来自Windows错误报告功能以及IE 11模块。成功利用错误报告功能存在的漏洞可让黑客获得提权能力，编辑原先无法访问的文件。而IE 11的漏洞则能够让攻击者在Internet Explorer中注入恶意代码。[来源：zdnet]

新型纹识别技术存在漏洞，可导致Android和iOS设备被跟踪

一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息，跟踪互联网上的Android和iOS设备，任何应用或网站都可以在没有特殊权限的情况下获取这些信息。这种新技术称为校准指纹识别攻击或SensorID，它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现；也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。

根据英国剑桥大学的一个学术团队的说法，SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。研究小组在昨天发表的一份研究报告中说：“我们的方法是通过仔细分析来自传感器的数据，这无需对网站和应用程序提供任何特殊许可即可访问。”[来源：zdnet]

欧盟监管机构对谷歌发起数据隐私相关调查

总部设在爱尔兰的欧盟数据保护委员会(Data Protection Commission)周三宣布将对谷歌展开调查，内容涉及这家科技巨头收集网络广告相关数据的行为。在欧洲地区，欧盟数据保护委员会是对谷歌进行监管的主要机构，该委员会称其将会调查谷歌在广告交易中的数据处理方式是否违反了欧盟的隐私权规定。

去年欧盟推出了全面的最新隐私权改革措施，也就是所谓的“一般数据保护条例”(GDPR)，在控制个人数据的问题上向欧洲公民赋予了新的权利，包括他们拥有了解公司如何使用其数据以及强迫公司销毁其数据的权利等。欧盟数据保护委员会宣布对谷歌展开调查的背景是，科技公司正在全球范围内面临着从内容到数据保护等各个方面的监管审查。去年，Facebook尤其遭到了诸多批评，原因是该公司允许颇受争议的政治咨询公司剑桥分析（Cambridge Analytica）获取了8700万名用户的个人数据。[来源：cnbeta]

继俄罗斯之后，Shade勒索软件开始攻击英语国家

hade（也被称为Troldesh）勒索软件是一个历史悠久的勒索软件，于2014年底首次出现，主要针对运行Microsoft Windows的主机。Shade主要通过恶意垃圾邮件和漏洞利用工具包进行分发。以前Shade勒索软件可执行文件主要针对俄语用户，但研究人员发现Shade最近也开始针对英语用户。

事实上，研究表明，受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家，而是美国、日本、印度、泰国和加拿大，俄罗斯只排在第七。在这些国家中受到攻击的主要行业是高科技、批发和教育。[来源：mottoin]

工信部：一季度处置网络安全威胁967万余个

今年一季度信息通信行业网络安全总体态势依旧严峻，网络安全监管成效持续巩固。一季度，全行业共处置网络安全威胁967万余个，包括恶意IP地址、恶意域名等恶意网络资源近170万个，木马、僵尸程序、病毒等恶意程序698万余个，网络安全漏洞等安全隐患约4.8万个，主机受控、数据泄露、网页篡改等安全事件约93.5万个。[来源：雷锋网]

国家市场监管总局谈“浏览器主页劫持”：将会同相关部门治理

市场监管总局已于今年4月起在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。下一步，将配合中央网信办等部门，从规范格式条款、APP安全认证、消费者个人信息保护等角度做好相关治理工作。同时，积极配合全国人大常委会推动个人信息保护法尽快出台。

APP安全认证在今年3月13日由市场监管总局联合中央网信办共同向全社会推出，按照APP运营商自愿申请的原则，由具备资质的认证机构依据相关国家标准对APP收集、存储、传输、处理、使用个人信息等活动进行评价，符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证APP等方式，引导消费者选用安全的APP产品。[来源：人民日报]