freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf早报丨苹果安全主管将出席黑帽大会,详解iOS 13和macOS安全性;伊朗当局查抄10...
2019-06-28 09:00:08
所属地 四川省

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.苹果安全主管将出席黑帽大会,详解iOS 13和macOS安全性[阅读原文]

苹果安全工程主管Ivan Krstic将出席8月8日举行的黑帽安全大会,谈论iOS 13和macOS Catalina幕后的安全技术,以及全新查找App的工作原理。Ivan Krstic将带来50分钟的演讲《iOS和Mac安全性幕后的故事》,这也将是苹果首次公开介绍iOS 13和Mac关键安全技术。演讲主要介绍与安全相关的三个领域,从代码完整性实施开始,这是iOS安全架构的关键部分。演讲涵盖了iOS内核中代码和内存完整性技术的历史,还将介绍A12仿生和S4芯片中的指针认证代码,该代码禁止修改可能导致可利用的内存损坏错误的重要元素。

2.Twitter出台针对特朗普的政策:政客违反规定会被标识[阅读原文]

Twitter刚刚创建了一个可能很快会成为美国总统特朗普专属的特别标签。Twitter在周四发表的一篇博客文章中表示,将开始对违反规定的有影响力的政府官员发布的推文进行标识。虽然Twitter这篇博文没有提到特朗普的名字,但新规定将适用于拥有10万粉丝的经过认证的政府官员、代表或政府职位候选人。在发布的新政策中,Twitter表示,对于符合其新标准的账号,它将对违反其标准但仍被认为具有一定公共利益价值的推文标注警告。用户必须点击警告之后才能查看原始推文。这条推文也会从应用程序的某些部分删除,比如探索页和搜索页面。Twitter表示,其软件将试图限制这些推文在社交网络上的传播。

3.伊朗当局查抄1000台比特币矿机:称其导致用电量激增[阅读原文]

据伊朗国家电视台报道称,伊朗当局已在两家废弃工厂查抄了约1000台比特币矿机。此前伊朗当局发出警告称,比特币开采活动已经导致用电量激增,而电费是由政府提供补贴的。伊朗中部亚兹德省的电力官员阿拉什·纳瓦布在接受国家电视台采访时表示:“这些比特币农场中已有两个被找到,其耗电量为1兆瓦。”国家电视台Press TV网站援引伊朗能源部发言人的言论称,这些比特币矿机生产加密货币,而在伊朗加密货币是被禁止的。在截至6月21日的一个月时间里,用电量大增7%,主要就是因为这些矿机所致。在2018年,伊朗央行以洗钱问题为由禁止该国银行交易加密货币,其中包括比特币。

4.一项集体诉讼指控谷歌不适当地获取医疗数据[阅读原文]

目前一起集体诉讼案指控谷歌不恰当地访问数十万医院病人的敏感医疗记录。这起诉讼是科技巨头进军万亿美元医疗保健行业,让外界担心隐私问题的最新例证。近年来,包括微软、苹果和谷歌在内的公司都向医疗机构提供服务,承诺他们可以帮助组织医疗数据,并利用这些信息开发新的人工智能诊断工具。该诉讼称,谷歌收到了患者入院和从医疗中心出院的记录,这可能违反了被称为HIPAA的联邦健康数据隐私法规。该诉讼称,该信息可与谷歌Android手机操作系统收集的位置数据相结合,以揭示个人者的身份。

5.Firefox发布Track THIS故意向广告商提供虚假浏览历史[阅读原文]

广告商在互联网上跟踪你的一举一动,然后它会根据你的浏览习惯向你展示针对性的广告。如何应对这种无处不在的监视资本主义?Mozilla和mschf工作室提供了一种方法:把你的浏览历史打乱,创造出虚假版本提供给广告商。他们合作发布了Track THIS,根据你选定的角色打开100个特定标签,你的浏览历史将会被去个性化,将让广告商不知道如何定位你。

6.搜狗联合北京互联网法院发全球首个AI虚拟法官[阅读原文]

搜狗与北京互联网法院联合发布全球首个“AI虚拟法官”,旨在通过北京互联网法院的在线智慧诉讼服务中心为民众提供更为便捷、高效的线上诉讼服务。这也是搜狗分身技术藉由AI合成主播在媒体领域全面应用之后,在司法领域的首次落地。这是全球首例人工智能合成法官,也是北京互联网法院“在线智慧诉讼服务中心”的一大亮点。“AI虚拟法官”可以实时在线为用户提供“智能导诉”服务,就像一位“交通指挥官”,引导用户更流畅地使用网络诉讼平台,实现用户全程在线操作的自主化。

7.腾讯辟谣微信上线虚拟支付功能:流传截图信息不实[阅读原文]

近日网上流传一张显示微信小程序开通虚拟支付的截图,图中信息显示,已开通微信支付功能的小程序开通虚拟支付功能后,可支持用户在小程序内完成虚拟物品的购买和支付。向腾讯方面求证,得到回应称并未上线虚拟支付功能,截图信息不实。 去年5月,微信官方发布“关于小程序含有未开放内容(虚拟支付)的整改通知”,通知显示除小游戏以外的虚拟支付被限制,除小游戏类目的安卓内购功能,小程序暂不支持虚拟支付。

【安全事件】

1.Windows 10获本月非安全更新:修复事件查看器问题[阅读原文]

除Windows 10 May 2019(Version 1903)之外,微软面向所有Windows 10功能更新发布了新一轮累积更新。和本月补丁星期二活动日的安全补丁有所差别,本轮更新并不涉及任何安全方面的改进,重点在于修复系统BUG以及改善Windows 10性能。

2.谷歌和芝加哥大学因共享过多病人记录遭起诉[阅读原文]

谷歌和芝加哥大学医疗中心组成的联盟旨在改善存在于医学中的预测分析能力。然而该联盟近日遭到了一名患者的起诉,原因是它分享了太多的个人信息。 当地时间周三,伊利诺斯州北部美国地方法院接手了这起案子。原告指出,医院在没有删除日期戳和医生笔记的情况下跟这家科技巨头公司分享了数十万份患者的记录。另外,诉状还称,谷歌还拥有确定分享给它的每份医疗记录身份的决定权。诉讼指出,谷歌获取的个人医疗信息是人们生活中最敏感、最私密的信息,其对个人隐私的损害程度远远超过了在典型黑客攻击所带来的损害。

3.扎克伯格表示没有美国政府帮助,公司没法阻止俄罗斯的选举干涉行动[阅读原文]

Facebook CEO马克·扎克伯格于当地时间周三表示,美国对2016年俄罗斯干预其总统选举的疲弱回应导致更多的国家对其采取类似行动,比如说伊朗。在扎克伯格看来,美国政府的天都无疑传达出这样的讯息:“各国可以尝试这样做,虽然我们的公司会尽最大努力对此加以限制,但从根本上来说,美国政府不会采取什么重大的措施。”据悉,Facebook禁止通过协调使用账户网络在其服务上传播虚假信息,或该公司所指的“协调不真实行为”。

4.跟踪Android供应链攻击[外刊-阅读原文]

Google本月初披露了一起Android供应链攻击,称一家供应商在数百万台设备上预装了Triada恶意程序去展示广告。Google称供应商使用了野火(Yehuo或Blazefire)这个名字开发了Triada程序。安全人员对这个名字以及相关域名、域名注册邮箱进行跟踪后认为,Triada与上海野火网络科技有限公司有关。公司域名blazefire.com的注册邮箱是tosaka1027@gmail.com,同一邮箱被用于注册了至少24个域名,至少7个域名被用于传播Android恶意程序,其中两个域名被用于传播Triada,另外五个被用于传播Hummer木马。对此结论Google拒绝置评,而野火网络则没有回应。

5.欧洲执法机构抓获比特币盗窃六人组[外刊-阅读原文]

欧洲执法机构通过建立假冒的blockchain.com的网站,诱捕了一个由六人组成、以窃取比特币为生的组织,该网站使用域名抢注来实现目的,诱使对方使用窃取的用户的加密货币账户登陆,并将窃取的资金转移至平台中,而该平台收益可直接转至执法机构中。该组织通过欺诈已至少窃取了4000名受害者的账户,牟利超过2700万美元。

6.思科修复数据中心网络管理器的关键漏洞[外刊-阅读原文]

思科发布了针对其数据中心网络管理器(DCNM)软件的补丁,修复了远程代码执行漏洞,该漏洞允许远程攻击者上传文件并提权,本次更新共修复了4个漏洞,其中两个为9.8分高危漏洞。所有的漏洞都存在于DCNM的Web管理控制台中,可被潜在的攻击者远程利用,并且无需进行身份验证。

7.对抗性数据需警惕,科学家已经测试“欺骗”了一辆无人车[阅读原文]

近年来,人工智能已经取得了长足的进步,但正如许多人工智能使用者所表明的那样,人工智能仍然容易出现一些人类并不会犯的惊人错误。虽然这些错误有时可能是人工智能进行学习时不可避免的后果,但越来越明显的是,一个比我们意想中严重得多的问题正带来越来越大的风险:对抗性数据。对抗性数据描述了这样一种情况,人类用户故意向算法提供已损坏的信息,损坏的数据打乱了机器学习过程,从而欺骗算法得出虚假的结论或不正确的预测。最近,加州大学伯克利分校(UC Berkeley)教授唐恩·宋(Dawn Song)“欺骗”了一辆自动驾驶汽车,让它以为停车标志上的限速是每小时45英里。

【优质文章】

1.数字世界“终极十问”:谁是数据真正的受益者?[阅读原文]

当科幻电影场景逐步变为现实,我们准备好了吗?从数据的隐私安全到个人的职业保障再到阶层的重组,科技、社会、经济的发展已处于转折点。很多时候,提出问题往往比回答问题更重要,因为好的问题往往意味着解决问题的开始。2019年6月25日,阿里巴巴发起的研究机构罗汉堂在杭州总结了“最关乎世界未来的十大问题”,200多位来自全球的顶尖学者等应邀“西湖论剑”,闭门研讨这十大问题。

2.华为首席法务官:没有哪家公司可以靠偷窃领先世界[阅读原文]

“如果知识产权沦为政客的工具,将伤害人们对专利保护制度的信心。如果某些政府选择性剥夺一些公司的知识产权,将会摧毁全球创新的根基。”华为首席法务官宋柳平说。 6月27日,华为在深圳对外发布了创新和知识产权白皮书,并呼吁勿将知识产权问题政治化。

3.一个从事菠菜狗推的黑产团伙的黑吃黑历程[阅读原文]

裸条是在进行借款时,以借款人手持身份证的裸体照片替代借条。“裸条”借贷值得关注——女大学生用裸照获得贷款,当发生违约不还款时,放贷人以公开裸体照片和与借款人父母联系的手段作为要挟逼迫借款人还款。 近日,出现了一起严重侵犯公民隐私的攻击,其通过使用极具诱惑性语言命名的压缩包进行传播,并使用了涉及裸贷等黄赌毒方面的图片和文档作为压缩包内容,并将木马混于其中,手段恶劣。 为确保更多人免受骗,我们披露了此次攻击。

4.城里人套路深:公众号广告新骗局,专骗运营小编[阅读原文]

网上骗子太多,套路防不胜防。这次上当受骗的都是公号运营者。最近出现一种新的公号广告骗局:“有个广告一直在找号投放,投放的是链接广告,名义是推广一点资讯App,给到的链接打开就是一点资讯的首页,但是只要公号推出这个链接之后,他们能修改链接指向,粉丝打开的就是一个诈骗理财广告……”

这是一种比较新的广告骗术。今年3月以来,陆陆续续已有很多公众号运营者不幸中招,被骗子忽悠,推送了诈骗理财广告,其中不乏部分大号。很多公号主都是等推送完“诈骗广告”,才恍然大悟,我上当了!

5.工控安全标准溯源与入坑指引[阅读原文]

2018年中因为新等保的意见稿和报批稿的内容,我当时才注意到工控安全的相关。所以利用琐碎时间去了解相关的知识,工控安全行业不仅仅是“蓝海” 还是个“深坑”。此文仅对工控行业进行入门知识梳理,精细协议分析未做涉及。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

# 黑帽大会 # google # AI # macOS # 供应链攻击
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者