FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.中国发布信息技术十大前沿热点问题，自动驾驶等入选[阅读原文]

在哈尔滨继续举行的2019年中国科协年会上获悉，年会信息科技论坛已发布信息技术领域十大前沿热点问题，年会上，中国科协信息科技学会联合体作为信息科技领域的高端智库，承办年会以“人工智能”为主题的信息科技论坛，并发布信息技术领域十大前沿热点问题，它们分别是：自然语言理解、规模量子计算机的软件基础研究、自动驾驶车控操作系统关键技术研究及市场化应用、非正交轴系三维激光测量仪器、基于头显示增强现实系统的应用技术、完美密码学随机数的产生、复杂电磁环境卫星抗干扰新技术、全天候实时高分辨成像与识别、人工智能与生物智能的融合问题、干涉光学成像技术。

2.美官方解释解禁华为一事，即将生效但有限制条件[阅读原文]

美国总统特朗普表示，允许美国公司继续卖产品给华为。特朗普表示，华为购买的产品是美国硅谷生产的很复杂的产品，这些美国公司很伟大，会带动就业，所以允许美国企业继续卖产品给华为。随后，美国家经济委员会主席拉里·库德洛在电视采访中更加详细地解释了解禁一事。他表示解禁即将生效，商务部将会为需要解禁的公司提供一些许可证。对于解禁范围，他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”，否认这是“大赦”，表示国家安全仍然是最重要的考虑因素。

3.FDA警告黑客攻击风险，美敦力宣布召回MiniMed胰岛素泵[阅读原文]

美国食品和药物管理局（FDA）本周四发布公告，称美敦力（Medtronic）公司已经启动了关于MiniMed胰岛素泵的召回活动。据公司表示，部分MiniMed胰岛素泵存在一个无法修复的关键网络安全问题，从而能让黑客远程无线访问这些问题。目前召回的胰岛素泵此前曾在美国和国际市场上销售。黑客可能能够无线地改变使用泵输送给个人的设置和胰岛素的量。这样做可能会对使用者造成严重的危及生命的后果，包括患糖尿病酮症酸中毒的可能性。美国约有4,000名患者可能正在使用这些召回的泵。

4.谷歌自研Fuchsia系统网站上线，取代Android和Chrome OS[阅读原文]

目前，谷歌官方制作的Fuchsia OS开发者网站Fuchsia.dev悄然发布，推出这个网站主要是为了让开发者更好的参与到这个系统的开发中来，而谷歌也提供了搜索功能，让开发者可以搜索到任何的Fuchsia OS技术文档。 Fuchsia OS是一个类似于AOSP的开源项目，可以运行从智能家居设备、笔记本电脑到手机在内的各种设备。它也被认为是建立在谷歌开发的名为zircon的全新内核之上，而不是基于Android和Chrome操作系统基础的Linux内核。

5.美团因违规发布信息被太原警方约谈，责令1周内整改[阅读原文]

山西省太原市公安局昨日对外通报，6月26日，该局网安支队针对美团网站在太原地区经营过程中存在的为医疗诊所类用户提供信息发布服务时未要求其提供真实资质信息、部分店铺发布超范围经营信息和发布低俗信息等问题，对该网站进行了约谈。 太原警方要求美团网站负责人就本网站在经营过程中如何执行安全管理制度、防范网络安全风险进行汇报。民警向其通报了违法违规的问题事项，出示了相关网店页面截图和涉事诊所负责人提供的印证材料，指出未经审核发布诊所信息和发布超范围经营信息的行为，分别违反了《网络安全法》第二十一条及《计算机信息网络国际联网安全保护管理办法》第五条之有关规定，要求该网站在一周内全面整改，并书面向公安机关反馈整改情况。

6.Plustoken钱包被曝无法提现，用户超100万人涉案金额或高达200亿元[阅读原文]

近日，有“币圈第一资金盘”之称的Plustoken钱包被曝无法提现，消息称涉案金额或高达200亿元。Plustoken钱包以微信群为运营主体，主要盈利方式是提升自身账户登记，而提升的手段则是“拉人头”，只要拉到足够的人参与投资，就可以升级自身账户从而获得更多的返佣与分红。据知情人士爆料称，最高级账户一年分红不低于150万美元（约合人民币1030万元）。据报道，Plustoken用户早在2018年8月份就突破了100万人，并且该公司表示2019年会员数会突破1000万人，而目前已经有超过400名Plustoken用户反馈称无法提现。目前Plustoken官方没有发布任何公告来解释此次无法提现，而且官网也并未刊载任何创始人信息。此前Plustoken钱包曾因涉嫌传销被长沙警方查处。

【安全事件】

1.AMD霄龙安全加密虚拟化曝漏洞：已修复[阅读原文]

今年初，Google的一位研究人员发现，AMD EPYC霄龙处理器内的安全加密虚拟化(SEV)中存在安全漏洞，能让攻击者获取安全密钥，进而访问原本被隔离的虚拟机。霄龙处理器的SEV功能可以让一个系统上的多个虚拟机彼此完全隔离，同时使用椭圆曲线算法，从硬件层面生成不同的加密密钥，确保每一个虚拟机都有自己独立的安全保护。为此，霄龙处理器内嵌了一个基于ARM Cortex内核的PSP平台安全处理器用于修复漏洞。直到6月25日，这个漏洞的细节才被公开，不过AMD已经完成了修复，霄龙用户升级固件即可。

2.酒店内藏偷拍摄像头引关注，消费者隐私如何保护？[阅读原文]

最近，针孔摄像头偷拍事件频发，涉及场所和范围也越来越广。试衣间、酒店、民宿、出租房等堪称“重灾区”，河南某酒店经理称 “八成酒店都有针孔摄像头”，一时间震惊公众，虽酒店方事后为不负责任言论道歉，但也引发不少网民担忧。那么出门在外住宿，你是否会检查房间内有无摄像头偷拍？

3.东芝西部数据晶圆厂遭遇意外停电，损失大量产能[外刊-阅读原文]

东芝存储器和西部数据披露它们在日本四日市联合运营的工厂于6月15日遭遇意外停电事故，目前生产设施部分停工，预计要到7月中旬才能恢复。13分钟的意外停电损坏了正在处理中的晶圆，也影响了设施和生产设备。西部数据估计，这次事故导致第三季度的NAND闪存晶圆供应减少6EB (exabytes)，相当于该公司季度半数的供应量。东芝尚未披露此次事故对它的影响，预计损失可能高于6EB，原因是该工厂的产能更多供应了东芝。外界估计可能高达9EB。两家公司正在评估损失。

4.约会应用Jack'd因隐私问题被处以24万美元罚金[阅读原文]

纽约司法机构已经就约会应用Jack'd将客户隐私照片在网上保留至少一年之事下达了裁定：其母公司Online Badies将支付24万美元的罚金、并实时“全面的安全计划”，以防止未来发生类似的事件。Jack'd的安全漏洞首次报道于2019年2月。遗憾的是，尽管早在一年前就向该公司通报了相关漏洞，这款应用还是继续将用户私密照片上传了可被公开访问的亚马逊AWS存储服务器。 暴露的私密数据包括裸照和显示用户位置的图片，或导致用户面临勒索、或被逮捕的风险。不过在ArsTechnica曝光的当天，Jack'd已经修复了这个问题。

5.Excel曝出Power Query安全漏洞，1.2亿用户易受远程DDE攻击[阅读原文]

Mimecast威胁中心的安全研究人员，发现了微软Excel电子表格应用程序的一个新漏洞，或致1.2亿用户易受网络攻击。其指出，该安全漏洞意味着攻击者可以利用Excel的Power Query查询工具，在电子表格上启用远程动态数据交换（DDE），并控制有效负载。此外，Power Query还能够用于将恶意代码嵌入数据源并进行传播。Mimecast表示，Power Query提供了成熟而强大的功能，且可用于执行通常难以被检测到的攻击类型。

6.某安卓恐怖游戏窃取Google、Facebook的登录凭证和用户数据[外刊-阅读原文]

一款名为Scary Granny ZOMBYE Mod: The Horror Game 2019，且安装量超过五万的安卓平台游戏被发现存在恶意行为，该游戏能够窃取玩家的Google和Facebook的登录凭证，并且会在登录用户账户后窃取他们的数据。

7.Microsoft Team软件可用于下载和运行恶意程序包[外刊-阅读原文]

目前，在Microsoft Team的桌面应用程序中存在漏洞，其更新机制可导致外来攻击者下载和执行系统上的任意文件，并且同样的问题也会影响GitHub、WhatApp和UiPath软件。这些应用程序都依赖于开源Squirrel项目对项目安装、更新流程进行管理。研究人员发现，对易受攻击的程序使用update命令就可执行任意二进制文件。

8.亚马逊开放式数据存储站泄漏Netflix、福特以及TD银行数据[外刊-阅读原文]

以色列大数据管理网站Attunity所管理的亚马逊S3存储站被发现数据泄漏事件，包括Netflix、福特以及多伦多道明银行（TD）等众多500强企业等数据遭到泄漏。该网站拥有超过2000名客户，本次泄漏的数据多达1TB，虽然S3的数据总存储量还未知晓，但已泄漏的数据中包括了很多高度敏感的信息包括个人以及业务信息，例如邮件、账户密码、项目数据等。

【优质文章】

1.Facebook+Libra能保护数十亿用户的数据安全吗？[阅读原文]

6月中旬，Facebook主导的区块链加密货币项目Libra的白皮书正式公布；并宣称其使命是“建立一套简单的、无国界的货币体系和为数十亿人服务的金融基础设施”。虽然Libra要2020年才能落地。但鉴于Facebook全球27亿用户的体量、普惠金融的潜力、首批成员的正规军背景，尤其是在与Facebook钱包Calibra整合后成为“全球性电子货币”的憧憬，使得币圈链圈大为提振。6月22日，比特币价格突破1万美元，仅仅5天后就突破1.3万美元。与此同时，各界对Libra项目的质疑也日益增加；其中最常被提及的一条是：“Facebook泄露过8，700万用户数据，怎么能相信Libra项目能保护数十亿人的数据安全？”

2.五眼联盟入侵俄罗斯搜索引擎Yandex，美国不予置评[阅读原文]

据路透社独家报道，俄罗斯最大搜索引擎公司Yandex在2018年10月和11月期间遭受Regin（五眼联盟）的恶意攻击，其攻击目标似乎想要搜寻能够解释Yandex认证用户账户方式的技术信息。这类信息可能有助于间谍机构假扮为Yandex用户，取得他们的私人讯息。五眼联盟，是英美协定下逐渐的情报分享机构，成员有美国、英国、新西兰、澳大利亚和加拿大，可见这几个国家无一例外都是以英语为母语的国家，可见其专门为英语国家提供情报共享。网传，在冷战时期，五眼联盟推出了梯队监视系统，它主要监视前苏联和XX的通信，现在则用来监视全球数十亿人的私人通信。

3.安全，5G全面商用前的“人生高考”[阅读原文]

4G改变生活，5G改变社会。5G具有高速率、大连接、高可靠、低时延等特性，可以面向万物智联提供服务，有望给整个社会带来深刻变革。而我国在5G技术方面的领先和商用提速，更为全球5G发展注入动力，有望赋能各行各业，带来移动互联网、产业互联网的繁荣。然而，历史告诫我们，每当计算能力和连接能力提升的时候，我们也扩大了威胁范围，那些隐藏其中的安全威胁也会随之而来，让人防不胜防。如何在5G网络商用前夕，占据安全主动性，显然成为运营商、安全厂商及相关设备厂商整合能力的一次大考。

4.企业安全体系架构分析：安全体系架构概述[阅读原文]

最近都在谈论安全体系架构，我也有一些观点想与诸位分享，主题围绕着如何搭建企业级安全体系架构来进行，本期重点是搭建安全体系架构的先决条件，全主题不以投入资金来定安全体系，安全体系架构不是安全设备的堆积，这一点是重点想要分享的。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。