FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.英国信息部长谈游戏沉迷者数据分享问题：政府应自行展开调查【阅读原文】

在近日的英国下议院“沉浸和成瘾性技术”调查会议中，数字信息部长Margot James针对“游戏厂商不愿分享数据”这一点发表了看法：政府应该自行展开相关调查。数字信息部长Margot James表示：“目前，调查委员会一直希望游戏厂商能够提供相应的数据样本，为政府接下来的研究和决策提供参考。同时政府也希望通过这些数据对人们的游戏健康展开调查。这些想法很好，但是政府应该自行采用多种方式来获得数据，为调查研究提供相应的参考。如果仅仅是游戏厂商对数据进行收集和调查的话，我认为是远远不够的。作为政府，我们应该保持研究的独立性。但是游戏厂商依然有保护用户的责任，无论是否受到政府的监管。”

2.这些网站和App在偷偷收集你的个人信息【阅读原文】

日前，工业与信息化部（简称“工信部”）发布了《2019年第一季度电信服务质量通告》，就电信和互联网用户个人信息保护、电信用户申诉举报、电信服务监管、经营及消费提示等方面进行通报。违规收集个人信息、强行捆绑成“重灾区”，涉及出行、电商、游戏等多类互联网平台。违规收集个人信息强行捆绑“大行其道”通告指出，一季度，工信部对100家互联网公司106项互联网服务进行抽查，发现18家企业存在未公示用户个人信息收集使用规则等问题。

3.手机淘宝“扫一扫”新增智能识别垃圾功能【阅读原文】

昨天由阿里程序员志愿者团队开发的AI智能识别垃圾功能（测试版）在手机淘宝上线，并鼓励用户共同训练AI，不断提高识别准确度，用技术的方式帮助推进垃圾分类。在淘宝手机的“扫一扫”中，新增了垃圾分类功能。用户只需要将手机对准垃圾拍照，系统就可以通过AI智能识别，可以识别干垃圾、湿垃圾、有害垃圾和可回收垃圾等。同时在系统中也集成了垃圾分类小常识，可以快速给你补习垃圾分类的知识。同时，对于AI识别不了的垃圾，用户可以手动输入垃圾的名称信息，从而与手淘AI共建垃圾分类数据库，训练AI提升识别能力。此外，通过手淘搜索“你是什么垃圾”也可进入智能识别系统。

4.关爱未成年上网，微博推蔚蓝计划：整治涉黄低俗信息【阅读原文】

前两天微信发布公告《到此为止吧 小黄文》，宣告整治微信平台上的低俗内容，为用户提供更加绿色健康的阅读环境。无独有偶，双微平台之一的微博刚刚也宣布整治涉黄低俗内容，主要是因为暑假来临，为了给未成年用户营造一个更为健康积极的上网环境，微博推出了“蔚蓝计划”，开展为期两个月的整治活动。

5.用于比特币挖矿的耗电量超过了瑞士全国用电量【外刊-阅读原文】

剑桥大学的工具显示，比特币的耗电量等同于瑞士全国。该工具估计，比特币目前使用了大约 7 千兆瓦的电，占到了全世界电力供应的 0.21%。它需要 7 个 Dungeness 核电站同时发电。比特币全年的耗电量约等于或略超过瑞士全国的用电量。对于伴随耗电而来的碳足迹，发表在《科学》期刊上的一项研究估计，比特币每年产生的二氧化碳大约为 22 兆吨，相当于美国堪萨斯市全市的碳排放。

6.新报告猛踩伦敦警察厅的面部识别系统，称其错误标记了81%的人【阅读原文】

近日一份针对Met Police的独立报告，似乎支持了后者的观点。其发现，闭路电视监控系统向警方上报的面部检测结果，竟然有81%都是错误的。而受苏格兰场（伦敦警察厅）委托，由埃塞克斯大学进行的试验表明，该系统的准确率为6/10 。但在被标记的42份匹配结果中，却只有8份被证实为准确（成功率仅为19%）。英国天空电视台报道称，警方更倾向于“通过将成功和失败的匹配数量与系统处理的人脸总数进行比较”，来衡量LFR的匹配准确率。若以这种方式来看待，那么LFR的错误率仅为0.1% 。

7.谷歌、Facebook因滥用市场权力而将在英国接受调查【阅读原文】

硅谷巨头谷歌和Facebook再次因可能滥用市场权力而面临政府审查：英国竞争和市场管理局(CMA)针对这些公司进行的广泛在线广告进行调查。 据《卫报》报道，CMA周三宣布了这项调查（正式称其为市场研究），将专注于谷歌和Facebook，两者都在在线广告业务中占据“主导地位” 。谷歌在3月份被欧盟委员会罚款17亿美元，因其支持在其搜索引擎广告中的AdSense平台。在此之前，欧盟以滥用Android移动操作系统主导地位为由,对谷歌开出50亿美元的罚单。Facebook仍然卷入剑桥分析公司丑闻的后果，该丑闻使数千万用户的数据落入现已解散的咨询公司手中。美国联邦贸易委员会于2018年3月对Facebook的隐私实践展开调查，该社交网络或面临最高50亿美元的罚款。

【安全事件】

1.微信严打多开等外挂：今年已封杀上百万账号【阅读原文】

7月2日，微信半小时内就封杀了多达3000万个账号，重点打击私域流量和微商。微信官方今日撰文称，大规模封号是假的，但严厉打击使用外挂的违规账号是真的。微信外挂有很多种，最常见的就是“多开微信”，可让多账号同时登陆，一度有不少手机系统都提供“官方支持”，但一直都是微信禁止的，只允许账号切换登录。微信强调，微信外挂都是开发者用来篡改微信正常功能的工具，目的是给微信增加一些乱七八糟的“新”功能，而根本目的其实是为了大规模发送广告或诈骗信息，风险不容小觑，包括被利用骚扰别人、助长坏人犯罪、有隐私风险、威胁财产安全、影响使用微信的稳定性，等等。

2.安徽网信、通管部门6月份处置41家违法违规网站【阅读原文】

2019年6月，安徽省网信办扎实开展网络生态治理专项行动，接连发力，重拳出击，会同省通信管理局依法关闭31家违法违规网站，取消10家网站备案。假冒“安徽省住房和城乡建设厅”、“淮南市运政信息网”等4家假冒政府单位网站，假冒“芜湖新闻网”、“宁国新闻网”、“亳州新闻网”等3家假冒新闻网站，大量发布虚假政务信息和未知来源的新闻信息，误导网民，干扰正常新闻信息传播秩序，被依法停止互联网接入服务。

3.外媒曝PlayStation严重安全漏洞，黑客可绕过验证盗刷信用卡【阅读原文】

据外媒MP1ST报道，一位Mod制作者向他们来信称索尼PlayStation存在一个多年未修复的安全漏洞，可以让黑客绕过信用卡CVV验证进行盗刷，如果黑客们获得了玩家们的账号，却可以通过一个简易的漏洞“获取”受害者的信用卡，甚至可以绕过CVV验证使用子账号来消费。外媒调查发现这一漏洞已经大致存在了5年之久，让不少人蒙受了损失，但是目前还没能得到修复。

4.YouTube“黑客教学禁令”误伤了许多正常的计算机安全讲解视频【阅读原文】

今年早些时候，YouTube颁布了禁止在视频内容中添加有关黑客攻击和网络钓鱼教程的禁令。然而许多恪守职业道德的“白帽”黑客，也不幸遭到了这家视频网站的错误封杀。比如Hacker Interchange联合创始人Kody Kinzie就表示，他们只是一家致力于向初学者教授计算机科学与安全方面的知识的公司，但昨天该频道已经无法上传新的视频。据悉，Hacker Interchange为YouTube观众制作了Cyber Weapons Lab系列的视频。但受新政策的影响，他们最近已经无法上传新的内容，已发布的资源也被标记为不可用。

5.苹果遭遇大范围iCloud故障：影响部分零售门店，服务陆续恢复中【阅读原文】

由于一个未知的问题，许多苹果用户遇到了iCloud服务故障，并且据说影响到了一些零售门店，导致其无法完成销售。由苹果官网上的系统状态页面信息可知，在今天早些时候发生了间歇性抽风的电子邮件问题之后，诸多苹果iCloud服务被列为宕机或遇到问题。随着越来越多的服务受到影响，情况似乎在迅速恶化。故障发生大约90分钟后，苹果率先修复了Apple Pay无法完成支付的问题。接着该公司修复了游戏中心和iCloud Mail的故障，苹果的自动系统状态页面一直在刷新报告各项服务的上线状态。苹果公司尚未就此事发表评论，但不少用户在Twitter上汇报称苹果商店也遇到了类似的故障，据说某些交易无法顺利完成。

6.黑客因对Daybreak Game服务器发起DDoS攻击而被判入狱两年【阅读原文】

曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company（前索尼在线娱乐公司）发起DDoS攻击的Austin Thompson被判入狱两年，此外他需要向该公司支付至少95000美元的赔偿金。23岁Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员，并被指控造成“受保护计算机受损，触犯了美国联邦法律。官方新闻发布称Thompson“通常使用Twitter帐户宣布即将发起攻击，然后发布”scalps“（截图或其他照片显示受害者的服务器已经被攻击）”。虽然汤普森目前保释在外，但他已被命令于8月23日向当局投降，以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。

7.首款利用DNS over HTTPS隐藏网络流量的恶意软件Godlua已经现身【外刊-阅读原文】

Network Security研究实验室已经发现了首个利用DoH协议的恶意软件，它就是基于Lua编程语言的Godlua 。Netlab研究人员在报告中提到，他们发现了一个可疑的ELF文件，但最初误以为它只是一款加密货币挖矿木马。该文件会在被感染系统上作为“基于Lua的后门”来运行，且注意到至少有一次针对liuxiaobei.com的DDoS攻击。截至目前，Netlab已经发现了至少两个未利用传统DNS的变种。

8.SKS Keyserver Network遭到“中毒”攻击【外刊-阅读原文】

OpenPGP项目的两位知名开发者Robert J. Hansen (rjh) 和Daniel Kahn Gillmor(dkg)过去一周成为证书中毒攻击的受害者。未知攻击者利用OpenPGP协议本身的缺陷给rjh和dkg的OpenPGP证书下毒。导入中毒版证书会破坏存在缺陷的OpenPGP。中毒证书已经存在于SKS Keyserver Network中，没有理由认为攻击者在对两个证书下毒后就停止攻击。dkg称Tor项目的多个证书也遭到攻击。这一攻击无法在短期内被SKS keyserver或OpenPGP Working Group减轻影响，未来发布的OpenPGP将会包含一些削弱攻击的方法，但目前没有时间表。权宜之计是不要从SKS Keyserver Network提取数据。Keyserver使用的软件是一名研究员使用OCaml语言为自己的博士论文开发的，社区缺乏理解其算法或该语言的人才。软件没人维护，也没有人有资格去修改代码。

9.数据管理公司Attunity泄漏了1TB以上敏感数据【阅读原文】

以色列数据管理公司Attunity泄漏了大量Netflix、福特、道明银行的敏感数据，原因是Attunity的三个Amazon S3存储桶出现了配置错误问题，目前已知，泄漏了的数据多达1TB以上。UpGuard研究员Chris Vickery在2019年5月13日发现可公开访问的S3存储桶“attunity-it”，“attunity-patch”和“attunity-support”。虽然当时泄漏数据的总量尚未确认，但Vickery下载了大约1TB的样本，其中包括750GB的压缩电子邮件备份。

【优质文章】

1.隐藏17年的Firefox文件窃取漏洞，可结合WhatsApp钓鱼窃取文件【阅读原文】

前些日子，火狐浏览器官方刚发布安全更新，称修复了一个存在于 Firefox 全平台所有版本中的远程代码执行漏洞，除此之外还有一个绕过沙箱的漏洞同样被在野利用，该漏洞已经被用于野外攻击，最后释放的是Mac后门。攻击者可能利用此漏洞通过诱使用户访问恶意网页触发漏洞从而 获得对用户系统的控制。而就在这几天，火狐又被曝漏洞，声称漏洞17年前就被上报过，起初火狐的决定是不修复(现在正在修复中)，认为没有利用场景，因此安全研究员找到WhatsApp作为背锅侠，并作为利用场景曝光在twitter上，希望火狐能够修补该漏洞，从而成功引起了火狐的重视。

2.再议Wannacry的比特币钱包【阅读原文】

两年前正值Wannacry爆发不久，笔者发表了《“数”说Wannacry的比特币钱包》一文，受到很多小伙伴的关注。文章从比特币基本特性、交易数据采集、交易记录分析、资金流可视化等多个方面介绍了Wannacry事件所涉及的三个比特币账户。由于“涉案”账户并未转移“赃款”，所以当时只分析了资金的来源，并没有就去向开展研究。本文继续对比特币交易分析做了浅显的介绍，有关其追踪的研究还是非常复杂繁琐，涉及到很多很多的知识。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。