FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1、调查报告指出员工使用的移动设备对金融企业造成了严重风险【外刊-阅读原文】

金融服务是一个受到严格监管的行业，但这并不意味着它不受网络安全问题的影响。根据一份最新的报告，金融服务组织面临来自移动设备的网络钓鱼和中间人（MiTM）攻击的频次高于其他行业，并且技术的发展趋势使问题变得更加复杂。

2、智联招聘回应16万份简历泄露：积极协助公安机关进行调查【阅读原文】

7 月 5 日，智联招聘员工参与倒卖公民个人信息的案件在北京市朝阳法院第二次开庭审理。公诉机关认为应当以侵犯公民个人信息罪追究 5 名被告人的刑事责任，建议对 5 人量刑 3 到 5 年有期徒刑。该案将择日宣判。

3、研究人员将音乐数据嵌入音乐进行传输【阅读原文】

研究人员开发了一种将数据嵌入音乐并将其传输到智能手机的技术。由于数据对人耳是不可察觉的，所以它不会影响听觉的快感。这将为酒店、博物馆和百货公司带来更有趣的应用。苏黎世联邦理工学院（ETH）的研究人员为了存储数据，研究人员对音乐做了很小的改动。与近年来其他科学家的尝试不同，他们的新方法允许更快的数据传输速率，而不会对听音乐产生影响。

4、网店刷好评、删差评拟列入严重违法失信名单【阅读原文】

7月10日起，由国家市场监管总局起草的《严重违法失信名单管理办法（修订草案征求意见稿）》公开征求意见。网店刷好评、删差评被行政处罚及生产销售假药等36种情形拟列入严重违法失信名单。

5、华裔前员工承认上传特斯拉Autopilot源代码，但否认窃密【阅读原文】

特斯拉前工程师曹广志（音译，Guangzhi Cao）在本周提交给法庭的一份文件中承认，他在2018年底还在为特斯拉工作时，将包含Autopilot源代码的压缩文件上传到了自己的iCloud个人账户。今年早些时候，特斯拉起诉曹广志涉嫌窃取自动驾驶仪相关商业机密，并将其提供给小鹏汽车。

6、LG注册新商标，将推数字加密货币钱包【阅读原文】

据Letsgodigital报道，在2019年7月2日，LG公司在USPTO（美国专利及商标局）申请了名为“ThinQ Wallet”的商标。该应用程序也包含在欧洲的数据库中。该商标被归类为第9/36类，并附有说明：智能手机应用软件、电话支付软件、区块链软件、加密货币的数字钱包软件。

【安全事件】

1、McAfee漏洞防护更新包导致Windows登录功能出现故障【外刊-阅读原文】

昨天晚上发布的McAfee Endpoint Security（ENS）安全软件更新给该产品的用户带来了严重的麻烦，更新包阻止用户登录计算机。根据McAfee发布的公告，如果Windows PC正在使用McAfee ENS 10.2，并启用了漏洞利用防护并且安装了Exploit Prevent定义更新9418，则会无法登录Windows。为解决此问题，McAfee立即发布了更新包9419，该更新可防止新工作站遇到此问题。但是对于已经受影响的工作站，即使禁用了漏洞利用防护，用户仍然无法登录，必须要进行手动Windows注册表修复。该修复过程必须通过安全模式完成，对于拥有数千甚至数十万个工作站的组织来说，难以招架。

2、浏览器Pale Moon开发商称黑客在老版本安装包中植入了恶意软件【外刊-阅读原文】

黑客已经破坏了Pale Moon浏览器项目的存档服务器，并使用恶意软件感染了较旧的浏览器版本。根据 Pale Moon主要开发商MC Straver昨晚公布的违规公告，该攻击行为持续了超过18个月。Pale Moon“存档服务器”用于托管旧版本的Pale Moon浏览器，以防用户想要从当前稳定版本降级。Pale Moon dev表示7月9日得知了这一事件后他们就立即下线了受感染的存档服务器。

3、FinSpy新变种可窃取iOS和Android手机上的信息【外刊-阅读原文】

根据卡巴斯基的最新研究，一种新版本的高级恶意监视工具FinSpy被发现窃取了全球政府、执法部门和非政府组织的信息。该恶意软件的对象是iOS和Android设备，可以监控几乎所有流行的消息服务，包括加密消息，并且比以前能够更好地隐藏痕迹。

4、全新的勒索软件针对QNAP Systems的NAS产品发起攻击【外刊-阅读原文】

Anomali的研究人员发现了一种针对QNAP Systems网络附加存储（NAS）设备用户的全新勒索软件——eCh0raix，可能会对于美国境内的19,000多个系统造成严重威胁。恶意软件的运营商似乎通过强制弱凭证或利用其中的已知漏洞来获取对设备的访问权。然而，安全供应商在周三发布的一份咨询报告中表示，确切的感染媒介目前尚不清楚。

5、美国海岸警卫队针对破坏船舶计算机系统的恶意软件发出警告【阅读原文】

据外媒ZDNet报道，美国海岸警卫队在过去三个月中发出了两次安全警报，突出了商业海船上的网络安全实践问题。第一个警报是在5月下旬发出的，海岸警卫队官员警告说，持续不断的电子邮件鱼叉式网络钓鱼浪潮将恶意软件传播到商业船只。

6、Zoom发布紧急补丁：消除苹果Mac用户摄像头被黑客劫持风险【阅读原文】

据美国科技网站TheVerge报道，视频会议软件开发商Zoom今日推出了一款紧急补丁，以解决Mac用户面临的一个“零日漏洞”。该漏洞可能会将一个视频通话请求暴露给黑客，从而启动一个计划之外的聊天程序。昨日，安全研究员乔纳森·莱茨丘（Jonathan Leitschuh）公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重的“零日漏洞”。莱茨丘称，任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。

7、美国上诉法院裁定特朗普不能在Twitter屏蔽他人【阅读原文】

去年5月，曼哈顿地方法院法官纳奥米·雷伊奇·布赫瓦尔德裁定，美国总统和其他政府官员推特帐户的评论属于公众讨论范围，因不同的观点立场而对推特用户进行屏蔽，违反了美国宪法第一修正案中有关言论自由的规定。今年3月，特朗普的律师团队就这一裁决提起上诉，要求上诉法院推翻这一裁决，理由是特朗普的推特账号属于他个人，而并非由政府控制。曼哈顿第二巡回上诉法院在判决书中表示，美国宪法第一修正案禁止特朗普利用推特的“屏蔽”功能来限制人们对他账户的访问。

【优质文章】

1、行业洞察：如何确保医疗行业安全【外刊-阅读原文】

网络安全威胁使得医疗组织和行业面临前所未有的风险，如何改善他们的安全状况，许多人并不知道该怎么办。在所有行业的组织都担心数据泄露和网络攻击的时候，医疗领域的人们属于最忧心的人群，因为敏感的健康数据、大量连接的医疗设备以及糟糕的风险管理实践使得医疗行业成为热门目标。

2、从树莓派4 USB-C接口设计失误看嵌入式系统的接口升级【阅读原文】

近日，RaspBerry 4 Pi model B（树莓派4B）正式发布，从处理能力，通信方式，对外接口都进行了全方位的升级，为嵌入式开发者带来了福音。收到货后，不少开发者怀着激动的心情开始尝试使用。结果，却发现了USB-C接口在设计规范性上出现了严重的问题。

3、看我如何利用Mac官方AppStore中的应用程序获取root权限【阅读原文】

在本篇文章中，“Objective by the Sea”的演讲者Csaba Fitzl撰写了一篇有趣的方法，通过官方Mac AppStore中的应用程序来获取root权限。他的研究最开始是在“Objective by the Sea”v2.0中提出的。