FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.美国国土安全部警告小型飞机的CAN总线漏洞

美国国土安全部网络安全部门（CISA）今天发布了一份安全警报，警告小型飞机的所有者可以利用这些漏洞来改变飞机遥测。这些漏洞存在于航空电子设备（安装在飞机上的电子设备），更具体地说是在小型飞机的CAN总线内。[外刊-阅读原文]

2.Telegram推出针对巴西政客使用语音邮件攻击的修复程序

Telegram在周末推出了修复程序，以防止黑客滥用语音邮件帐户以获取对其他用户帐户的访问权限。这种被称为“语音邮件攻击”或“语音邮件劫持”的伎俩在过去几个月中被用于访问巴西的1000多个Telegram账户，包括属于当地政客的账户。[外刊-阅读原文]

3.微软收购软件安全公司BlueTalon：简化Azure数据隐私和治理

微软宣布收购软件安全公司BlueTalon，以进一步简化现代化数据之间的数据隐私。BlueTalon团队表示目前已经开始为Azure数据开发深度数据隐私解决方案，并且为其他现代化数据平台提供自家的统一数据访问控制解决方案。[阅读原文]

4.LAPD数据泄露致2500名警官个人信息被盗

据悉大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称，被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。[阅读原文]

5.欧盟：用户点“赞”不代表允许网站向FB传输个人资料 需承担法律责任

在网页上放置“赞”功能的网站要小心了，欧盟法院周一做出判决，在未取得用户同意下，透过点赞功能将资料传送给脸书的网站也有法律责任，不论他有没有按下赞。这是欧洲最高法院做出的意见。本案源自德国线上服饰经销站长Fashion ID在其网站上嵌入了脸书点“赞”键，让造访网站消费者的个人资料，都会被传送到脸书爱尔兰公司，不论消费者本身是不是脸书用户，或是否亲自点了“赞”的按钮。[阅读原文]

6.德国信任华为5G设备 将采取多种方法对应潜在风险

虽然华为被美国列入“实体清单”之中，但是德国在使用华为下一代5G硬件和通信协议时，对所有潜在的担忧都不屑一顾。在与这家中国电信巨头沟通的过程中，华为公司设计了几种方案和做法，以减轻所谓的风险和危险。[阅读原文]

7.部分企业伪造法庭命令试图改变 Google 搜索结果

在美国，唯一能让 Google 删除搜索结果链接的方法是法庭命令。对数以千计的法庭命令的调查发现，为了诱骗 Google 改变搜索结果有数十个法庭命令被发现是伪造的。伪造的命令通常是将一个法庭命令的法官签名复制到另一个，有些伪造的命令过于明显了，其案例编号是 1-2-3-4-5-6-7-8-9。一些人伪造命令是为了清理掉网上的差评，还有一些则试图让别人忘记他们儿童性犯罪的历史。在 60 多个伪造文件中，有 11 个伪造了俄亥俄州汉密尔顿县法官的签名。[阅读原文]

【安全事件】

1.谷歌公布6个重大iOS漏洞：可通过iMessage发动攻击

谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。据悉，这6个“无交互”安全漏洞可通过iMessage客户端发动攻击。[阅读原文]

2.Chrome 76 稳定版发布：禁用 Flash、监听扩展等

Chrome 76 稳定版发布，这个最新的版本带来了一些重大的变化。在默认情况下，Flash 是禁用的，并且网站将无法检测你是否在使用隐私模式。[阅读原文]

3.数据显示微软Windows Defender成为最好的防病毒软件之一

根据德国研究所AV-TEST的安全研究人员进行的一项研究，Windows Defender现在是全球领先的反病毒产品之一。微软不是一个安全厂商，其主要目标是构建高级软件解决方案来阻止恶意软件和网络攻击，但是由于该公司最近在Windows Defender中付出的努力，让Windows 10内置的防病毒软件向前迈出了重要的一步。成为全球领先的反病毒产品之一。[阅读原文]

4.研究人员破解监控系统以显示假视频源

安全研究人员分析建筑中使用的物联网设备中存在的安全漏洞，其中包括监控系统，攻击者可以通过漏洞发起攻击，使用任意镜头替换真实的视频源。[外刊-阅读原文]

5.个人信息保护合规评估工具发布上线

由中国电子技术标准化研究院开发的个人信息保护合规评估工具30日正式发布上线。据了解，这一工具将为企业免费提供App隐私条款评估、个人信息保护合规自查等在线服务。该工具是依据个人信息保护相关法律法规和标准要求开发的一款面向企业免费开放、提供个人信息保护合规自查评估服务的工具。[阅读原文]

6.不同意获取个人信息就“闪退”，网友吐槽12306 App

近日有不少网友吐槽铁路官方APP“铁路12306”，称不同意获取个人信息就“闪退”。报道称，最新版本的12306 App在首次启动时会显示一个页面，称在使用12306时，可能会获取部分必要的个人信息，以提供相关基本服务。这些个人信息包括：定位信息、使用相机、相册和推送权限这4项。[阅读原文]

7.2名黑客多次侵入多地房管局系统 凉山警方破获倒卖房主信息案

德昌县公安局近日成功破获一起涉及川、渝两地近千个楼盘50余万条公民个人信息泄露案，购买公民个人信息的资金达230余万元，捣毁一横跨川、渝两地倒卖房主个人信息的团伙，抓获犯罪嫌疑人36名。7月25日，深挖出2名电脑黑客已被德昌县人民检察院批准逮捕。[阅读原文]

【优质文章】

1.解构网络战：发生在第五维空间的战争离你并不遥远

随着信息和网络技术的飞速发展，互联网已渗透到人类生活的方方面面，并对国家安全、军事斗争以及战争形态产生了重大而深远的影响，网络空间已成为与陆、海、空、天并列的第五维空间领域。[阅读原文]

2.Imagemagick邂逅Getimagesize的那点事儿

imagemagick和ghostscript的漏洞层出不穷，也在侧面辅助了黑盒渗透与PHP代码审计，待下一次0day爆发，也可以利用这个技巧进行盲测。[阅读原文]

3.网信办网络安全协调局副局长胡啸：要加快出台数据安全法

中央网信办网络安全协调局副局长胡啸表示，数据已经成为经济社会的重要资源，现在地方和企业发展大数据的积极性都很高，但是安全风险也很大。一方面，存在大量的超范围收集个人信息和用户数据的情况，另外一方面，重要数据和个人信息泄露滥用的事件时有发生。因此，胡啸提出需要加快出台数据安全法、数据安全管理办法等一系列法律法规，规范数据采集、存储、使用、共享相关的活动。[阅读原文]

4.“零信任”安全体系架构和实践

当涉及到大宗利益和公共利益的时候，往往是另一种机制在发挥作用：零信任机制。比如战略情报、重大选举、法律规章制订、多重鉴权（权限审批）等，都是基于零信任体系的运行机制，其前提假设就是没有人可以被天然信任。[阅读原文]