FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.App收集个人信息将有“国标”：用户不同意就不得对外共享【阅读原文】

8月8日，全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》征求意见工作的通知。通知称，为落实《网络安全法》对个人信息保护的相关要求，加快相应标准化工作，全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》，现面向社会公开征求意见。

2.亚马逊为美国警方开发高科技监控工具，引发社会担忧【阅读原文】

亚马逊子公司Ring不仅制造无线安全摄像头，它还可以访问警方数据，提醒居民注意潜在的犯罪行为，鼓励用户分享可疑行为的录音，并将其与执法部门联系起来。对此，隐私和公民自由的倡导者认为，Ring与政府的合作关系正在创造一种新的政府监控层。

3.华为回应美国进口禁令：继续在美法院挑战禁令合宪性【阅读原文】

美国当地时间8月7日，美国负责政府合同的机构发布了一项关于禁止联邦机构采购包括华为在内的五家中国公司电信设备的临时规定。华为8日发布媒体声明称，“《2019财年国防授权法》及其实施条款在没有任何证据证明华为有不当行为的情况下对华为采取惩罚性行动，是基于原产国设立的贸易壁垒。”华为在《关于特朗普政府禁止联邦机构从华为采购设备或服务的媒体声明》中表示，“我们对今天的新闻并不感到意外，这只是美国《2019财年国防授权法》的实施条例。华为将继续在联邦法院挑战该禁令的合宪性。”

4.百度回应信息安全报道：未开展此类业务，坚决抵制黑产【阅读原文】

据新华社报道，记者“卧底”骚扰电话源头企业，揭露公民个人信息泄露地下黑色产业链，其中，百度等一些知名互联网企业存在泄露用户信息的行为。对此，百度公司表示，向他人出售或者提供公民个人信息属于法律禁止行为，百度坚决抵制这种行为，也绝不会开展此类业务，任何时候、发现任何黑产不法行为，百度都将报送公安部门，依法惩治。据百度方面透露，公司一直在配合公安部门打击损害网络及信息安全的行为，打击黑产。仅2018年，百度累计下线“涉嫌窃取公民个人信息”的恶意网站达34万，网址达1490万，并配合公安打击数十个涉嫌用黑客手段制作“营销工具”的团伙，抓获相关犯罪嫌疑人近百人。

5.研究称广告产生的收入比挖矿脚本高得多【外刊-阅读原文】

在数字加密货币热的高峰期，一些网站通过嵌入挖矿脚本来尝试获得广告之外的替代收入，但挖矿消耗了太多的资源而引发了争议。现在，根据一项研究，挖矿带来的收入事实上远不如广告。在一次网站访问的平均持续时间内，三个广告带来的收入5.5倍于挖矿脚本。挖矿脚本要变得有利可图需要用户在网站停留时间超过5.53分钟。然而让用户在一个植入挖矿脚本的网站停留太长时间是有困难的，因为它会对用户的设备产生负面影响，会拖慢设备。使用挖矿脚本消耗的CPU资源59倍于广告，内存占用超过1.7倍。研究人员将在下个月举行的Information Security Conference会议上报告他们的研究(PDF）。

6.俄罗斯监管机构开始调查苹果：涉及手机应用垄断问题【阅读原文】

据彭博社报道，俄罗斯反垄断监管机构——联邦反垄断局（FAS）开始对苹果进行调查。该机构表示，苹果可能正在滥用其在手机应用市场上的主导地位。此前，俄罗斯网络安全公司卡巴斯基此前向FAS提交了针对苹果的反垄断诉讼。FAS在官网中称，卡巴斯基向苹果提交的家长控制应用Kaspersky Safe Kids的一个版本被苹果拒绝上架，而苹果自己却推出了Screen Time功能。该机构将于9月13日开始审理此案。

【安全事件】

1.KDE存在一个易于被利用的0day漏洞，影响广泛【外刊-阅读原文】

安全研究员Dominik Penner披露了Linux KDE桌面环境上存在的一个0day漏洞。此漏洞存在于KDE v4与v5版本中，该漏洞使得嵌入在.desktop和.directory文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行，目前几乎所有Linux发行版都在使用易受攻击的KDE版本。

2.Electron应用容易被修改并植入后门【外刊-阅读原文】

因其跨平台能力，Electron开发平台是许多应用的关键组成部分。基于JavaScript和Node.js的Electron被用于Skype、WhatsApp和Slack等流行消息应用，甚至被用于微软的Visual Studio Code开发工具。但Electron也会带来安全隐患，容易修改植入后门。安全研究员Pavel Tsakalidis实现了一个Python开发的工具BEEMKA，可以解压Electron ASAR存档文件，并将新代码注入到JavaScript库和内置Chrome浏览器扩展。

3.波音泄漏代码暴露787安全漏洞【外刊-阅读原文】

IOActive公司的安全研究员Ruben Santamarta对泄漏的波音代码研究发现，波音公司的一台服务器没有任何密码保护，服务器储存了波音737和787客机的代码。在大约一年之后，Santamarta声称他从787的代码中发现了安全漏洞，可被黑客作为入侵的起点，进一步渗透到飞机的安全敏感系统。他将在拉斯维加斯举行的Black Hat安全会议上披露其发现，包括在Crew Information Service/MaintenanceSystem（CIS/MS）中发现的多个漏洞。CIS/MS负责维护系统和电子飞行包等应用。Santamarta称他在CIS/MS中发现了多个内存损害漏洞，可作为入侵飞机安全系统的立足点。

4.只需发送一条短信，黑客就能成功入侵你的iPhone【外刊-阅读原文】

正在拉斯维加斯举办的黑帽安全峰会上，来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞，只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁，但是并没有完全进行修复。这些漏洞可以变成各种BUG，用于执行恶意代码以及访问用户的数据。

5.研究称心情愉悦时更易被黑客欺骗，网络钓鱼反击战仍任重道远【外刊-阅读原文】

佛罗里达大学的一支团队，对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事，展开了比较深入的研究。结果发现，那些心情比较愉悦的人们，相对更容易被诱骗点击钓鱼链接。换言之，如果你的心情不太好，就会相对更少地上钓鱼邮件的当。

6.微软再发BlueKeep漏洞警告 建议用户尽快更新系统【外刊-阅读原文】

今年5月，微软安全检测与响应团队（DART）发布了针对远程执行代码漏洞——CVE-2019-0708（又称 BlueKeep 远程桌面服务漏洞）的安全补丁。其严重性在于无需用户的交互，即有可能被攻击者所利用。攻击者可借助远程桌面协议（RDP）连接到目标系统，然后对受害者的系统加以控制。此外，BlueKeep攻击还可向蠕虫一样被复制和传播，从而引发类似WannaCry的大规模勒索软件攻击。微软建议用户启用网络级别身份验证（NLA），以防止通过远程桌面协议（RDP）进行未经身份验证的访问。有鉴于此，我们敦促所有Windows用户立即采取行动，堵上CVE-2019-0708这个远程桌面协议的安全漏洞。

【优质文章】

1.关于《火焰纹章：晓之女神》的乱数生成规律的初步研究【阅读原文】

本人是火焰纹章、英雄无敌等战棋类游戏的业余玩家，虽然技术一般，但是乐在其中，玩过GBA三作，但是后来由于工作繁忙，一直没有时间体验最新作品，闲暇之余准备把一些经典拿出来体验一下，于是就开始了苍炎和晓女之行（当然是模拟器玩家），玩火纹这种战棋类游戏免不了使用S/L大法来避免全军覆没或者练出个奇葩，但是运气差的时候升级有可能一个点都没有，运气好的时候点数又会全满，不断读档凸点随机性太大而且很耗费时间，强迫症犯了就想如何能不用修改器让升级点数自然最大化（奇怪的症结）。当我体验了苍炎之后，发现同一个即时存档升级的时候点数总是一定的，因此也萌生了找到苍/晓的升级算法，并写一款可以预测升级点数工具的想法。

2.微软正在监听Skype和Cortana​的录音，美其名曰改善用户体验【阅读原文】

斯诺登曝光的“棱镜门”中，美国巨头包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司均向美国国家安全局开放了他们的服务器，从而使得美国政府可以开心的监控全球上百万网民的邮件、即时通话及存取的数据。当然，时至今日，越来越多的事件表明，只要这类公司位于美国境内，比如喜爱拦截正确观点的推文和视频的facebook/twitter/Youtube，比如屏蔽指定正确搜索词，并通过Google智能助理服务进行监听的谷歌，比如通过Siri针对全球Iphone用户进行监听的苹果公司。

3.等保测评：SQLServer操作超时【阅读原文】

本文说的是等级保护1.0中SQLServer数据库操作超时的内容，实际在SQLServer中有很多种超时选项，很容易将其混为一谈，本文将尽力将之说清楚。

4.Globelmposter勒索病毒变种家族史，看这篇就够了【阅读原文】

针对企业的勒索病毒攻击在最近一段时间暴涨，此前我在公众号了发表过一篇文章《勒索不断！勒索病毒数量第二季度暴涨三倍》，目前国内外主要流行的几大勒索病毒家族分别是：Sodinokibi、GandCrab、Ryuk、Phobos、Globelmposter、CrySiS(Dharma)、CryptoMix、Paradise等，今天给大家分享一下Globelmposter这款勒索病毒家族的一些信息。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。