FreeBuf早报，安全圈值得关注的每日大事件

【国际动态】

1.头条搜索网页版推出，百度却并没有感到任何威胁【阅读原文】

今日头条悄悄上线自家搜索入口：“头条搜索”网页版，目前可以在电脑端搜索“头条搜索”来试用。该产品的Slogan为：搜你想搜的。如果将头条搜索网页版（下称“头搜”）与百度搜索进行对比，用户会发现其中很大不同。目前，百度仍然是国内最大的搜素引擎，然而在移动App盛行的市场中也难逃年利润不断下滑的厄运，这其实与字节跳动的产品有关。2018年底，今日头条和虎扑已成为国内最大两家新闻资讯App。

2.为方便解锁Model 3，美女黑客提取特斯拉钥匙卡RFID芯片并植入手臂【阅读原文】

外媒报道称，拥有游戏模拟和编程背景的软件工程师Amie DD，最近发布了一段展示其“身体改造”的视频。为了实现“人肉解锁”Model 3的目标，她首先使用丙酮溶液提取了特斯拉“钥匙卡”中的RFID芯片，将之裹入生物聚合物，然后通过空心针管注入左手臂。虽然这件事听起来很新奇，但Amie本身并不是一个Biohacking的新手。此前她曾希望利用已经植入体内的RFID芯片来发动Model 3，但可惜特斯拉的安全性不允许她这么做。

3.央行准备推出数字货币【阅读原文】

央行支付结算司副司长穆长春上周六表示，2014年至今，央行数字货币DC/EP (DE，digital currency，是数字货币；EP，electronic payment，是电子支付）的研究已经进行了五年，现在 “呼之欲出”。对于是否采用区块链技术的问题，穆长春表示，由于法定数字货币是M0替代，如果要达到零售级别，因此高并发是绕不过去的一个问题。“去年双十一的时候，网联的交易峰值达到了92771笔/秒，比较一下，比特币是每秒7笔。以太币是每秒10笔到20笔，Libra根据它刚发的白皮书，每秒1000 笔。可以设想，在中国这样一个大国发行数字货币，采用纯区块链架构无法实现零售所要求的高并发性能。所以最后我们决定央行层面应保持技术中性，不一定依赖某一种技术路线。”

4.AV-TEST最新评测将Windows Defender列为消费者最可靠的杀毒软件【外刊-阅读原文】

知名反病毒软件评测机构AV-TEST最新发布的评测报告将微软Windows Defender列为普通消费者最可靠的反病毒软件。该独立评测机构根据某些参数测试反病毒软件并进行评分，这些参数其实就是防护、性能和可用性三个方面。最新评测报告显示Windows Defender在上述方面都取得非常不错的成绩，因此被推荐为最可靠的杀毒软件。

5.英国：科技公司不删除有害视频，可能会被罚款【阅读原文】

英国政府正计划向数字监管机构Ofcom提供新的临时权力，允许其向YouTube，Instagram或Facebook这样的高科技公司实施监管，如若这些公司未能及时删除儿童可能看到的有害内容，如色情和暴力，将面临罚款。根据计划，Ofcom将从2020年9月19日起获得这些权力。新的权力只是暂时的，直到“在线危害监管机构可以承担责任”。Ofcom认为这些规则是规范在线视频共享的“重要的第一步”，他们将与政府密切合作以提供保障。同时，Ofcom还支持更广泛的立法，以引入更多保护措施，包括一项措施，即公司对其用户负有“关注责任”。

6.苹果漏洞悬赏计划升级！赏金最高100万美元、支持 Mac【阅读原文】

苹果安全工程主管Ivan Krstić在拉斯维加斯举行的黑帽大会上宣布，苹果将升级漏洞悬赏计划，除了iOS设备外，还会覆盖macOS、tvOS、watchOS和iCloud。苹果于2016年8月正式推出适用于iOS设备的漏洞悬赏计划，允许安全研究人员找到iOS漏洞，并向苹果汇报，以获得赏金。此前，非iOS设备并没有悬赏计划，这样的操作也一直被安全社区批评。除了macOS悬赏计划外，苹果还会提高赏金金额，从之前的每个漏洞20万美元提升至100万美元。此外，苹果还会向研究人员提供“开发版”iPhone，这是特殊版iPhone，可以更深入地访问底层软件和操作系统，从而更容易发现漏洞。

【安全事件】

1.国外人气主播账号被黑，入侵者发推威胁爆照【阅读原文】

Michael “Shroud” Grzesiek是国外直播平台Twitch上一名《绝地求生》、《Apex英雄》大主播，此前他曾经是CS职业选手。Shroud的账号在当地时间周一早上被黑，发了很多链接到其他twitter账号的推文，威胁发裸照，同时还发布了针对其他Twitch大主播的仇恨性言论。此外还声称如果一些指定的Twitter账号获得了足够的粉丝，那么他还会公开Shroud女友Hannah "Bnans" Kennedy的裸照。事发后，Shroud很快（用了30分钟）找回了自己的账号删除了那些推文。在登陆自己的账号后，Shroud向自己的粉丝道歉，同时还po了一张喵星人照片。

2.“螺丝刀”揭开严重安全漏洞，多厂商驱动程序及固件现提权问题【外刊-阅读原文】

一家名为Eclypsium的网络安全研究公司公布了一份报告，称超过20家公司都会收到其发现的名为“螺丝刀”漏洞的影响。报告中，该公司称驱动程序及固件的不安全问题非常普遍，包括华硕、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞，而且更严重的是他们发现的易受攻击的驱动程序都经过了微软的认证，因此他们已经邀请微软提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞。这些漏洞都允许驱动程序充当代理，以执行对硬件资源的高权限访问，例如对处理器和芯片组的I/O空间的读写访问等。这是一种权限提升，因为它可以将攻击者从用户模式（Ring 3）提权至操作系统的内核模式（Ring 0），这样恶意软件就会拥有更多的权限执行。而驱动程序中的漏洞会使恶意软件较为轻松的获取高等级权限。

3.因机器配置问题，黑客们难以在Defcon上查找原型投票机的漏洞【外刊-阅读原文】

在近日于拉斯维加斯举办的Defcon安全会议上，DARPA设立了一台价值1000万美元的投票机原型，并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误，导致大家难以向它发起测试。据悉，原因不在于研发团队花了四个月时间去完善机器的安全功能，而是因为机器在安装过程中遇到了技术难题。

4.最新安全报告：单反相机已成为勒索软件攻击目标【外刊-阅读原文】

安全软件公司Check Point今天发布了一份报告，详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现，黑客可以轻易地在数码相机上植入恶意软件。他表示标准化的图片传输协议是传递恶意软件的理想途径，因为它是未经身份验证的，可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点，只要单反连接到这些热点后就能进行攻击，从而进一步感染用户的PC。

5.研究人员发现40多个存在漏洞的Windows设备驱动【外刊-阅读原文】

安全公司Eclypsium的研究人员在硬件和固件安全研究中发现，至少20家供应商的40多个Windows设备驱动存在高危漏洞，允许绕过或提权。这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用，并获得了微软的数字签名，允许攻击者能更方便秘密的渗透到目标网络。设备驱动通常都具有非常高的权限，其中包括进行修改的权限，允许攻击者在系统中获得永久的立足之地。Eclypsium已经通知了微软，英伟达已经释出了修复的驱动。

6.KDE发现类似Autorun.inf的漏洞，问题已修复【阅读原文】

安全研究员Dominik "zer0pwn" Penner在KDE Frameworks 5.60.0中发现了一个自动执行漏洞，类似Windows的Autorun.inf。 KDE Frameworks软件库是KDE桌面环境的基础。漏洞与KDesktopFile类处理.desktop或directory文件的方式有关。当用户使用KDE文件浏览器打开一个储存有恶意.desktop或.directory文件的目录，文件包含的恶意代码能自动执行无需用户操作。KDE项目已经释出了KDE Frameworks 5.61.0修复了该漏洞，同时对安全研究员不按照正确方式报告漏洞直接公开的做法表达了不满。

7.智能门锁比较试验：超八成可用假指纹解锁【阅读原文】

京津冀消费者协会联合发布智能门锁比较试验结果，结果显示超六成智能门锁IC卡钥匙可被破解复制，超八成可用制作的假指纹解锁。本次智能门锁比较试验涉及28个品牌的38把样品，购买价格从790元到3700元不等。比较试验主要针对的是与智能门锁相关的安全和可靠性项目，包括：电磁兼容性试验、环境试验、IC卡解锁试验、指纹解锁试验、密码逻辑安全试验和电路非正常等试验。经测试，38把智能门锁样品中，8把样品电磁兼容试验存在异常反应；6把样品极低温环境下无法解锁；24把样品的IC卡钥匙可被破解复制；14把智能门锁样品宣传具有活体指纹功能，实测并不具备此功能，涉嫌虚假宣传；32把样品可用制作的假指纹解锁；30把样品可靠性差。京津冀三地消协建议消费者选购带有半导体指纹识别技术的智能门锁产品，安全性高于光电式指纹门锁，同时建议厂家适度宣传，不要过度宣传活体指纹；要选择具有虚位密码的智能门锁产品，使用过程中设置多位密码。

【优质文章】

1.企业安全建设与态势感知【阅读原文】

安全在今天越来越受重视，各类企事业单位也不断加大安全投入，很多度过了安全建设初级阶段(被动防御)的安全团队开始做态势感知。然而，市场很多声称具备安全态势感知的产品大多是厂商站在乙方视角推出的SOC产品，在甲方发挥的主要作用是安全可视化，往往成为一个观赏性的玩具。

2.等保测评主机安全：CentOS访问控制【阅读原文】

权限控制在等保测评里仅仅说了要求，但是怎么落地却基本没写，怎么说呢，比较抽象。所以，我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制，不至于测评的时候完全不知道怎么测。

3.新坑开放：等保2.0标准个人解读（一）【阅读原文】

从事安全合规工作多年，经常会有同事或朋友过来问我一些标准中的点，比如后端实施的一些工程师和项目经理比较关心的是测评中要求项的测评方法和测评点、如何给客户解释此项，如何整改才算合规；也有前端销售和售前，问我能不能对合规的内容详细给他们讲讲，最好结合产品和服务，或者培训一下，他们关心的是如何将合规的东西结合产品或服务灌输给客户，因为几年来国家对网络安全的要求越来越严格，企业对安全也是越来越重视，不管是为了应付监管还是为了保障业务，安全合规可以说是企业安全的基线，必须要做没有商量。所以，决定结合即将实施的等保2.0（以下简称“等2”或“新标准”）标准的通用部分，做一下分析，给出一些个人建议，以供前端和后端人员参考。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。