FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.研究人员称电子设备能被修改产生危险的声音

安全研究员 Matt Wixey 发现大量电子设备在防止变成“进攻性”网络武器方面做得很少。他的博士研究主题是探讨恶意程序是否能导致直接的身体伤害。他检查了大量设备，观察设备上的音量和扬声器控制是否能被操纵去产生有害的高低频声音。他发现在某些情况下，电子设备发出的音量能迷惑人，噪音能接近损害人的听力的水平。[外刊-阅读原文]

2.国家互联网应急中心：大量App存在读写用户设备文件等异常行为

国家互联网应急中心8月13日发布《2019年上半年我国互联网网络安全态势》。这份报告指出，我国移动APP违法违规使用个人信息问题十分突出，大量APP存在探测其他APP或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在安全威胁。[阅读原文]

3.FBI准备监视Facebook和Twitter等社交平台对美国的潜在威胁

《华尔街日报》称，美国联邦调查局目前正计划从Twitter、Instagram和Facebook等社交平台开始积极收集数据，这些平台似乎也与各自的隐私政策相冲突。尤其是Facebook，作为与联邦贸易委员会达成协议的一部分，它必须遵守一些限制，这些限制与它收集和处理用户数据的方式有关。[阅读原文]

4.量子计算研究获重要进展：科学家领衔实现高性能单光子源

近期，中科院院士、中国科学技术大学教授潘建伟与陆朝阳、霍永恒等人领衔，在国际上首次提出一种新型理论方案，在窄带和宽带两种微腔上成功实现了确定性偏振、高纯度、高全同性和高效率的单光子源，为光学量子计算机超越经典计算机奠定了重要的科学基础。[阅读原文]

5.彭博：Facebook雇人记录用户语音通话以改善AI技术

据彭博社周二报道， Facebook 让其承包商收听和记录用户通过Facebook Messenger聊天平台进行的特定语音对话。报道称，Facebook之所以会让承包商记录用户的语音对话，是为了改善其人工智能（AI）技术。[阅读原文]

6.使用AI要防止“数据裸奔” 安全市场2023年将达400亿

欧洲市场研究和咨询服务公司kbvresearch曾发布预测报告指出，数据安全市场将以每年18%的复合增长率发展，估计2023年将达到209亿美元；若以在2023年达到全球20%的GDP来估算，中国市场规模将达到约400亿元人民币，未来人工智能在数据安全治理领域仍存在很大应用潜力。[阅读原文]

7.海莲花组织使用新手法攻击柬埔寨政府

“海莲花”，又名APT32和OceanLotus，是有东南亚某国背景的黑客组织。近日，安全研究人员捕获到该组织针对柬埔寨的一起新的攻击活动。[阅读原文]

【安全事件】

1. 中信银行因重大故障等原因未上报，被罚 2190 万元

中国银行保险监督管理委员会发布《行政处罚信息公开表（银保监罚决字〔2019〕12号）》显示，中信银行因涉及13项违法违规事实，没收违法所得33.6677万元，罚款2190万元，合计2223.6677万元。[阅读原文]

2.安全研究人员制造特殊苹果数据线 毫无知觉侵入电脑

一名ID为”MG“的安全研究人员制造了一种特殊的Lightning数据线，可以让黑客远程访问你的电脑。这根线也跟原装的一样，可以插入电脑，连接iOS设备并对其充电，但它可以允许黑客远程连接到机器上运行命令。芯片中配备了黑客可以在受害者机器上运行的脚本和命令，以及“杀死”USB植入的工具，以隐藏其存在。[阅读原文]

3.微软警告称Windows远程桌面服务中存在两个新的漏洞

微软称它修补了两个类似BlueKeep的安全漏洞，即 CVE-2019-1181 和 CVE-2019-1182 。它们类似于此前修复的“BlueKeep”漏洞 (CVE-2019-0708)，也是“蠕虫级”漏洞，也就是说利用这些漏洞的任意未来的恶意软件都能在无需用户交互的情况下从一台易受攻击的计算机传播到另外一台易受攻击的计算机中。[外刊-阅读原文]

4.微软8月补丁修复了93个安全漏洞

随着2019年8月安全更新的发布，微软已发布了针对94个漏洞和2个安全建议的更新。在这些漏洞中，有26个被列为严重漏洞。[外刊-阅读原文]

5.苹果遭集体诉讼：iCloud数据竟存储于谷歌微软服务器

加利福尼亚州北部地区的美国地方法院收到一起集体诉讼，指控苹果发布虚假广告，声称该公司表面上告诉消费者iCloud数据为“由苹果存储”，实则这些数据在某些情况下却是存储在由亚马逊、微软和谷歌运营的服务器上。[阅读原文]

6. 多地叫停“加油区域内扫码支付”，可能存在安全隐患

河南洛阳、江苏南京已经全面禁止在加油站禁区内用手机扫码支付。但也有专家认为，目前加油站内使用手机导致爆炸的可能性只是“理论上”的。[阅读原文]

7.Ghostscript沙箱绕过命令执行漏洞 (CVE-2019-10216) 预警

Artifex官方在ghostscriptf的master分支上提交合并Bug 701394的修复。旨在修复 CVE-2019-10216 漏洞。该漏洞可以直接绕过 ghostscript 的安全沙箱，导致攻击者可以读取任意文件或命令执行。[阅读原文]

【优质文章】

1.CNCERT发布《2019年上半年我国互联网网络安全态势》

2019年上半年，我国基础网络运行总体平稳，未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式拒绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发，多个高危漏洞被曝出，我国网络空间仍面临诸多风险与挑战。[阅读原文]

2.浅谈MSF渗透测试

在渗透过程中，MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。[阅读原文]

3.网络攻击防护体系发展趋势与建设思路

基于攻击能力随着时代的变化而显著提升，改进、重构已经相对滞后的攻击防御体系已势在必行。[阅读原文]

4.当商用密码遇上万物互联

密码技术是保障物联网系统网络安全的核心技术和基础支撑。等保2.0标准发布后，符合等保2.0标准的物联网国密应用综合解决方案如下，能为物联网系统安全保驾护航。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。