FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.美国将收集包括 QQ 空间和新浪微博在内的社交媒体账号

美国国土安全部计划扩大针对签证申请者、移民、避难者和难民的社交媒体账号收集范围。国土安全部计划要求申请者提供 19 个社交网站的用户名，这些网站包括：Ask.fm (问答网站)、豆瓣、Facebook、Flickr、Instagram、LinkedIn、MySpace、Pinterest、 QQ 空间、Reddit、新浪微博、腾讯微博、Tumblr、Twitter、Twoo (比利时社交网站)、Vine、VKontakte、优酷和 YouTube。[阅读原文]

2.维基百科遭到DDoS网络攻击宕机 数小时后基本恢复

维基百科（Wikipedia）遭受恶意网络攻击导致多个国家的网站宕机下线。本次攻击发生在2019年9月8日凌晨2点左右，主要受到影响的是欧洲和中东用户。downdetector.com网站记录了本次的攻击，当时收到了数千起报告。[阅读原文]

3.专家在Google Play商店的24个应用中发现了Joker间谍软件

谷歌的安全专家已经从Google Play的24个应用程序中删除了新间谍软件Joker。该间谍软件能够窃取SMS消息，联系人列表和设备信息，同时为受害者签署高级服务订阅。“在过去的几周里，我们一直在观察它。到目前为止，我们已经在24个应用程序中检测到它，总共安装了472,000多次。“[外刊-阅读原文]

4.Facebook和谷歌面临新反垄断调查，科技公司监管压力加剧

谷歌已经证实，接到美国司法部要求其提供之前反垄断调查相关记录的通知，这标志着这家科技巨头首次正式承认自己成为美国监管机构反竞争调查的对象。在谷歌承认受到民事调查几周前，美国司法部官员曾表示，他们将对包括搜索在内的大型科技公司展开广泛审查。几天前，美国30多个州的总检察长宣布将对谷歌进行重大反垄断调查。[阅读原文]

5.两家PE开价160亿美元收购赛门铁克消费业务

知情人士透露说，之前赛门铁克已经同意将企业安全部门大部分股份出售，现在两家PE公司向赛门铁克抛出橄榄枝，愿意收购赛门铁克消费业务，开价超过160亿美元。Permira和Advent最近接触赛门铁克，愿意以每股26-27美元收购赛门铁克消费业务；最终PE公司将会拿下赛门铁克消费运营业务。[阅读原文]

6.索尼称PSN是世界上领先的网络服务 被玩家嘲笑

索尼的PSN在全球有着海量的用户，但并不是所有人都同意该服务称自己是“世界上领先的网络服务”，因为目前它有很多问题。在索尼集团的2019年报告中，索尼表示在该财年内（截止到2019年3月31日）PSN有了巨大的增长，目前已经是“世界上领先的网络服务之一”。[阅读原文]

7.英特尔文档曝光了尚未发布的400系列芯片组

尽管英特尔不会经常提及自家尚未发布的芯片组，但它们偶尔也会在一些意外的情况下“被发布”。有人在公开的驱动程序文档中，找到了尚未发布的 400 系列和 495 芯片组的身影。我们认为，它们很可能是继 300 系列之后的未来几代产品。[阅读原文]

【安全事件】

1.Exim 邮件服务器再次爆出高危漏洞

Exim 邮件服务器再次爆出了高危漏洞，4.92.1 以内的所有版本都受到影响。漏洞存在于处理 TLS 的代码中，如果 Exim 服务器接受 TLS 连接，那么它就有漏洞，权益方法是不提供 TLS，但开发者并不推荐该方法。这是一个远程代码执行漏洞，已有 POC 漏洞利用。[阅读原文]

2.成千上万的服务器感染了Lilocked Ransomware

自7月中旬以来，Lilocked勒索软件已经感染了数千个基于Linux的Web服务器。研究人员发现，所跟踪的新勒索软件Lilocked（Lilu）正在积极瞄准服务器并加密存储在服务器上的数据。[外刊-阅读原文]

3.一名女性开发者正在打造可以过滤Twitter私信不雅图的AI系统

从编写脚本文字到发布假新闻的机器学习模型，人工智能（AI）正在各个领域崭露头角。现在，一位名叫 Kelsey Bressler 的开发者，正在帮助她的朋友打造一款特殊的 AI 系统，旨在检测并剔除社交平台（Twitter）上的不雅色情图片。[阅读原文]

4.最新安卓漏洞允许黑客发送文本攻击，华为、三星、索尼均受波及

Check Point研究人员发现，大量Android手机存在双因素身份验证漏洞，该漏洞可能令设备遭受到sim交换攻击。据悉，这些易受攻击的安卓机型包括三星，华为，索尼和LG，这些手机允许攻击者强制获取权限并访问用户信息。[阅读原文]

5.苹果回应iPhone漏洞问题：确实存在但被谷歌夸大

谷歌近日发布了一份关于苹果操作系统漏洞的深度研究汇编，此事一出也在网上引起了讨论。不过苹果官方近日也针对谷歌报告做出了回应，将报告定义为不准确和误导性。苹果在一份最新出炉的声明中表示，谷歌先前所认定的针对iPhone用户的“潜在攻击”的针对范围很窄，准确的说是对大多数人没有严重威胁。苹果在声明中还补充道：“这次复杂的攻击并不是像谷歌报告所描述的那样，大规模地利用iPhone的安全漏洞。”[外刊-阅读原文]

6.利用BlueKeep漏洞的Metasploit蠕虫已在野外发现

几个月来，安全从业者一直在担心已被公开的 BlueKeep 漏洞会被攻击者滥用。作为旧版 Windows 操作系统中易受攻击的一个短板，这意味着它可能再次掀起类似两年前 WannaCry 蠕虫爆发大感染的严重后果。周五的时候，作为一款被白帽和黑帽黑客使用的开源工具，基于 Metasploit 框架的 BlueKeep 漏洞利用蠕虫如约而至。[阅读原文]

7.搜集个人隐私方式日益隐蔽 留心躲避手机App隐私陷阱

近年来，手机App对个人隐私的搜集日益严重，虽然几经曝光，但相关企业的态度却暧昧不清。ZAO的意外走红，从一个侧面再次暴露出我国公民个人信息保护的短板和难题，在相关立法出台之前，公众使用手机App前一定要留心躲避其中的个人隐私陷阱。[阅读原文]

【优质文章】

1.全球服务器市场下滑 11.6%、出货量减少 9.3%

2019年第二季度的全球服务器市场出现了九个季度以来的首次收缩，但对HPE、戴尔和浪潮来说形势喜人。据IDC新发布的2019年第二季度数据显示，惠普企业（HPE）的全球服务器市场份额增长，而戴尔科技略有下滑，这两大公司之间的差距在缩小，这是几个季度以来头一回。[阅读原文]

2.BUF大事件丨工信部就“ZAO”App网络数据安全问题约谈；中国互联网发展状况报告发布；WitAwards 2019报名开启

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，工信部就“ZAO”App网络数据安全问题开展问询约谈；中国互联网发展状况报告发布；网吧电脑装木马远程挖矿，涉案金额上亿元；WitAwards 2019中国网络安全创新年度评选报名开启。[阅读原文]

3.自古逢秋悲寂寥：浅谈瑞华的“分手季”

瑞华最近不太好，前头沾惹上陈年造假大案，后头接连被分手两次。为啥安全圈的大佬们不爱瑞华了？对于深信服、启明星辰来说，继续应聘一家多次有失察之过的事务所，难保不会惹上官司。瑞华正在一次次的爆雷中失去公信力。[阅读原文]

4.“网络之癌”正在扩散，人类或将进入全球网络战的漫长冬夜。试问谁能阻止这一切？

互联网，原是人类文明新开辟的灿烂港湾，然而在超级大国高举“网战主义”大旗以及“网络军备竞赛”的阴霾下，网络世界已逐渐沦为硝烟弥漫的废土黄沙；漏洞作为最致命的“网络军火”，它像癌症一样扩散到全球网络空间，并且压迫着整个世界神经。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。