FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.俄罗斯男子因经营在线犯罪网站被引渡

Aleksei Burkov是俄罗斯人，他被指控经营在线犯罪网站Cardplanet，参与超过2000万美元的信用卡欺诈活动，目前已被引渡至美国，面对刑事指控。[外刊-阅读原文]

2.央视热评：刷个抖音就威胁了美国安全

据央视新闻消息，近日，要求调查抖音的美国参议员提出抖音“对美国安全是个威胁”，“如果中国有了1亿美国人的数据，谁知道他们会干嘛？”还有人称抖音“协助外国势力影响美国2020年总统选举”。好像所有中国企业去美国都是“不怀好意”地想要偷数据、控制美国人民心智……对此央视热评称，10月底的时候，美国的外国投资委员会已经联系了抖音的母公司字节跳动，认为抖音在美国的商业行为对美国可能造成国家安全威胁，刷15s的小视频已经升级到了国家安全。[阅读原文]

3.谷歌回应数据滥用质疑：未将个人医疗数据用于AI研究

据彭博社报道，面对媒体报道以及随之而来的政客攻击，谷歌健康业务和云业务的高管们表示，公司并未滥用来自美国最大医疗健康供应商提供的健康数据。其中，谷歌健康主管大卫·费恩伯格（David Feinberg）说，谷歌员工仅可访问患者信息，以为Ascension医院网络开发新的内部搜索工具。他还补充说，没有任何患者数据被用于谷歌的人工智能研究。[阅读原文]

4.TA505网络犯罪团伙正在针对系统集成商

在正常的监视活动中，其中一个检测工具捕获了来自validtree.com域的可疑电子邮件。该域受到巴拿马公司的保护，试图隐藏其真正的注册人。通过人工分析调查后发现，TA505网络犯罪团伙可能正在对系统集成商产生兴趣。[外刊-阅读原文]

5.美国法院裁定：不得随意搜索旅行者的手机和笔记本电脑

现在，在没有合理怀疑的情况下在美国边境进行的任何搜索都将违反《第四修正案》。美国公民自由联盟（ACLU）代表11名在美国边境被搜查了笔记本电脑和手机的旅行者，和电子边境基金会（EFF）一起发起了这项行动，并称该裁决是隐私权的重大胜利。[外刊-阅读原文]

6.美陆军用TikTok短视频宣传征兵，国会议员又提国安问题

据国外媒体报道，已经在全球流行的短视频应用TikTok，目前深受美国青少年喜爱，就连美国陆军高层机构也被吸引并且利用该平台做起了招募兵员工作，而且成效明显。但是，美国军方此举却引发一些议员们的不满，并声称存在国安问题。[阅读原文]

【安全事件】

1.TPM-FAIL漏洞影响台式机、笔记本电脑和服务器中的TPM芯片

研究人员公开了两个TPM-FAIL漏洞，这两个漏洞允许攻击者检索存储在TPMs中的加密密钥，攻击只需要几分钟到几个小时。幸好，由于研究团队的努力，这两个漏洞都得到了修复。[外刊-阅读原文]

2.英特尔修复了一个它六个月前就声称已修复的漏洞

本周，英特尔释出了安全更新去修复数十个安全漏洞，其中包括它六个月前声称已修复但其实并没有修复的漏洞。许多研究人员通常在披露漏洞前会给予企业时间，在补丁释出前保持缄默。但这位荷兰的研究人员称，英特尔滥用了这一流程，并且一犯再犯，它最新释出的补丁并没有修复他们在今年五月报告的另一个漏洞。[阅读原文]

3.华为美国首席安全官：愿意与政府探讨建立网络安全测试机制

华为美国首席安全官Andy Purdy在美国电视访问中公开表示，为了打消美国政府对于安全的顾虑，应该建立起一套保障网络安全的有效测试机制。“我们很愿意和美国政府就如何实施这一测试机制进行探讨。”Purdy称。截至发稿，白宫官员尚未对此做出回应。[阅读原文]

4.微软更新补丁，修复了在野利用0day漏洞CVE-2019-1429

微软发布新补丁，解决了74个漏洞，其中包括一个Internet Explorer漏洞，它被命名为CVE-2019-1429。该漏洞已被广泛利用，作为一个脚本引擎内存损坏漏洞，会影响Internet Explorer 9、10和Microsoft 11。[外刊-阅读原文]

5.PureLocker勒索软件可以锁定Windows，Linux和macOS上的文件

网络罪犯者已经开发了可以移植到所有主要操作系统的勒索软件，目前正用于针对生产服务器的针对性攻击，该勒索软件为PureLocker。恶意软件研究人员分析了Windows样本，但Linux变体也被用于攻击。[外刊-阅读原文]

6.中兴通讯对在印度建立网络安全实验室持开放态度

中国电信设备制造巨头中兴通讯(ZTE)承诺其在印度的运营状况将公开透明，并表示准备在印度设立一个网络安全实验室，以解决 5G 网络的安全问题。不仅如此，中兴通讯在倡导网络监管的同时，也准备向印度相关政府部门提供其产品源代码。[阅读原文]

【优质文章】

1.11个 5G 漏洞被发现，可实时追踪监控用户位置

从技术角度来看，5G 不但比 4G 速度更快，也更安全。不过，新的研究却发现，这项次世代移动通讯技术也有漏洞，一旦被利用风险巨大。据外媒报道，普渡大学与艾奥瓦大学安全研究人员就发现了多个漏洞，可被黑客利用对用户进行实时位置追踪监视、触发紧急警报或神不知鬼不觉的让 5G 手机掉线。[阅读原文]

2.美军赛博司令部“统一平台”项目将迎重大里程碑

美军赛博司令部下一代赛博作战平台“统一平台”正在稳步推进中，下一个重大里程碑是建立软件工厂，整合和规范赛博司令部、其下属机构以及国防信息系统局（DISA）使用的各种大数据工具。此项工作将使美军更容易地共享信息，并构建跨军种赛博部队使用的通用工具，从而提升互操作性。[阅读原文]

3.2019第三季度DDoS报告

上个季度发现攻击者利用Memcached协议进行攻击，正如推测的那样，攻击者试图使用相当奇特的协议来放大DDoS攻击。例如，通过WS-Discovery多播协议。据研究人员称，网络罪犯最近才开始使用这种方法，但已经达到了350 Gbps的攻击能力。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。