【全球动态】

1.FBI破解罪犯iPhone 揭开彭萨科拉枪手与基地组织的联系

FBI调查发现，彭萨科拉枪击案的枪手与 "基地"组织有关联，据称细节来自于政府在没有苹果公司协助下解锁的iPhone手机。FBI已经确定，Mohammed Saeed Alshamrani中尉是一名在美国军方训练的沙特空军学员，也是12月佛罗里达州彭萨科拉枪击案的枪手之一，他与恐怖组织 "基地 "组织有联系。[阅读原文]

2.欧洲五眼情报联盟帮助英国破解阿根廷密码

今年 2 月，《华盛顿邮报》和德国 ZDF 披露瑞士加密设备公司 Crypto AG 在冷战的大部分时间里被 CIA 和西德的情报机构秘密控制，情报机构纂改了加密设备使他们能更容易的破解加密信息。现在，又一篇学术论文披露了类似五眼的欧洲情报联盟 Maximator。Maximator 成立于 1976 年，成员包括丹麦、法国、德国、瑞典和荷兰。荷兰间谍机构 TIVC 是 Maximator 的关键成员，在 1982 年的英国和阿根廷之间的马岛战争中扮演了重要角色。TIVC 向英国情报机构 GCHQ 详细解释了阿根廷使用的 HC500 Crypto AG 设备，并提供了密码破解方案。[阅读原文]

3.欧盟产业主管谈互联网治理：Facebook或面临更多监管

欧盟产业主管蒂埃里·布雷顿（Thierry Breton）表示，如果马克·扎克伯格（Mark Zuckerberg）不能平息人们对Facebook商业行为的担忧，那么这家公司将面临更多的监管，此前两人在一场直播中进行了针锋相对的辩论。[阅读原文]

4.Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

作为Unit 42主动监控野外传播威胁工作的一部分，我最近发现了新的Hoaxcalls和Mirai僵尸网络活动，是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰，于2015年到期，产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击，我已与赛门铁克共享这些发现。[阅读原文]

5.黑客出售1.29亿俄罗斯车主敏感记录

一个包含莫斯科1.29亿条车主记录的数据库正在一个黑暗的网络论坛上出售。卖方泄露了一些数据，供潜在买家验证其准确性。这是匿名的，包含供应商声称的交警登记处中存在的所有车辆详细信息。[外刊-阅读原文]

【安全事件】

1.Grayshift新间谍软件已可更快地窃取iPhone密码

一份新报告称，移动设备取证公司 Grayshift 正在销售一款软件工具，可在不破解设备的情况下显示用户的 iPhone 密码。此前，该公司的 GreyKey 数字取证工具已引发了极大的争议，因其能够被执法部门用于绕过 iPhone 上的加密措施 —— 即便在最新款 iPhone 上的测试表明，GrayKey 需要几天甚至几周的时间才能完成破解。[阅读原文]

2.任天堂起诉Switch破解工具零售商 每单索赔一万八

上周晚些时候，美国的任天堂公司对销售破解Switch游戏机并能够运行盗版游戏的零售商提起了两起诉讼。第一起诉讼涉针对网络零售商UberChips，而第二起诉讼针对的是几个网站上的匿名被告。任天堂在诉讼中称，这种破解工具为“未经授权的操作系统以及安装该软件的破解工具”。使用该破解工具的用户能够绕过任天堂的技术保护措施，进行未经授权的访问和复制。任天堂的律师指出，禁用这些保护措施能让玩家下载未经授权的操作系统，并运行盗版游戏。[阅读原文]

3.梅赛德斯奔驰OLU源代码在网上曝光

梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前，瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司，旗下拥有梅赛德斯-奔驰汽车品牌。[阅读原文]

4.《人脸识别与公共卫生调研报告》发布 公众关注隐私保护

日前，《人脸识别与公共卫生调研报告》发布。报告聚焦了人脸识别与公共卫生，通过问卷调查与分析反映了公众对这一主题的关注与思考，促进人脸识别在公共卫生领域相关研发、应用、部署和使用。[阅读原文]

5.最高法：未成年人网络打赏可以退还

据央视新闻报道，最高法新出台的《关于依法妥善审理涉新冠肺炎疫情民事案件若干问题的指导意见（二）》明确：限制民事行为能力人未经其监护人同意，参与网络付费游戏或者网络直播平台“打赏”等方式支出与其年龄、智力不相适应的款项，监护人请求网络服务提供者返还该款项的，人民法院应予支持。[阅读原文]

6.周鸿祎全国两会提四份提案 聚焦新基建网络安全

2020年全国两会在即。今年，全国政协委员、360集团董事长兼CEO周鸿祎将向两会提交四份提案，聚焦新基建的网络安全。“网络安全是我的‘老话题’，但是随着国家新基建战略的提出和实施，今年又有了不少‘新内容’”，周鸿祎表示。[阅读原文]

7.苹果蓝牙协议的源代码质量都这么差了吗？！研究员找到10个 0day

德国达姆斯塔特工业大学的研究人员查看了 MagicPairing 协议后发现它在 iOS、macOS 和 PTKit 中的三个实现之间存在10个未披露缺陷且尚未修复。[阅读原文]

【优质文章】

1.实战中应急响应溯源思路

每次工作中遇到的应急，我会把每个应急看成一个目的地，而抵达目的地的路径则是应急过程中的思路，抵达目的地的路径有很多，而最短路径则是工作经验。[阅读原文]

2.关于APP渗透测试的实践与思考

移动互联网应用程序（Mobile APP，以下简称“APP”或“移动APP”）安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员，在日常测试工作中经常涉及移动APP的安全检测，在此结合相关移动APP检测标准和工作经验，从渗透测试角度，对移动APP的检测进行概要性总结说明。[阅读原文]

3.WEB“三员”中常见越权漏洞产生原因及渗透测试方式分析

本文以WEB“三员”系统为例，对WEB“三员”中常见越权漏洞的产生原因以及渗透测试方式进行分析，以增加社会对于该类漏洞的了解，及时发现漏洞，完善系统安全的防范措施。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。