全球动态

1.新加坡：穆斯林应用程序开发商出售用户数据给美国军方

新加坡正在调查当地移动应用“穆斯林亲”向美军出售“颗粒位置数据”的说法。在全球下载量超过9850万次的这一受欢迎的祷告追踪应用程序否认了这些指控，称它只与合作伙伴共享匿名数据。[外刊-阅读原文]

2.英组建国家“黑客”部队，必要时攻击敌对国家和恐怖组织

英国国家网络部队组建成功。这支部队由政府的网络黑客组成，负责发动进攻性网络战，打击对英国构成威胁的敌对国家、恐怖组织和有组织犯罪集团。[阅读原文]

3.美军从APP中购买位置数据用于支持特种作战部队的海外任务

有分析指出，多个下载量近亿的Muslim祈祷、Quran经等APP被曝将用户的位置等数据共享给一家数据公司，而那家数据公司正在将这些特定APP的位置数据出售给美国军队。[阅读原文]

4.谷歌宣布针对Chrome扩展程序的重大隐私政策更新

即日起，开发者已能够在 Chrome 网上应用店中更新其隐私详情，正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序，将被挂上“开发者未提供此类信息”的显眼提示。[阅读原文]

5.苹果让50个应用豁免防火墙

从去年发布的 macOS Catalina 起，苹果将 50 个应用加入到了防火墙的豁免名单中，即它们的网络流量不会路由经过防火墙。这一豁免直到防火墙在 Big Sur 中重写实现该变动才生效。安全研究人员对此提出了安全方面的担忧。[阅读原文]

6.IBM披露思科Webex的三个高危漏洞 以“幽灵”身份加入视频会议

IBM 的研究人员近日对热门应用--思科 Webex 进行了测试，发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。[阅读原文]

安全事件

1.GitHub终于修复了Google Project Zero 报告的高危安全漏洞

11月初，谷歌公开披露了GitHub中的一个 "高"严重性安全问题，此前后者无法在104天内修复--超过了标准时限。不过，GitHub用户现在会很高兴地知道，这个安全漏洞终于被填补了。[阅读原文]

2.申通回应“快递用户信息遭贩卖”报道：组织安全小组调查

针对澎湃新闻报道“快递用户信息遭贩卖，其中申通疑有‘内鬼’”一事，申通快递回应澎湃新闻称，感谢公众的监督以及反馈，申通快递一直以来对信息安全高度重视，已组织专项安全小组现场调查，并配合相关部门严厉打击相关不法行为。[阅读原文]

3.“LidarPhone”攻击：黑客通过吸尘器吸收敏感音频

研究人员公布了一种攻击手段，攻击者可以通过机器人吸尘器上的LiDAR传感器窃听房屋内的房主，但攻击者必须位于受害者的本地网络上才能发起攻击。[外刊-阅读原文]

4.Qbot银行木马使用Egregor勒索软件攻击

Qbot银行木马是Windows恶意软件，它窃取银行凭据、Windows域凭据等。现在其放弃了ProLock勒索软件，转而使用Egregor勒索软件并从9月开始活动。[外刊-阅读原文]

5.GO SMS Pro App中的一个漏洞允许访问富媒体消息

GO SMS Pro是一个受欢迎的Android消息传递应用程序，安装量超过1亿。但该App存在未修补的漏洞，未经身份验证的攻击者可能会利用此漏洞访问应用程序用户之间共享的任何敏感媒体消息，包括私人语音消息，照片和视频。[外刊-阅读原文]

6.Facebook Messenger漏洞让黑客可以监听

Facebook在其广泛安装的Android Messenger应用程序中修复了一个漏洞，该漏洞可能使远程攻击者可以呼叫毫无戒心的目标，并在他们接听音频呼叫之前先听取它们的声音。[外刊-阅读原文]

优质文章

1.一种用于安全芯片的无线自毁电路

在安全芯片中加入自毁电路，以物理方式彻底破坏芯片中的关键电路和敏感数据，可为安全芯片提供更高的安全性，因此提出了一种基于超高频频段的无线自毁电路。[阅读原文]

2.MaAfee 2020 Q2网络威胁报告发布

MaAfee发布了一份关于 2020 年第二季度网络威胁演变与相关网络犯罪活动的分析报告。在跟踪时间段内，恶意软件新样本总数增长了 11.5%，每分钟会出现 419 个新威胁。[阅读原文]

3.《移动金融客户端应用软件安全检测规范》

为落实人民银行和国家认监委关于金融科技产品认证工作的要求，加强金融科技产品认证工作的自律管理，中国支付清算协会起草了《商业银行应用程序接口安全管理检测规范》和《移动金融客户端应用软件安全检测规范》。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者负责这项负责，但不负责任的真实性和切实负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。