本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，人脸识别再曝安全漏洞，15分钟解锁19款安卓手机；sudo被曝隐藏了十年的堆溢出漏洞；PC微信扫描浏览器Cookies，腾讯回应；工信部通报2021年首批157款侵害用户权益行为APP名单。想要了解详情，来看本周的BUF大事件吧！

观看视频

内容梗概

人脸识别再曝安全漏洞，15分钟解锁19款安卓手机

人脸识别技术在智能手机上已经是标配，今天的我们刷脸解锁、刷脸支付就像吃饭喝水一样自然。最近，来自清华的 RealAI团队向我们展示了一项简单的攻击技术，只需一副定制的“眼镜”，就可以秒秒钟破解手机的面部识别系统。所需的工具也很常见：一台打印机、一张A4纸、一副眼镜框。通过AI算法绘制特殊花纹，打印下来裁剪成眼镜的形状，贴在眼镜框上，15分钟内，除了一款iPhone 11，成功解锁了其余所有19部安卓机型。安全研究员提醒：如果有黑客恶意开源这一算法的话，会给人脸识别技术带来全新的安全挑战。

不用密码就能获取root权限？sudo被曝新漏洞

近日，Qualys研究小组发现了sudo中一个隐藏了十年的堆溢出漏洞（CVE-2021-3156，命名：Baron Samedit），包括Linux在内的几乎所有Unix主流操作系统都受到影响。利用这个漏洞，任何本地用户无需身份验证（密码），也能获得root权限。也就是说，攻击者完全可以利用这个漏洞，直接接管主机系统！考虑到该漏洞的攻击面很广，Qualys建议所有用户立即为这个漏洞应用补丁或升级到sudo 1.9.5p2以上版本。

PC微信扫描浏览器Cookies，腾讯：目前无法重现问题

上周我们报道了PC版QQ读取用户浏览记录的新闻，近期有用户发帖称，自己使用火绒安全添加QQ扫描浏览器cookies的拦截规则后，却意外拦截到微信PC版扫描cookies行为。而且WeChat.exe每次启动时都会尝试扫描电脑上所有使用Chromium内核的浏览器注册表。腾讯技术人员在原帖中回复：通过该用户提供的路径多次尝试，都未能重现问题，初步怀疑可能与用户的环境相关或浏览器内核（chromium 53）的漏洞有关。

工信部通报2021年首批157款侵害用户权益行为APP

1月22日，工信部发布《关于侵害用户权益行为的APP通报（2021年第1批，总第10批）》，通报了今年首批157款侵害用户权益行为的APP。这次的通报名单中，腾讯动漫、芒果TV、360清理大师、QQ同步助手等人们常用的APP赫然在列。依据《网络安全法》《电信条例》等法律法规要求，督促上述APP在1月29日前完成整改落实工作。