【安全帮】Pwn2Own黑客竞赛项目出炉，苹果、小米、华为均被明码标价

MEGA 官方 Chrome 扩展被加入窃取密码和数字货币私钥的恶意代码 9月4日，未知攻击者向 Google 官方扩展商店  Google Chrome webstore  上传了文件共享服务 MEGA.nz 的一个木马版本 version 3.39.4 ，其中包含的恶意代码能窃取  amazon.com、live.com、github.com 和 google.com、以及 myetherwallet.com、mymonero.com、idex.marke 等网站的登录凭证和钱包私钥。MEGA 在 4 个小时后释出了一个干净的扩展版本 version 3.39.5。如果你在此期间安装了 MEGA Chrome 扩展，启用了自动更新并接受了木马版本的额外权限要求，那么你最好假设在此期间所访问 网站 的登录凭证被窃取了，最好重置相关网站的密码。MEGA 官方对给用户造成的不便表示歉意，批评了 Google 的扩展自动签名流程，认为如果扩展在上传到扩展商店前要求 开发 者签名，那么这将能提供额外的一层保护，而 Google Chrome webstore 的做法是上传新版本后自动给予签名。MEGA 的 Firefox 扩展没有受到影响。MEGA 表示它正在调查其 Chrome webstore 账号是如何被入侵的。

参考来源：

https://www.cnbeta.com/articles/tech/765005.htm

数千台 3D 打印机在线暴露，随时可被黑客攻击 据SANS互联网风暴中心（SANS Internet Storm Center）称，Shodan的搜索结果显示有超过3700个OctoPrint接口暴露在互联网上，其中有近1600个位于美国。OctoPrint是一款面向3D打印机的免费开源Web界面，允许用户监控和控制设备的各各项功能，包括打印作业（OctoPrint可用于启动、停止或暂停打印作业）。另外，它还提供了对打印机内置网络摄像头的访问，提供有关打印作业进度的信息，并监控关键组件的温度。虽然看起来未能保护3D打印机免受未经授权的访问似乎并不会构成重大风险，但来自SANS互联网风暴中心的Xavier Mertens警告说，攻击者在获取到访问权限之后完全可以进行各种各样的恶意操作。

参考来源：

https://www.hackeye.net

Chrome 浏览器诞生 10 年，谷歌居然想“灭掉” URL 刚刚度过 20 岁生日的 Google 又迎来了新的里程碑，旗下的 Chrome 浏览器也 10 岁了，Chrome 团队在成军十年这个节骨眼上又准备玩票大的，他们要重新思考 URL 的地位。URL是Uniform Resource Locators（意为统一资源定位器）的全称，与我们每天都要使用的网址密切相关。复杂且含混不清的 URL 给了网络罪犯可乘之机。网络罪犯会假冒合法机构，在网上“钓鱼”，搞虚假网络服务或者盗窃他人敏感数据。除了网民警惕性差这一点，Chrome 团队认为 URL 也有责任，因为用户很难通过这一连串数字知道他们到底在和谁打交道， URL 中哪部分可信。因此，URL 需要来一次变革，但并不是颠覆 URL，或许只是 Chrome 展示 URL 的方式和时间会发生巨变。

参考来源：

https://www.easyaq.com/news/775058114.shtml

2018 年报告：美国托管的恶意域名最多，中国排名第七 Palo Alto Networks 威胁情报团队 Unit42 的分析统计显示，托管恶意 URL 和散布漏洞利用 工具 包（EK）最多的国家和地区包括美国、俄罗斯、中国、荷兰和澳大利亚。除了荷兰，其他四个国家2018年第二季度托管的恶意域名数量均有所减少，其中中国的数量从2018年第一季度的106个锐减到第二季度的2个。2018年第二季度活跃的 EK 只有四个：KaiXin、 Grandsoft、Sundown 和 RIG。

 参考来源：

https://www.solidot.org/story?sid=57463

思科发布 16 个严重漏洞安全预警 思科于本周三发布了30份关于其产品中发现的漏洞的安全预警，其中约一半是严重漏洞，包括Apache Struts最近公开的远程代码执行漏洞。据悉，只有一个受此漏洞影响的思科产品收到了补丁，其他思科产品正在等待未来几周的安全更新或新版软件发布。此外，Cisco Umbrella API中还存在另一个严重漏洞，可能允许经过身份验证的远程攻击者查看和修改其组织的数据。

参考来源：

http://www.freebuf.com/

Pwn2Own 黑客竞赛项目出炉，苹果、小米、华为均被明码标价

今年由趋势科技的Zero Day Initiative（ZDI）组织的以移动为主题的Pwn2Own黑客竞赛与以往有所不同，加入了物联网（IoT）设备的新类别。活动将于11月13日至14日在日本东京举行的PacSec安全会议期间举行，名称已从Mobile Pwn2Own更改为Pwn2Own Tokyo。如果黑客能够找到并利用谷歌，苹果，三星，华为，小米，亚马逊和Nest等设备中的漏洞，将获得超过50万美元奖金。在网络浏览器类别中，如成功攻击华为P20，小米Mi6和三星Galaxy S9上的默认浏览器可获得25,000美元现金奖励，成功利用Apple iPhone X上运行的浏览器和Google的Pixel 2漏洞则能领取50,000美元奖励。

参考来源：

http://www.sohu.com/a/252189281_100066938

微信链接充值送优惠 用户遇陷阱起诉退款 9月6日，海淀法院网通报称，原告鄂先生在通过关注微信公众号享受优惠活动时，不仅没有享受到活动优惠，通过公众号里的链接网站充值的1940元也打了水漂。目前，鄂先生已将该微信公众号经营者及收款方诉至法院。海淀法院受理了这起涉“微信陷阱”的合同纠纷案。据了解，原告鄂先生所关注的“石化加油卡网上营业厅服务平台”的账户主体为成华区服务部，该公司的注册信息显示其为一家从事软件开发、网页设计等业务的网站，与中石油、中石化公司并无关联，“石化加油卡”的名字应为盗用。目前，此案正在进一步审理中。

参考来源：

http://tech.caijing.com.cn/20180906/4511117.shtml

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。