【安全帮】Google+存在泄密漏洞，谷歌悄悄修复后隐瞒了半年

苹果发布 iOS 12.0.1 更新修复绕过密码访问联系人漏洞 苹果公司9号凌晨发布了适用于 iPhone 和 iPad 的 iOS 12.0.1 更新，这是苹果自 9 月发布 iOS 12 和 iPhone XS 系列手机以来第一次对发现的 bug 进行修复。除了官方更新说明上的修复，还包括对iOS12绕过口令直接访问联系人和照片的安全漏洞的修复，该漏洞最早由Jose Rodriguez发现。这个漏洞似乎影响了所有的 iPhone 机型，包括最新的 iPhone XS 和 iPhone XS Max——它们都能运行最新的软件，其中包括 iOS 12 和 iOS 12.1 的最新测试版。需要明确的是，这个可以绕过 iPhone 密码的漏洞并不容易被利用。它需要通过复杂的 37 步过程，并且利用了 Siri 和 VoiceOver 辅助功能。当然，它还需要对设备进行物理访问，而且锁定屏幕上的 Siri 是启用的。

参考来源：

https://www.cnbeta.com/articles/tech/775483.htm

恶意软件生成器“ Gazorp ”现身暗网，可生成信息窃取程序 Azorult 在上个月，网络安全公司Check Point的研究人员在暗网发现了一个新的恶意软件在线生成器，名为“Gazorp”。该生成器被设计用来生成近来非常受网络犯罪子欢迎的恶意软件——Azorult，一款能够窃取用户密码、支付卡信息，以及与加密货币交易相关数据等信息的信息窃取程序。值得注意的是，Gazorp所提供的恶意软件在线生成服务是完全免费的，任何人只需要提供命令和控制（C＆C）服务器地址就可以生成属于自己的Azorult样本。C&C服务器地址会被嵌入到新生成的恶意软件二进制文件中，然后随着恶意软件的传播和感染发挥它的作用（收集信息）。

参考来源：

https://www.hackeye.net/threatintelligence/16596.aspx

物联网僵尸网络“捉迷藏”新变种发现： Android 设备成新受害者 继今年1月发现首个物联网僵尸网络Hide and Seek（HNS，捉迷藏）之后， 近日Bitdefender Labs发布报告称已经发现新型变种 。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞，该变种通过WiFi网络连接来感染Android设备，使之成为僵尸网络的一员。虽然并非所有Android都默认启用ADB功能，但部分Android手机厂商会默认自动启用，可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后，允许攻击者以root级别获得 shell 访问，可以在受感染设备上运行和安装任何东西。

参考来源:

https://www.cnbeta.com/articles/tech/775487.htm

Google+ 存在泄密漏洞，谷歌悄悄修复后隐瞒了半年 据美国媒体报道，谷歌将遇到与Facebook一样的情况，Google+存在的安全漏洞允许第三方开发者访问用户资料，这种情况从2015年就出现，但谷歌直到今年三月才发现并修复，而且没有向外界公布。当Google+的用户允许应用访问他们的公开资料时，这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上，谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露，虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。内部备忘录显示，谷歌认为”可能导致我们成为关注焦点甚至替代Facebook，虽然后者一直未摆脱Cambridge Analytica丑闻困扰”，因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。

参考来源:

http://tech.163.com/18/1009/07/DTLK9ET700097U7R.html

网络黑灰产业已近千亿 个人信息泄露是源头 据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20%~30%的速度在增长。该报告还指出，黑灰产共有四种类型：虚假账号注册等源头性黑灰产；用于进行非法交易、交流的平台；木马植入、钓鱼网站、各类恶意软件等；大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。另据阿里安全归零实验室统计，2017年4月至12月共监测到电信诈骗数十万起，案发资金损失过亿元，涉及受害人员数万人，电信诈骗案件居高不下，规模化不断升级。2018年，活跃的专业技术黑灰产平台多达数百个。

参考来源：

https://tech.sina.com.cn/i/2018-10-09/doc-ihkvrhpt1995121.shtml

2018 年上半年的数据泄露事件危及 45 亿条记录 数字安全领域的全球领导者金雅拓日前发布了全球公共数据泄露数据库——数据泄露水平指数(Breach Level Index)的最新调查结果，分析了2018年上半年导致全球45亿条数据记录受到侵害的945次数据泄露事件。与2017年同期相比，虽然泄露事件的总数量略有下降，但丢失、被盗或外泄记录的数量增加了惊人的133％，表明每次事件的严重程度有所增加。包括Cambridge Analytica-Facebook事件在内，今年上半年共有六起社交媒体数据泄露事件，占泄露记录总数的56％以上。在945次数据泄露事件中，189次（占所有泄露事件的20％）的泄露记录数量尚属未知或未予说明。

参考来源：

https://www.secrss.com/articles/5563

  谷歌被诉收集 400 万 iPhone 用户信息案被法院驳回 英国高等法院法官马克·沃比(Mark Warby)周一驳回了一起针对谷歌的诉讼案件。今年5月，一家名为“Google You Owe Us”(谷歌你欠我们的)的团体代表400多万iPhone用户向英国高等法院提起诉讼，指控谷歌绕过iPhone隐私设置而收集用户信息并提供给广告主。为此，原告要求谷歌向用户支付32亿英镑(约合42亿美元)的赔偿金。而且，原告还要求法官将这起案件列为“代表诉讼”，相当于集体诉讼。但今日，法官沃比驳回了这起诉讼案件。沃比称，谷歌的行为可以说是“不正当的，并违反了职责”，但沃比同时认为，在证明损害时，该组织的成员并没有“相同的利益”。 参考来源：

http://tech.sina.com.cn/i/2018-10-08/doc-ihkvrhpt1310387.shtml