各位Buffer早上好，今天是2018年12月20日星期四。今天的早餐铺内容有：微软发布针对专业版和企业版 Windows 10 的 Windows Sandbox；新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令；AV-TEST给出了适用于Android的最佳安全应用程序名单；大规模伪装成Apple Store 付款收据的 Apple ID 钓鱼攻击出现；捷克认为华为设备对国家安全构成威胁，华为：请提出证据；华为未来五年将投资20亿美元强化网络安全，增加人员和实验室设施。

以下请看详细内容：

微软发布针对专业版和企业版 Windows 10 的 Windows Sandbox

微软针对专业版和企业版 Windows 10 发布了一个轻量级的桌面环境 Windows Sandbox，以安全运行可执行文件。Windows Sandbox 是一个隔离的临时桌面环境，用户可以放心地运行不信任的应用程序，不用担心会对主机系统造成影响。安装在 Windows Sandbox 中的应用只会留在 Sandbox 里，一旦 Sandbox 关闭，里面的所有文件都将会永久删除。用户要想启用 Windows Sandbox，首先要有 Windows 10 Pro 或 Enterprise build 18305 或更高的系统版本，还需要在 BIOS 里启用虚拟化功能（物理机器），然后打开 Windows Features 寻找到 Windows Sandbox，打开开始菜单寻找到 Windows Sandbox 运行。[来源：microsoft]

新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令

安全研究人员近期发现了一种新型恶意软件，可以从 Twitter 表情包隐藏的代码中获取指令。这个恶意软件跟大多数原始的远程访问特洛伊木马（RAT）一样，会暗中感染存在漏洞的计算机，对屏幕进行截图并从受感染的系统中盗取其他数据，并发回到恶意软件的命令和控制服务器。这个恶意软件把 Twitter 用作与其控制中枢进行通信的渠道。木后攻击者推送的推文中使用隐写术在表情包图像中隐藏了“/print”指令，让恶意软件截取受感染计算机的屏幕图像。然后，恶意软件会从发布在 Pastebin 的一则帖子中获取命令和控制服务器所在的地址，把屏幕截图发送过去。研究人员还表示，发布到 Twitter 的表情包中可能包含了其他指令，比如获取当前运行应用和进程列表的“/processos”，盗取用户剪贴板内容的“/clip”，以及从特定文件夹检索文件名的“/docs”。目前，恶意攻击者所使用的 Twitter 账户已经遭到 Twitter 永久冻结。[来源：securityaffairs]

AV-TEST给出了适用于Android的最佳安全应用程序名单

防病毒测试实验室AV-TEST最近评估了20种针对Android的移动安全产品性能。2018年11月进行的研究，在三个不同领域测试了每个产品，即保护，可用性和功能。每项产品在每次测试中的性能最高可获得6分。趋势科技移动安全，腾讯WeSecure，赛门铁克诺顿移动安全，Sophos移动安全，迈克菲移动安全，卡巴斯基实验室安卓互联网安全，G数据互联网安全和Bitdefender移动安全获得了最高分13分。这些针对Android的安全应用程序中的每一个都获得了最多六点保护和可用性，以及一点功能。相比之下，谷歌的Play Protect已经整合到Google Play商店中，在获得零点保护，4.5分可用性以及0分功能得分之后，获得了4.5分的最低分。这是唯一未能获得AV-TEST认证的解决方案。[来源：cnbeta]

大规模伪装成Apple Store 付款收据的 Apple ID 钓鱼攻击出现

研究人员发现，有一大批钓鱼攻击假借 Apple Store 支付确认邮件窃取 Apple ID。这些钓鱼邮件正文很短，PDF 附件伪装成 Apple Store 中某个 APP 的支付确认单，并提醒受害者“如果没授权购买，就点击链接”，这些链接都是经过处理的短链接，无法看出网址来源。一旦受害者点击链接，就会跳转到新的页面。页面要求受害者使用  Apple ID 登录页面。如果受害者上当登录，就会看到提示：“由于安全原因，此 Apple ID 已经被锁定。若想继续登录，需要先解锁。”而解锁页面则要求受害者输入全名、地址、电话号码、社会安全号码、出生日期、付款信息、驾驶执照号码或护照号码等。如果这一步受害者还没产生怀疑，那么个人隐私信息就会被攻击者获取。这样的方式骗过了很多人，影响范围较大。[来源： bleepingcomputer]

捷克认为华为设备对国家安全构成威胁，华为：请提出证据

捷克National Cyber and Information Security Agency (NCISA)总监Dusan Navratil表示，中国法例要求当地私人公司与情机关合作，因此使用其生产的软硬件可能对国家安全构成威胁，所以处理敏感数据的部门应该小心处理有关威胁。Navratil表示在关键信息基础设施中的系统管理员，无论是在国家部门或是私营部门，都应采取“适常措施”来应对这个威胁。华为发言人随后否认有关指控，表示其产品不会对国家安全构成威胁。该公司发言人促请NCISA提出证据，否则不要破坏华为的可信性。[来源： cnbeta]

华为未来五年将投资20亿美元强化网络安全，增加人员和实验室设施

据国外媒体报道，华为周二表示，将在未来五年内投入20亿美元加强网络安全（cybersecurity），在这方面增加更多人员和升级实验室设施。目前该公司面临对其网络设备相关风险的担忧。华为在其东莞园区举行的记者会上做出上述表示，有20多位国际记者到场。华为轮值董事长胡厚崑还介绍，华为已获得逾25份第五代移动通讯(5G)商业合同，略高于11月宣布的22份。[来源：kejixun]

*AngelaY 整理，转载请注明来自 FreeBuf.COM