FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.微软对Chromium新贡献：密码框统一增设“显示密码”按钮【阅读原文】

时候我们在输入密码的时候不能完全确认是否完全正确，只有在点击提交进行身份验证之后我们才会知道。因此目前部分网站允许用户临时查看自己输入的密码，而大部分网站通常会以“*”符号隐藏显示。为此微软希望通过在密码字段中添加新的按钮，以便于用户使用Edge、Chrome以及其他Chromium浏览器时候都能显示你输入的密码，从而获得一致的使用体验。

2.微软将支付2530万美元罚款以了结美国反贿赂指控【阅读原文】

软同意支付约2530万美元，其中包括875万美元的刑事罚款，以了结美国指控其违反联邦反贿赂法，向匈牙利和其他国家的政府官员支付不当款项的指控。美国司法部周一表示，微软匈牙利达成了一项不起诉协议，以解决根据《反海外腐败法》（Foreign Corrupt Practices Act）提出的指控。

3.伊朗的互联网审查【外刊-阅读原文】

许多国家会屏蔽某些网站或IP，比如盗版或儿童色情。但伊朗的屏蔽几乎无所不包。伊朗屏蔽了媒体如BBC、FoxNews和VOA，屏蔽了社交媒体如Twitter和Facebook，消息应用如Telegram、微信、Kik和SnapChat，视频网站如YouTube，甚至还有代码托管网站sourceforge的部分子域名。为什么要屏蔽如此之多的服务？因为这是极权政府的生存之道。他们可以销售VPN和代理，他们想要一直监视人民，以便于更容易的消除他们不想要的社会元素。过滤或网络审查是真正有利可图的生意。政府和非政府公司获利胜多。有时候他们会加强对某些服务的屏蔽，以推广他们自己的服务。他们还会类似哈萨克斯坦政府那样对加密网站发动中间人攻击。

4.英国议会：限制华为将降低5G安全标准【阅读原文】

英国议会一个委员会19日发表声明说，人为限制华为等设备供应商参与5G建设会增加过度依赖风险、减少市场竞争，“导致灵活性和安全标准降低”。“华为是一个卓越的公司，取得了非凡的技术进步，并且为一个行业带来了彻底的创新和竞争。如果没有华为，这个行业可能会缺乏这些特性。”英国议会情报与安全委员会在声明中说。声明说，目前英国市场中仅有3个潜在设备供应商——华为、诺基亚和爱立信，限制特定供应商不仅不利于市场竞争、降低安全标准，还会带来时间和成本上的损失，“政府必须权衡这些因素”。

5.德国网络安全机构发现了VLC媒体播放器的关键缺陷【阅读原文】

德国网络安全机构CERT-Bund负责组织该国计算机安全相关紧急状况的响应，他们最近发现了流行VLC媒体播放器中的一个关键缺陷。众所周知，VLC是一个跨平台兼容的媒体播放器，因此拥有超过30亿的令人印象深刻的总下载量，这使得这个漏洞更加危险。CERT-Bund将该漏洞（正式记录为CVE-2019-13615）归类为“高级”（4级）漏洞，这是该机构第二高的风险评估级别。该漏洞确实非常危险，它允许攻击者不仅可以远程执行代码，还可能导致未经授权的信息泄露，未经授权的文件修改和服务中断。

6.安全研究人员发现中国网贷App漏洞泄露大量个人信息【阅读原文】

最近有研究人员发现有大量网贷App泄漏了个人信息，有几百万用户受影响。来自SafetyDetective的研究人员Anurag Sen发现，在网上有一个达889GB的巨型数据库，内有超过460万使用网贷App的装置信息。包括用户个人联络数据、财务信息（包括借贷记录、风险管理数据、交易详情）、装置数据报括联络人列表、短讯记录、IMEI编号以及容量数据，甚至每次登入时的地理位置，而且在不断更新之中，因此如果有意对特定用户进行监控，甚至可以追踪实时位置。这个数据库位于阿里云，未经加密公开，而研究人员表示阿里云应该没有参与或造成这次个人资料泄漏。

【安全事件】

1.以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新【阅读原文】

微软用户正成为新恶意软件活动的目标，其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现，该页面经过了精心设计，看上去尽可能相似，以至于它甚至包含指向微软官方域名的链接。

2.一香港男子被认为是在微软应用程序部署恶意广告的罪魁祸首【外刊-阅读原文】

一名来自香港的嫌疑人认为是过去几个月内侵入微软应用程序和服务的恶意广告浪潮背后的罪魁祸首。根据专门跟踪恶意广告活动的网络安全公司Confiant的一项调查，嫌疑人被认为是一名香港男子，至少经营两家名为Fiber-Ads和Clockfollow的幌子公司。

3.温州破获特大微信招嫖诈骗：软件改定位，嫌疑人多90后【阅读原文】

一宗发生在浙江的诈骗案牵出一起地跨广东、海南、湖北、重庆等多地的特大微信招嫖诈骗案：年轻的犯罪分子们利用手机软件修改微信定位布下“桃色陷阱”，使逾2000名男性受骗。2018年10月，浙江省温州市永嘉县公安局东瓯派出所民警接到一徐姓男子报案，称其在辖区内一旅店入住时通过微信“附近的人”寻觅“上门服务”，对方以交纳嫖资、人身保证金、健康证明以及发送威胁视频等方式多次要求其转帐，总计逾六千元。

4.Firefox火狐浏览器将向用户警告被泄露的登录信息【阅读原文】

从Firefox 70开始，如果保存在浏览器的登录信息出现在泄露数据库中，Firefox将会发出警告——此功能通过与Have I Been Pwned网站（数据泄露检查网站）合作完成。早于去年9月，Mozilla就已和Have I Been Pwned合作推出用于检查帐号是否被泄露的独立服务，名为Firefox Monitor。

5.Equifax与监管机构和解，6.5亿美元摆平大型数据泄露【阅读原文】

美国监管部门今日宣布，征信机构Equifax将支付6.5亿美元的费用，就2017年一起大规模的数据泄露事件与美国联邦贸易委员会（FTC）等监管机构和解。美国征信巨头Equifax 2017年9月曾确认，黑客利用其系统中未修复的Apache Struts漏洞发起攻击，导致1.43亿用户的信用记录被泄露，包括名称、社会保障号、出生日期、地址，以及一些驾驶执照号码等。此外，美国约20.9万名消费者的信用卡详情和涉及18.2万人的争议文件也可能遭到泄露。今日，Equifax宣布与美国监管部门达成和解。这起有史以来规模最大的数据泄露案的和解，将结束FTC、消费者金融保护委员会（CFPB）和几乎所有州总检察长对Equifax的多项调查。此外，也将解决针对该公司的悬而未决的集体诉讼。

6.蓝牙现新漏洞，微软及苹果产品“中招”【阅读原文】

目前智能手机及电脑产品都广泛采用了蓝牙技术，蓝牙技术也凭借着自身低耗电量特点从而让周边的设备拥有更长的连接时间。不过据最新研究报告显示，蓝牙（BLE）通讯标准中存在一个新漏洞，该漏洞可导致设备泄露用户的个人信息，将对除Android系统外的所有设备产生影响。据波士顿大学的研究人员公布最新的研究显示，在蓝牙（BLE）通讯标准中最新找到的漏洞存在于蓝牙的身份识别功能中。该功能主要是在蓝牙配对时产生随机MAC地址并定期自动更新，不过只要利用特定算法，即使蓝牙MAC地址发生变化也能够让蓝牙识别相关设备。

7.75辆奔驰共享汽车被盗，“偷车贼”称车辆归自己所有【阅读原文】

近期，Car2go突然发现平台上奔驰CLA轿车和GLA SUV的出租量猛增，且这些车的租赁时间比公司平均90分钟的车程要长得多。Car2go总部员工通过电子地图发现，几十辆汽车已超出了公司的业务覆盖区域，聚集在芝加哥西部的几个街区里。当Car2go员工去追回汽车时，这些“偷车贼”却拒绝归还，还声称车辆归自己所有。

【优质文章】

1.伊朗逮捕17名美国中情局间谍并部分处死【阅读原文】

7月22日，伊朗报道称，伊朗情报部破获了美国中情局一个间谍团伙，逮捕了17名专业间谍，其中一些人已被伊朗司法机构判处死刑。当天，伊朗情报部反间谍司长披露，有关部门已经查明，这些间谍隐藏于伊朗的经济、核基础设施、军事和网络中心等重要和敏感的政府部门和私营机构，收集机密信息。

2.“毒王”往事：熊猫烧香制造者的反转人生【阅读原文】

2006年与2007年交替之际，国内有不少电脑都中了一个名为“熊猫烧香”的病毒。病毒通过用户浏览网页、共享局域网以及U盘等途径快速传播，导致电脑中所有文件图标，都会变成一只熊猫举着三炷香，随后会出现运行缓慢、死机、蓝屏等情况。记得在那段时间，很多大学周边平时需要提前抢座的网吧，都因熊猫烧香不得不暂停营业，而在全国范围内中毒的电脑数量更是难以统计。一时间，网络上充斥着声讨，甚至有人在贴吧宣称悬赏10万“通缉”病毒作者。当真相水落石出，病毒作者李俊身份被曝光时，网上爆发了一轮又一轮的讨论。

3.央视网黄乐：媒体行业风险管理体系设计与实现【阅读原文】

黄乐，央视网网络安全部副总监。在央视网主要负责网络安全架构的设计和建设。主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。同时，提出了“重检测，轻防御”的安全架构设计理念，并通过“快速及格、逐步迭代”的思路快速落地了央视网安全播出管理平台。拥有十年网络架构设计经验，五年安全体系建设及管理经验，清流派企业安全沙龙创始人，两个安全公众号主理人。清流派企业安全沙龙是安全行业甲方闭门沙龙，每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。

4.企业安全体系架构分析：开发安全架构之防CC攻击脚本编写【阅读原文】

由于商业竞争热烈，不免有些公司会出现恶意竞争的现象，其实CC攻击算是最简单实施的一种DDoS类别攻击吧，在之前我所在的公司就遭受了一波商业竞争者发起的CC攻击。具体细节就不多说了，这种事情其实见怪不怪，来分享一下我的解决方案。

5.网藤PRS｜解构NTA的发展与实践之路【阅读原文】

随着越来越多的企业将业务迁移到云端，DevOps流程在企业内部逐渐开展与深入，物联网设备总量呈现爆炸式增长，仅限于预防、以外围为重点的安全手段已捉襟见肘。

答案隐藏在庞大的网络流量中，如果企业安全中心具备了态势感知与可视化等能力，即可看穿网络流量进而定位到真实发生的网络安全事件，加快检测与响应的进程，降低攻击活动在企业网络中的存续时间，而能够提供答案的网络流量分析解决方案，如网藤PRS等在安全界也随即被重视起来。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。