【安全幫】美媒指控中國晶片入侵遭普遍質疑 英安全機構力挺蘋果亞馬遜

美媒指控中國晶片入侵遭普遍質疑 英安全機構力挺蘋果亞馬遜 據英國《每日電訊報》網站10月5日報道，蘋果、亞馬遜和超微計算機公司都否認中國黑客設法滲透這些企業的伺服器的報道。中國表示自己是網路安全的堅決捍衛者。報道稱，5日，英國國家網路安全中心公開支援蘋果和亞馬遜。該機構說：“我們瞭解了有關媒體報道。但在目前階段，沒有理由懷疑亞馬遜和蘋果所做的詳細評估。”“本中心同一些安全問題研究人員有著密切聯絡，並敦促關於這些報道有可靠情報的任何人同我們聯絡。”報道指出，蘋果和亞馬遜的否認意味深長，因為這些企業很少發表大篇幅的言論來否認有關它們的報道。這兩個企業都否認此前彭博新聞社的報道。據報道，網路安全問題專家也對有關報道表示懷疑。網路安全企業Thycotic的首席安全問題專家約瑟夫·卡森說，這個報道存在“很多問題”。他說：“當我通讀它時，問題在於，所有相關人員都在否認這個事件。”

參考來源：

ofollow,noindex" target="_blank">http://www.sohu.com/a/258008636_114911?_f=index_chan30news_14

冒充微軟技術客服 印度多個欺詐團伙被抓捕 最近有一夥詐騙者將目標鎖定了微軟使用者。據NDTV報道，微軟向印度反網路犯罪小組提交了一份投訴，微軟高管聲稱，他們發現很多家位於德里的公司自稱是微軟支援分支機構，但實際上並沒有得到過微軟的授權。這些公司利用技術支援的幌子，提供“修復”服務，價格從100美元到500美元不等。經過排查微軟的TechNet網站上發現了3000多項技術支援騙局，警察隨後查獲了這些公司，並發現了技術培訓檔案、假髮票、電話錄音和業績單等等。

參考來源：

http://www.techweb.com.cn/it/2018-10-07/2705306.shtml

加州法律稱：禁止設定“ 123 ”等簡單預設密碼 據techcrunch報導，前幾日，加州通過了一項法律，2020年之後禁止在所有新的消費電子產品中使用“admin”、“123456”和經典的“password”這樣的預設密碼。從路由器到智慧家居技術在該州建造的每個新裝置都必須具有開箱即用的“合理”安全功能，法律特別要求每個裝置都帶有“每個裝置獨有的”預程式設計密碼。它還要求任何新裝置“包含一個安全功能，要求使用者在首次授予裝置訪問許可權之前生成新的身份驗證方法”，在第一次開啟是強制使用者將其唯一密碼更改為新的密碼。弱密碼問題一直是黑客進行攻擊利用的有效且低成本手段，多年來，殭屍網路利用了安全性較差的連線裝置的強大功能，在 網站 上擁有大量的網際網路流量，也就是所謂的分散式拒絕服務（DDoS）攻擊。殭屍網路通常依賴於預設密碼，這些密碼在構建時被硬編碼到裝置中，使用者以後不會對其進行更改。

參考來源：

https://www.cnbeta.com/articles/tech/774885.htm

GitHub 修復了允許任意程式碼執行的安全漏洞 Windows 不受影響 GitHub是面向全球開發人員的首選程式碼共享和託管服務。雖然歐盟尚未最終確定該交易，但該公司在6月被微軟收購，作價75億美元。今天，GitHub宣佈了他們系統中的一個漏洞，允許任意程式碼執行的安全漏洞的攻擊。現在已經解決了這個問題，目前只有Unix平臺受到了影響。GitHub的安全列表表示，如果執行了特定的命令，即“git clone –recurse-submodules”，其軟體中的漏洞允許在客戶端平臺上執行任意程式碼。它解釋說：執行“git clone –recurse-submodules”時，Git會解析提供的.gitmodules檔案中的URL欄位，並將其作為引數盲目地傳遞給“git clone”子程序。如果URL欄位設定為以短劃線開頭的字串，則此“git clone”子程序將URL解釋為選項。這可能導致執行超級專案中的任意指令碼作為執行“git clone”的使用者。

參考來源：

https://www.cnbeta.com/articles/tech/774825.htm

巨頭嚴管加密應用：蘋果下架涉詐騙加密錢包，谷歌新規限制挖礦外掛 據外媒訊息，蘋果已悄然App Store在刪除一個涉嫌惡意詐騙的加密貨幣錢包EOSIO Wallet Explorer，因為有YouTube使用者投訴稱，他們使用該錢包後，錢包內的EOS被盜。該YouTube使用者解釋稱，他們錢包內的1500枚EOS幣在未經他們同意或不知情的情況下錢包中被祕密轉出。蘋果已在APP Store中刪除了這款應用，尚不清楚有多少使用者是該錢包的受害者，也不清楚有多少人下載了這款應用，蘋果公司沒有向公眾公開這些資料。據悉，該錢包是7月份推出的，在APP Store中上架時間近3個月，期間有多個使用者抱怨投訴。與此同時，谷歌近期正在為Chrome擴充套件開發者引入更嚴格的規則，旨在降低密碼破解和挖掘惡意軟體的風險。谷歌宣佈計劃對Chrome處擴充套件程式請求廣泛許可權的方式進行一系列修改，並收緊了開發人員通過Chrome web Store分發擴充套件的規則。

參考來源：

http://www.bianews.com/news/details?id=21823

英特爾公司 Apollo 資料洩露 2 億條個人資訊 Apollo從公共渠道收集了大量資訊，包括姓名，電子郵件地址和公司聯絡資訊，它還通過抓取Twitter和LinkedIn來收集資料。該公司上週已向其客戶通報了安全漏洞，該事件發生在2018年7月23日。聯合創始人兼執行長TimZheng寫道：在發現時，我們立即採取措施對我們的系統進行補救，並確認該問題不會導致任何未來未經授權的訪問。安全人員發現Apollo的資料包含2.12億個聯絡人列表以及與公司和組織相關的90億個資料點，所有這些都可以線上獲取，供任何人訪問。

參考來源：

https://www.wired.com/story/apollo-breach-linkedin-salesforce-data/

谷歌喊話蘋果：不要再偷偷摸摸修改使用者安全建議 谷歌建立了自己的Project Zero團隊，來改善包括谷歌和第三方產品在內的網際網路安全，該團隊甚至被稱為谷歌內部的超級黑客團隊、網路世界的“孤膽英雄”。因此該團隊研究人員發現蘋果Safari瀏覽器存在漏洞的事實，似乎也並不令人特別驚訝。據VentureBeat報道，週四，Project Zero釋出了一篇新部落格，主要講述蘋果修復漏洞的方法，部落格中還描述了一個有趣的發現：蘋果在事件發生後悄然改變了其安全建議，Project Zero稱這是“誤導”，對macOS使用者也有潛在的危險。新部落格的大部分內容都在討論谷歌如何使用一個公開可用的工具，查詢Safari中的可利用漏洞。Project Zero解釋說，它在一年前用同樣的工具找到了17個漏洞，今年又發現了9個，所有這些漏洞都是蘋果在被告知後、在此部落格釋出前修復的。

參考來源：

http://tech.163.com/18/1005/19/DTCKUMCJ00097U7R.html

關於安全幫

安全幫，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。