援引外媒 Motherboard 报道，一名黑客成功入侵了两款 GPS 定位追踪应用，从而允许让他监控数万辆汽车的位置，甚至能够关闭部分汽车的引擎。这名叫做 L&M 的黑客成功入侵了 7000 多个 iTrack 账号以及超过 20,000 个 ProTrack 账户，这两款应用被用于监控和管理车队的。该黑客可以跟踪南非，摩洛哥，印度和菲律宾等少数国家的车辆。

根据部分 GPS 定位追踪设备厂商的设定，如果车辆停靠或者车速低于每小时 12 英里就可以进行远程关闭汽车引擎，而黑客在成功入侵之后可以操控擅自关闭这些汽车引擎。通过对 ProTrack 和 iTrack 的 Android 应用程序进行逆向工程，L&M 表示所有客户在注册时都会获得默认密码 123456。

随后他使用应用的 API 强行调取了数百万用户名称，然后使用定制的脚本使用这些用户名和默认秘密进行登陆。这允许他控制了数万个使用默认密码的账号，并提取了相关信息。

根据 L&M 提交给 Motherboard 的用户数据样本来看，黑客从 ProTrack 和 iTrack 客户那里搜集了大量信息，包括他们所使用的 GPS 跟踪设备的名称、型号、设备的唯一 ID 号（技术上称为 IMEI 号码）、用户名、真实姓名、电话号码、电子邮件地址和物理地址。

L&M 表示他的攻击目标是公司，而不是客户。正是这些公司的疏忽导致客户存在安全风险，它们只是想要牟利，而并不想要保护他们的客户。L&M 表示：“我绝对可以在全球范围内造成大规模的交通事故。我已经控制了上万辆汽车，只要我点击我就可以关闭他们的汽车引擎。”但是 L&M 表示从未关闭过汽车引擎，因为他认为这样太危险了。

虽然黑客没有证明他能够关闭汽车引擎，但是 Concox（ProTrack GPS 和 iTrack 的 GPS 设备制造商之一）的发言人向Motherboard 确认如果车辆低于每小时 20 公里（大约每小时12英里），可以远程关闭汽车引擎。根据黑客提供的截图，这些应用程序具有“停止引擎”的功能。

来源：cnBeta.COM

更多资讯

安全漏洞允许攻击者从高通芯片窃取私钥

高通芯片组被广泛用于智能手机和平板，但这些芯片组的一个安全漏洞将允许攻击者从被称为 Qualcomm Secure Execution Environment（QSEE）的芯片安全域窃取私钥和加密密钥。

来源： solidot.org

详情： http://t.cn/Ea3nsCb

Mac 恶意软件威胁在 2019 年一季度上涨超 60%，广告软件涨幅更甚

根据 Malwarebytes 新发布的报告，针对 Mac 用户的恶意软件威胁，已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比，今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时，广告软件的涨幅，更是飙过了 200% 。

Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出，针对消费者的威胁数量在下降，基于恶意软件的加密和勒索软件的数量也在上一季显著减少，整体恶意软件的检出量也下降。

来源： cnBeta.COM
详情： http://t.cn/Ea3mPzY

FTC 将可能针对隐私丑闻对 Facebook 开出高达 50 亿美元罚单

据外媒报道，在过去一年多的时间里 Facebook 一直在处理公司与隐私相关的丑闻，而这给这家社交网络公司造成了严重的经济损失。当地时间周三，Facebook 公布了 2019 年第一季度业绩报告。报告中，这家公司披露，美国联邦贸易委员会（FTC）将可能会被处以数十亿美元的罚款。

来源： cnBeta.COM

详情： http://t.cn/Ea3mzSr

（信息来源于网络，安华金和搜集整理）

在深入调查后卡巴斯基表示，华硕并非是 影锤 （ ShadowHammer ） 攻击行动的唯一受害者，至少还有6家其他组织被攻击者渗透。除了华硕之外，卡巴斯基表示还有来自泰国的游戏发行商 Electronics Extreme、网页&IT 基础服务公司 Innovative Extremist、韩国游戏公司 Zepetto，另外还有来自韩国的一家视频游戏开发商、一家综合控股公司和一家制药公司。

影锤攻击行动在最初是在华硕的升级服务中发现的新型供应链攻击方式。华硕电脑一般都默认预装了华硕的 Live Update Utility 软件，用于更新华硕电脑专用的驱动、软件、BIOS 和补丁等，用户在使用该软件更新时可能会安装植入后门程序的软件更新包。黑客疑似入侵控制了华硕的更新服务，篡改使用合法证书签署的安装包，在官方给用户推送的升级软件包中加入了恶意代码。

来源：cnBeta.COM

更多资讯

GitHub 公开 Bilibili 寄来的 DMCA 删除通知

根据 GitHub 的透明政策，当一个代码库应版权所有者的要求移除，它会公开对方发来的 DMCA 删除通知。本周早些时候，匿名人士公布了Bilibili 网站后台工程源代码，Bilibili 迅速发出 DMCA 通知删除该代码库。现在，GitHub 公开了 Bilibili 寄来的 DMCA 删除通知。

这个通知引人注目之处在于它非常的不正式。Bilibili 是一个在美国上市的中国知名网站，但它的通知一点不像是一个正式的法律文件，它的开头是“Hello Dear Github:”，然后是“We Are:”，最后一句是“求求你们帮助我们吧，还加了三个感叹号（Please help us!!!）”，就像它的源代码一样，它的通知也在社交网络上引发了广泛热议。

来源： solidot.org

详情： http://t.cn/EajnbX6

腾讯安全提醒：暴风影音等数千款 APP 遭恶意 SDK 嵌入

4 月 24 日消息，公众号“腾讯安全联合实验室”称，近日，腾讯安全反诈骗实验室追踪到一款恶意 SDK 子包，该恶意子包已“潜伏”在掌通家园、暴风影音、天天看、塔读文学等数千款移动应用中，潜在可能影响上千万用户。

来源： 快科技

详情： http://t.cn/EajnfU3

这个黑客靠猜测私钥 成功窃取了 4.5 万个 ETH

4 月 23 日，分析机构 Independent Security Evaluators 发布的一份报告称，一名“区块链强盗”通过成功猜测安全性较弱的私钥，成功窃取了近 4.5 万个 ETH。

来源： 新浪财经综合

详情： http://t.cn/EajnJgS

日媒：日本企业至少 268 万份客户信息可能外泄

中新网 4 月 24 日电，据日本共同社 24 日统计报道，由于遭受网络攻击，2018 年日本企业发生外泄或可能外泄的个人信息至少达到268万份。据悉，日本酒店和大学的信息外泄情况严重。

来源： 中国新闻网

详情： http://t.cn/EajnS0N

（信息来源于网络，安华金和搜集整理）

一款流行的 Android 热点（WiFi）搜寻 App“WiFi Finder”暴露了 200 多万个网络的 WiFi 密码。目前已有数千人下载了这款 WiFi Finder 应用，它允许用户搜索附近的 WiFi 网络。但同时，这款应用也允许用户将 WiFi 密码从自己的设备上传到数据库，供其他人使用。

这个包含了 200 多万个网络密码的数据库并未受到任何保护，允许任何人访问，并批量下载这些内容。

网络安全研究人员萨亚姆·杰恩率先发现了这个数据库，并将其发现报告给了 TechCrunch。

TechCrunch 试图联系开发商，但无济于事。最后，TechCrunch 联系上了数据库托管商 DigitalOcean，后者在一天内就关闭了该数据库。

据悉，数据库中的每条记录都包含了 WiFi 网络名称、精确的地理位置、基本服务集标识符（BSSID）和明文存储的网络密码。

来源：新浪科技

更多资讯

手机是否需要安装杀毒软件 看完你就知道答案

虽然我们都已经习惯了要在电脑上安装反病毒软件，但是这种习惯在手机上就不那么常见了，很少有人会在手机上安装反病毒软件，那么手机是否会受到病毒的侵扰呢？到底是否需要给手机也安装反病毒软件呢？

来源： 环球科技

详情： http://t.cn/Ea9tTgH

俄罗斯黑客瞄准了各国驻欧洲大使馆和相关官员

根据 CheckPoint Research 的一份新报告，俄罗斯黑客最近通过向官员发送伪装成美国国务院官方文件的恶意附件，攻击了欧洲的一些大使馆。黑客攻击的目标是尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大和黎巴嫩等国的欧洲大使馆。

来源： cnBeta.COM

详情： http://t.cn/Ea9tnP8

收集使用未成年人个人信息应征得监护人同意

互联网时代该如何保护个人信息？4 月 20 日，民法典人格权编草案再次提请全国人大常委会会议审议。其中，有关个人信息保护的规定是此次二审稿的重要修改内容之一，引起广泛关注。

来源： 新华网

详情： http://t.cn/Ea9td6H

全国人大常委会组成人员建议：对企业泄露个人信息的情况做专门规定

日前，民法典人格权编草案二审稿正式提请十三届全国人大常委会第十次会议审议。《每日经济新闻》记者注意到，在草案二审稿中，就用专章对隐私权和个人信息保护作出专门规定。

来源： 每日经济新闻

详情： http://t.cn/Ea9tFaC

（信息来源于网络，安华金和搜集整理）

英国国家网络安全中心（NCSC）发布了一份列表，列出了数据泄露中出现的 100000 个最常见的密码，以鼓励用户选择强密码。到目前为止，数据泄露中显示的最常用密码是 “123456”，有 2320 万个帐户使用此密码。另外，全世界有 770 万用户选择使用 “123456789” 作为密码。

紧接着排名靠前的三个密码均被超过 300 万用户使用：“qwerty” 出现 3.8 万次，“password” 出现 3.6 万次，“111111” 出现 310 万次。

许多常用的密码都是由一系列简单的数字构成，或将相同数字重复六到七次。

“iloveyou”、“monkey” 和 “dragon” 也排在最常用密码的前 20 位。

此外，成千上万的用户只使用一个名称作为密码。每年有超过 400,000 名用户使用 “ashley”、“michael” 和 “daniel”；“jessica” 和 “charlie” 各被使用超过 300,000 次。

这些可能是用户自己的名字，这意味着如果黑客获取了一个电子邮件地址而没有密码，那么使用受害者的名字来破解它可能会令人大开眼界。

当用户选择简单密码时，乐队也是一个常见的主题。密码列表详细说明 285,706 用户选择 “blink182” 作为他们的密码——这使得 pop-punk 乐队成为最常用的音乐相关密码。“50cent”、“enimem”、“metallica” 和 “slipknot” 都被使用了超过 140,000 次。

球队也是一大密码主题。“Liverpool” 在密码中赢得了最常用的英超足球队冠军头衔。其余最常遭泄露的此类密码分别为 “chelsea”、“arsenal”、“manutd” 和 “everton”。

使用自己喜欢的球队作为密码的人很容易发现自己是黑客攻击的受害者——许多体育迷会在社交媒体上谈论他们最喜欢的球队，因此对于网络犯罪分子来说，在社交媒体上寻找这些信息以破解帐户可能相对简单。

对此，NCSC 技术总监 Ian Levy 博士给出建议：

密码重用是一个可以避免的主要风险，没有人应该用可以猜到的东西保护敏感数据，比如他们的名字、当地足球队或最喜欢的乐队。

使用难以猜测的密码是一个强有力的第一步。我们建议结合三个随机但令人难忘的单词，这样人们就无法猜出你的密码。

来源：开源中国

更多资讯

AV-TEST 反病毒测试表明：Google Play Protect让人失望

近日，知名安全评测机构 AV-TEST 对 19 款面向移动平台的防病毒解决方案进行了测试。结果发现，谷歌官方的 Google Play Protect，无法做到完全让人信赖。本轮测试对 19 款 Android 安全软件的防护、可用性、功能性进行了综合评估，满分分别为 6 分、6 分、以及 1 分。

来源： cnBeta.COM

详情： http://t.cn/EaxuJCK

Google 故意破坏竞争对手的浏览器？

前 Firefox 副总裁 Johnathan Nightingale 早些时候公开指责 Google 通过各种动作破坏 Firefox。他的故事引起了很多人的共鸣。Nightingale 不是第一个提出此类指控的 Firefox 团队成员。去年 Mozilla 的技术项目经理 Chris Peterson 指责 Google 让 YouTube 在 Edge 和 Firefox 上加载缓慢。

来源： solidot.org

详情： http://t.cn/EaxuaZV

B 站网站后台工程源码疑似泄露 内含部分用户名密码

4 月 22 日消息，据微博@互联网的那点事 爆料称，哔哩哔哩（B 站）整个网站后台工程源码泄露，并且“不少用户名密码被硬编码在代码里面，谁都可以用。”新浪科技在 GitHub 上查询后发现，平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时，该项目已获得 6597 个星标和 6050 个代码库分支。

来源： 新浪科技

详情： http://t.cn/EaxuKYB

（信息来源于网络，安华金和搜集整理）

法国政府正式发布了它开发的替代 Telegram、WhatsApp 等的端对端加密消息应用 Tchap，支持 iOS 和 Android。Tchap 由法国数字部 DINSIC 开发，基于端对端加密、去中心化实时通讯系统 Matrix 的开源客户端 Riot。Tchap 也是开源的，源代码发布在 Github 上，任何感兴趣的机构可以部署自己的 Tchap 版本供内部使用。

来源：solidot.org

更多资讯

甲骨文例行更新又来了，这次修复了 297 个漏洞

甲骨文（Oracle）发布了每季一次的 Critical Patch Update 安全更新，总计修复了 297 个产品漏洞，当中有 53 个漏洞的 CVSS（Common Vulnerability Scoring System）评分高达 9 或以上，被视为应优先修复的对象。

来源： 开源中国

详情： http://t.cn/Eaqv88D

Mozilla Firefox 将默认启用点击跟踪

上周，Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“ 链接审计 （ hyperlink auditing ） ”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。

来源： solidot.org

详情： http://t.cn/EaqvuaC

微软工程师希望独立 impl 进程改进 Chromium 的滚动效果

在拥抱 Chromium 之后，微软正积极为这款开源网页浏览器做贡献。目前谷歌的 Chrome 浏览器拥有自己的平滑滚动功能，而微软希望进一步优化来增强使用体验。在今年早些时候分享了对 Chromium 鼠标行为的看法之后，微软正计划改善 Windows 平台 Chromium 的滚动效果。

来源： cnBeta.COM

详情： http://t.cn/Eaqvgy5

法治政府蓝皮书建议：将行政赔偿扩至个人数据保护领域

《法治政府蓝皮书——中国法治政府发展报告（2018）》21 日在中国政法大学发布。针对备受关注的个人数据保护问题，报告建议，将行政赔偿等行政救济方法扩展到个人数据保护领域，促使行政机关加强个人数据的储存安全与保密力度。

来源： 新京报

详情： http://t.cn/EaqPwss

（信息来源于网络，安华金和搜集整理）

英国安全研究员 Marcus Hutchins（MalwareTech），2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。

来源：solidot.org

更多资讯

勒索软件攻击致使 The Weather Channel 停播

根据《华尔街日报》报道，周四 The Weather Channel（天气频道）遭勒索软件攻击，导致其一个现场直播的电视节目停播。停播持续大约一个多小时，攻击发生时美国东南部天气十分恶劣。美国联邦调查局告诉《华尔街日报》，勒索软件攻击是问题的根源，该机构正在进行调查。

来源： solidot.org

详情： http://www.dbsec.cn/zx/20190421-2.html

印度支付卡欺诈发案率快速上升 名列全球第二

根据网络安全公司Gemini Advisory发布的网络犯罪统计数据，2018年，超过320万张印度支付卡记录被泄露，并在网上发布供出售，这与去年相比有了很大的飞跃，当时只有80万张印度支付卡的详细信息被发布在网络犯罪论坛上。

来源： cnBeta.COM

详情： http://t.cn/EaActwV

计算机故障被指延误了巴黎圣母院的灭火

巴黎圣母院周一晚上六点左右失火，最有可能的失火原因是电梯的电气短路，但一个计算机 bug 被指耽搁了灭火行动，导致了火势的快速蔓延。法国媒体报道称，在晚上六点后不久火警响起，但计算机 bug 在错误的地点显示了起火的位置。

来源： solidot.org

详情： http://t.cn/EaAcxIJ

薅羊毛薅到犯罪 有人非法套取信用卡积分获利被判刑

获取积分，兑换礼品，这是不少消费者，尤其是年轻群体熟悉的生活方式，有人把这种赚取优惠的行为戏称为“薅羊毛”。但是，“羊毛”薅得太狠，也会违法犯罪，山东、上海等地最近先后有人因为通过虚假交易等方式获取信用卡积分和礼品，被判诈骗罪。

来源： 央广网

详情： http://t.cn/EaAco6w

（信息来源于网络，安华金和搜集整理）