谷歌從 2018 年10月起，將不再信任賽門鐵克現有全部 SSL 證書

谷歌從 2018 年 10 月開始將不再信任賽門鐵克現存的全部SSL證書，如果賽門鐵克想要持續其 CIA業務，則需要重新構建整個證書頒發基礎設施。這是谷歌和 Mozilla 的工程師針對賽門鐵克 SSL證書頒發流程進行調查之後的最終決定。今年3 月份，谷歌和 Mozilla 工程師發現，賽門鐵克濫發了 127 個 SSL 證書，隨著調查的深入，最終發現這個數字其實超過 30000 個。谷歌是最早提出要逐步在 Chrome 瀏覽器中去除對賽門鐵克證書支持的廠商。賽門鐵克方先前就表示自己沒有問題，調查結果“誇張、存在誤導”。隨後的事件走向將會是這樣的：賽門鐵克會成為 SubCA ，谷歌對於此舉也基本滿意，這對賽門鐵克而言也是開展業務的一個方案； Chrome 66 開始將逐步不再信任 2016 年6月1日前頒發的賽門鐵克證書；從 Chrome 70開始，所有賽門鐵克SSL證書都將在瀏覽其中顯示安全警告。由於賽門鐵克在 CA 市場的統領地位，GeoTrust、Thawte和RapidSSL都會受到影響。

參考來源：freebuf

黑客僅需 15 美元即可繞過德國 Armatix 智能槍支安全防禦系統

據外媒 30 日報道，黑客 Plore 於近期在線演示如何利用廉價現成設備繞過德國 Armatix IP1 智能槍支的安全防禦系統展開攻擊活動。Armatix IP1 智能槍支是一款軍事武器，只能由擁有相關智能手錶的所有者觸發識別。由於該槍支與智能手錶無法通過長距離無線電信號進行連接，因此當二者相距較遠時，槍支不受智能手錶操控。Plore 近期發現三種方法可以侵入 Armatix IP1 智能槍支、擴展智能手錶無線電信號範圍並允許任何人在智能槍支與相關手錶相距十英尺外開槍。第一種方法： Plore 在槍口附近放置一枚價值 15 美元的磁鐵，允許繞過智能槍支 Armatix IP1 安全防禦系統，並無需智能手錶驗證即可開槍。第二種方法： Plore 使用價值 20 美元的發射機設備干擾智能槍支十英尺以內的無線電波頻段（ 916.5Mhz ），允許繞過安全防禦系統，以便智能手錶不受無線電信號範圍影響。第三種方法：Plore 通過定製射頻放大器擴展智能手錶控制範圍，允許攻擊者觸發槍支開火時，攔截智能槍支發出檢測手錶是否存在的信號。此外，該定製設備還允許智能手錶操控範圍擴展至 12 英尺，以及繞過智能槍支的安全防禦系統。Plore 表示，德國 Armatix 智能槍支的安全系統顯然存在多處漏洞，目前需要研究人員及時修復，以防網絡犯罪分子惡意入侵。

參考來源：hackernews

Apple Pay 移動支付也不安全？交易可被竊聽篡改

上週的 Black Hat 大會上，來自 Positive Technologies 的研究人員宣佈可利用 Apple Pay 移動支付中的缺陷來發動攻擊。Apple Pay 可以說是目前最安全的支付系統之一。其中一種攻擊方發需要設備越獄，通過惡意程序感染越獄設備，攔截髮往蘋果服務器的支付數據；還有一種攻擊方式則不需要越獄，攻擊者可攔截並或偽造SSL流量，篡改交易數據，比如修改交易金額、幣種等細節信息。攻擊者可以將竊取到的卡片信息，註冊到其 iPhone 賬戶中，並進行交易；攔截設備與蘋果服務器間的 SSL 流量進行欺詐支付。不過攻擊存在一些缺陷，比如說非法交易發生後受害者也會收到通知。研究人員建議用戶不要通過公共 WiFi 網絡使用 Apple Pay 在未使用 HTTPS 的站點購買商品，攻擊者可很容易地對流量進行竊聽；還有當然就是不要越獄。

參考來源：freebuf

Canary版Chrome瀏覽器新增網頁廣告屏蔽功能

新浪科技訊，之前曾有消息說，谷歌明年將會為Chrome瀏覽器內置廣告屏蔽功能，現在我們可以提前看到這個功能的模樣了。谷歌推出了面向Android的Chrome預覽版Canary.App，它可以提前讓用戶預覽測試一些功能，這些功能將會出現在穩定版瀏覽器中。Canary版Chrome比開發版更加不穩定，僅適合開發者、追求最新版的用戶使用。Canary.App有一個功能允許用戶啟動嵌入式攔截器，它可以攔截帶有侵入式廣告的網站。在Chrome的設置菜單下有一個菜單選項叫作“Site.setting”（網站設置），裡面有一個子選項叫作“Ads”（廣告），用戶在這裡就可以啟用攔截功能。還有一個功能可以讓用戶屏蔽那些有意顯示侵入式廣告的網站，默認狀態下該功能是打開的。據說谷歌向出版合作伙伴提供了指南，告訴它們“侵入式廣告”是如何界定的，幫助它們正確應用，避免被新功能屏蔽。

參考來源：sina

低成本 Android 手機中發現 Triada 木馬

俄羅斯反病毒公司 Dr.Web 的惡意軟件研究人員近日在幾款低成本 Android 智能手機的固件中發現 Triada 木馬，這些型號的手機包括包括Leagoo M5 Plus，Leagoo M8，Nomu S10，和Nomu S20。Dr.Web 的病毒分析檢測到惡意程序內置運行在Android 移動設備的固件中。該惡意程序目前被稱為 Android.Triada.231，它滲透了所有正在運行的應用程序的進程，並且可以祕密下載和運行其他模塊。專家稱，Triada Trojan 不能使用標準方法進行刪除，因為它隱藏在操作系統的一個庫中，屬於系統部分。為了消除安全威脅，有必要重新安裝一個乾淨的 Android 固件。

參考來源：sina

固件信息再洩露：HomePod或將搭載屏幕以及1G運存

新浪科技訊 北京時間8月1日上午消息，對HomePod固件的深入研究表明，這款A8驅動的設備或將擁有1GB的內存和272-340像素的屏幕，這意味著在未來，基本應用均可獲得硬件支持。HomePod固件的細節是由阿福瑞·馬格諾提（Avery Magnotti）收集的，並在Twitter上向世界透露。HomePod屏幕分辨率和38毫米蘋果手錶的屏幕一樣。拆解蘋果手錶上的S1芯片，顯示有512MB的內存。相比之下，iPhone 7 Plus的內存是3GB，像素量是前者的22倍。如果這份報告是準確的，HomePod將採用與蘋果iPhone 6相同的處理器規格。對HomePod的功能而言，帖子上提到的1GB內存似乎大材小用了，即使包括未來Siri的擴展，情況也是如此。目前尚不清楚蘋果打算在未來做些什麼，但顯而易見，這款設備應該可以支持各種應用。圖片顯示了尚未發佈的“iPhone 8”的外觀樣式，這是通過對固件的檢查，以及分辨率和顯示尺寸信息進行收集而整理出來的。蘋果在2017年的WWDC大會上公佈了售價349美元的HomePod，將於12月發貨。HomePod是由蘋果A8芯片驅動的，該芯片包括實時聲學建模、音頻波束形成和多通道回聲消除功能。它還提供一個Siri子集，對音樂播放功能加以優化。

參考來源：sina

DEF CON 黑客大會 ：使用微型計算機 Micro:bit 劫持無人機設備

據外媒 7 月 30 日報道，數字安全公司 Econocom 研究人員 Damien Cauquil 近期在拉斯維加斯舉行的 DEF CON 黑客大會上使用微型計算機 Micro:bit 劫持四軸無人機設備.Micro:bit 是一款基於ARM 的嵌入式系統設備，由英國廣播公司 BBC 設計，用於國家計算機教學。Micro：bit 由16MHz 的 32 位 ARM Cortex-M0 CPU 提供動力，內存僅佔 16KB 且售價 15 美元。此外，Micro:bit具備藍牙連接功能，允許黑客寫入 Python 編碼，即可充當無線嗅探器使用。據悉，研究人員在耗時數月後破解微型計算機 Micro：bit 系統固件，並將其變成一款強大的黑客工具，允許攻擊者通過藍牙竊取無線鍵盤信息，或在四軸無人機設備飛行期間劫持控制器。另外，由於該設備體積袖珍，使得黑客能夠將其隱藏在桌角以竊取受害者輸入的敏感信息，例如密碼與登錄憑據。研究人員表示，他們還開發出多款工具，能夠與任意 2.4GHz 無線技術進行交互。目前，研究人員已在會議期間發佈設備固件與相關工具源代碼。

參考來源：hackernews

本文資訊內容來源於互聯網，版權歸作者所有，如有侵權，請留言告知，我們將盡快處理。

【福利】系統安全幫新產品體驗回饋活動！

系統安全幫福利來了：系統安全幫新產品體驗回饋活動！

活動時間：2017年6月15日－2017年10月15日

活動產品：上網行為管理服務、雲眼APM服務

活動規則：

1. 活動期間系統安全幫上網行為管理服務和雲眼APM服務免費；

2. 活動期間用戶在安全幫商城購買兩類服務併成功完成支付，將下單成功截圖保存用於後續獎勵發放，評論註明已購買及安全幫用戶名，即有機會獲得100安全幣，每類新產品每個用戶只贈送一次；

3. 用戶將對產品提出的意見和建議寫在評論中並註明安全幫用戶名，每次贈送20安全幣，如意見被採納再贈送200安全幣，每個用戶的相同意見和建議不重複贈送安全幣；

4. 本次活動的最終解釋權歸安全幫所有。

安全幫，幫一下，就好了！

更多資訊，請關注安全幫頭條號：http://www.toutiao.com/i6420639756622758401/