各位早上好,今天是 2018 年 5 月 8 日星期二,农历三月廿三。今天的 BUF 早餐内容主要有:美国军方禁用华为、中兴智能手机;天天P图回应前世青年照收集隐私问题;Google宣布 开源高安全性机密运算开发框架 Asylo;网络安全公司发现门罗币挖矿的新型病毒“Kitty”;Android P将修复监控网络活动安全漏洞。
【国际焦点】
美国军方禁用华为、中兴智能手机
华为、中兴制造的智能手机被美国军方禁止,这一决定正是由美国国防部发布。美国国防部认为,由中国公司制造的智能手机存在一些无法令人接受的风险,美国官员认为智能手机可以用来监视军事人员。
五角大楼发言人Dave Eastburn表示:“华为和中兴通讯设备可能对该部门的人事、信息和使命构成不可接受的风险。”
五角大楼发言人没有透露华为和中兴手机有什么具体安全隐患,但据外媒透露,五角大楼担心中国政府利用这两款手机,追踪和定位美国军事人员的活动。
中兴并未立即对禁令置评,而华为则迅速回复,强调其产品质量和安全状况的可靠性。[来源:SecurityAffairs]
Google宣布 开源高安全性机密运算开发框架 Asylo
上周,谷歌宣布推出一款名为“Asylo”的开源框架和SDK,允许开发人员构建针对可信执行环境的应用程序。Asylo框架可以在机密计算环境中轻松保护的的应用程序和数据的机密性、完整性。
以前,在可信执行环境中开发和执行应用程序需要专业技能和工具,在某些情况下,实现需要特定的硬件。Asylo的目标是去除这些限制。Asylo框架允许开发人员创建可在各种软件和硬件上运行的便携式应用程序。
Google还通过Google Container Registry实现了Docker镜像 ,其中包括在任何地方运行容器所需的所有依赖关系。Asylo框架的这种灵活性允许开发人员利用TEE支持的各种硬件架构,而无需修改源代码,从而非常迅速地移植应用程序。[来源:securityaffairs]
【区块链安全】
网络安全公司发现门罗币挖矿的新型病毒“Kitty”
近日,网络安全公司Imperva Incapsula发现门罗币(XMR)挖矿的新型病毒“Kitty”。
据悉,该病毒利用的是Drupal 2018年3月8日发表的更新版本中的远程执行代码漏洞(CVE-2018-7600)。这种新型病毒从4月上旬被发现后便以各种形式进行攻击。如果感染此病毒,其便会与服务器绑定,开始启动叫做“kkworker”的门罗币挖矿程序。[来源:chaindd]
【终端安全】
Android P将修复监控网络活动安全漏洞
个多年的隐私缺陷终将在Android上结束。这是一个你可能从未听说过的问题,但你应该绝对关心的问题之一。目前,Android上的应用程序可以完全访问设备上的网络活动,即使不询问任何敏感的权限。
这些应用程序无法检测到网络呼叫的内容,但它们可以通过TCP / UDP嗅探任何传出或传入连接,以确定您是否连接到某个特定服务器。例如,应用程序可以检测到设备上的其他应用程序何时连接到金融机构的服务器。
Android开源项目中出现了一个新的提交,“启动锁定 /proc/net进程”。/ proc / net包含了与内核相关的一系列网络活动输出。还有目前的应用程序访问的/ proc /net 没有限制,这意味着他们可以从这里读取(特别是TCP和UDP文件)来解析设备的网络活动。
由于Android的SELinux规则发生了新的变化,这一变化将适用于Android P的SELinux,针对这一网络连接问题的漏洞,预计将在Android API 28,也就是Android P上得到全面的修复。[来源:XDA]
【国内动态】
天天P图回应前世青年照收集隐私问题
五四青年节当天,微信朋友圈又被“前世青年照”刷屏了,环球时报报道,目前推出“前世青年照”的软件已经收集8000多万张用户照片。对此,有国内互联网专家表示,对于类似的特殊节日测试性格、人品类的小游戏,可能存在泄露个人隐私的风险,用户需要谨慎对待。
对此,推出“前世青年照”的天天P图进行了回应。天天P图称,在活动过程中,不会使用或者记录上传图片的时间、位置等个人信息,也不会存储用户上传的照片。[来源:IT之家]
关注我们:请关注一下我们的微信公众号: NiudunX
温馨提示:文章内容系作者个人观点,不代表牛盾网络Newdun.com®对观点赞同或支持。
版权声明:本文为转载文章,来源于 FreeBuf ,版权归原作者所有,欢迎分享本文,转载请保留出处!