BUF早餐铺 | UbuntuSnap软件包存在漏洞，允许攻击者获得系统Root权限；联想Watch X智能手表存在安...

各位 Buffer 早上好，今天是 2019 年 02 月 15 日星期五。今天的早餐铺内容有：Ubuntu Snap软件包存在漏洞，允许攻击者获得系统Root权限；联想Watch X智能手表存在安全隐患；美国炸弹威胁恶作剧导致数百所学校撤离，两名涉事黑客遭指控；沙特通过App监控女性出境，苹果CEO库克承诺要调查；谷歌亚马逊收集数据无所不用其极：智能灯每天报告你何时睡觉；邮件服务商VFEmail遭黑客攻击，客户所有数据被删除。

Ubuntu Snap软件包存在漏洞，允许攻击者获得系统Root权限

安全研究员Chris Moberly在Canonical的REST API中发现了一个漏洞，snapd守护程序可允许攻击者获取 Linux 系统的root访问权限。Canonical是Ubuntu Linux的软件包提供商之一，一直以来都在推广他们的“Snap”软件包，将所有应用程序依赖项转换为单个二进制文件（类似于Windows应用程序）。

Snap环境包括一个“应用程序商店”，开发人员可以在其中贡献和维护现成的软件包，其中一个名为snapd服务用于本地安装管理和在线商店通信。漏洞就来自这个服务，名为为’Dirty_Sock’的漏洞会影响安装了Ubuntu Linux的服务器，专家在Ubuntu上成功测试并发布概念验证，展示如何提升权限。[来源： securityaffairs ]

联想Watch X智能手表存在安全隐患

售价为50美元上下的联想Watch X智能手表于2018年6月推出，最初因其设计、功能和高性价比而受到广泛的好评。但在推出数月之后，有研究人员发现这款产品存在很多安全问题，申请过多不必要的权限和未经许可上传用户信息的问题最为严重。

研究人员发布了一份报告，罗列了6个隐私和安全问题，包括精确定位电话位置、嗅探/ MiTM、帐户接管、Magic BLE、欺骗呼叫和设置警报。加密Watch X、Android应用程序和Web服务器之间的通信将有助于降低这些问题的影响，该研究人员已经与联想取得联系并报告了问题。[来源： checkmarx ]

美国炸弹威胁恶作剧导致数百所学校撤离，两名涉事黑客遭指控

Timothy Dalton Vaughn和George Duke-Cohan，他们各自的黑客别名“wantbyfeds”和“DigitalCrimes” ，在2月8日因黑客犯罪、阴谋和“涉及爆炸物的州际威胁” 被指控，指的是他们将众多炸弹威胁发送到不同的学校。

法院文件声称，Vaughn和Duke-Cohan在一个名为Apophis Squad的黑客组织内行动，协调了一系列“炸弹和学校射击威胁，旨在引起对迫在眉睫的危险的恐惧，并导致两大洲数百所学校在很多场合关闭。“关于Vaughn和Duke-Cohan的行动的报道于2018年3月首次出现。他们向学校发送电子邮件，迫使撤离，但英国诺桑比亚警方的一份声明证实这是一个可追溯到美国的恶作剧。[来源： cnbeta ]

沙特通过App监控女性出境，苹果CEO库克承诺要调查

针对近日曝光的一款可以实时追踪女性出境情况的App，苹果公司(以下简称“苹果”)CEO蒂姆·库克(Tim Cook)表示，如果消息属实，苹果将对此展开调查。

近日有报道称，沙特政府出台的一款名为“Absher”的手机App可以实时追踪该国女性的出境情况，并在对方离境时向男性监护人发送短信警告。根据沙特的法律，每名女性必须有一位男性监护人，且未经同意不得随意旅游出境。虽然该软件已存在7年，但直至最近才吸引了媒体的关注。原因是：上月初一名18岁的沙特少女自称受家人虐待逃至泰国，而她的父亲随后赶到希望接回女儿，但被拒绝。[来源： 新浪科技 ]

谷歌亚马逊收集数据无所不用其极：智能灯每天报告你何时睡觉

据外媒报道，随着亚马逊和谷歌努力将它们的智能音箱置于联网家庭的中心，两家科技巨头正扩大对其智能语音助理用户的数据收集。几年来，每当有人使用智能音箱开灯或锁门时，亚马逊和谷歌都会收集数据。现在，他们正要求罗技和Hunter Fan等智能家居设备制造商向他们持续发送数据。

换句话说，在你将照明设备连接到亚马逊的智能语音助理Alexa之后，无论你是否要求Alexa关闭开关，亚马逊都希望知道你每次开灯或关灯的时间。电视机则必须报告用户设置的频道。智能锁必须随时通知公司，用户是否插上了门栓。[来源： 安全内参 ]

邮件服务商VFEmail遭黑客攻击，客户所有数据被删除

据外媒报道，美国电子邮件商VFEmail发现有黑客系统性破坏了公司的服务硬盘，其中包括备份和冗余。该公司的员工目前正在努力恢复用户的电子邮件，但就目前的情况来看，美国客户的所有数据似乎都被永久删除。VFEmail的拥有者Romero在推文中表示：“是的，@VFEmail已经彻底消失了。我从未想过有人会如此关心我心爱的产品，以至于他们想要彻底摧毁它。”[来源： 安全内参 ]