BUF早餐铺丨安全研究人员玩上怀旧梗：“邪恶大眼夹”可帮助隐性感染Office文档；中消协等发智能锁试...

各位Buffer早上好，今天是2019年5月7日星期二。今天的早餐铺内容主要有：安全研究人员玩上怀旧梗：“邪恶大眼夹”可帮助隐性感染Office文档；中消协等发智能锁试验报告：半数存指纹识别安全风险；戴尔电脑预装软件严重漏洞使用户易受局域网劫持；加拿大边境服务局因拒绝披露密码扣押手机和笔记本电脑；中国一智能城市监控系统数据库被发现没有密码保护。

安全研究人员玩上怀旧梗：“邪恶大眼夹”可帮助隐性感染Office文档

一种名叫Evil Clippy（邪恶大眼夹）的 工具 现在正在帮助黑客感染您的Office文档。白帽黑客一边写病毒一边玩上了怀旧梗，还配上了剧情：“多年的嘲笑使得大眼夹走向黑暗的一面。”来自荷兰的安全研究人员刚刚发布了这一“协助安全专家和测试人员创建恶意MS Office文档的工具”。

Evil Clippy可以使恶意的Microsoft Office文档无法被反病毒软件检测到，它可以隐藏VBA宏，并让流行的宏分析工具发生混淆。该应用程序依赖于Office功能才能够运行，例如“VBA Stomping”。如果检测到已知MS Office版本，则可以使用伪代码替换恶意VBA源代码，而恶意代码仍将通过p-code执行。这样一来，该应用程序可以欺骗任何分析VBA源代码的工具，包括防病毒软件。[ cnbeta ]

中消协等发智能锁试验报告：半数存指纹识别安全风险

中国消费者协会、四川省保护消费者权益委员会、 深圳市消费者委员会、佛山市消费者委会今天联合发布智能门锁比较试验报告，29款样品中，48.3%的样品密码开启安全存在风险，50%的样品指纹识别开启安全存在风险，85.7%的样品信息识别卡开启安存在风险。

样品锁的牢固件性能不理想

按照国家强制性标准GB 21556-2008《锁具安全通用技术条件》对A级锁的要求，29款样品锁的锁舌长度均符合要求（大于等于20毫米），但锁舌强度只有12款样品锁符合要求。

防破坏报警功能有待加强

根据国家强制性标准GB 21556-2008《锁具安全通用技术条件》要求，锁在连续实施误操作及防护面遭受外力破坏时，应能自动发出声或光报警指示或报警信号。经检测显示，29款样品中有15款锁能发出报警信号。

样品的机械应急锁被破坏开启时间差别显著，个别样品的防破坏性能较差

本次比较试验参照机械防盗锁锁芯破坏试验的方法，使用螺丝刀、镊子、手锤等普通手工机械工具，对样品的机械应急锁芯进行破坏直至被打开，同时记录破坏开启的时间。此次比较试验的29款样品中，标称“上海西默通信技术有限公司”生产的型号为“XMSH-DL121”的样品在锁芯破坏试验中，由于外力作用使得应急锁芯与离合间的塑料连接件断裂，从而导致应急锁芯无法驱动离合动作，最终未能以破坏锁芯的方式被打开，另一款标称“派瑞”品牌型号为“H300S”的样品没有应急机械开锁功能。[ cnbeta ]

戴尔电脑预装软件严重漏洞使用户易受局域网劫持

一位17岁的安全研究人员在SupportAssist应用程序中发现了远程代码执行（RCE）漏洞。戴尔的SupportAssist应用程序目前存在两个危险的安全漏洞，即远程代码执行（RCS）和CVE-2019-3718。这些漏洞使攻击者容易欺骗受害用户，让他们通过SupportAssist客户端从攻击者托管站点下载和执行任意可执行文件。

根据研究人员的说法，除了上面提到的漏洞，该应用程序还有一个更严重的安全漏洞。具体表现在它确保不通过HTTP下载文件，这意味着只要它感觉到通过HTTP连接尝试下载文件，就会自动用HTTPS替换它，这将让用户相信他们在下载这些文件时没有任何安全问题。

目前戴尔已经完全了解这些错误，SupportAssist正在提供修复程序。戴尔确认，3.2.0.90之前的Dell SupportAssist Client版本受到威胁，将应用程序升级到最新版本将确保用户的安全。[ secrss ]

加拿大边境服务局因拒绝披露密码扣押手机和笔记本电脑

加拿大边境服务局被指因律师拒绝披露密码而扣押其手机和笔记本电脑。这位叫Nick Wright的加拿大律师于4月10日乘飞机在多伦多的Pearson机场入境，他被要求接受额外的检查，边境服务局没有给出检查的理由。他对官员搜查他的包并无意见，但当官员要求提供密码搜查他的手机和笔记本电脑时他拒绝了。他称两个设备包含了客户的机密信息。边境服务局随后没收了他的设备，称将会送到政府实验室去破解密码搜索文件。律师认为当局此举侵犯了他的宪法权利。[ solidot ]

中国一智能城市监控系统数据库被发现没有密码保护

智能城市设计旨在让居民生活更轻松，但如果它的监控系统数据泄露？

John Wethington报告一个智能城市数据库没有密码保护可以直接通过浏览器访问。该数据库是一个Elasticsearch数据库，储存了数GB数据，包括数百个人的人脸识别扫描。数据储存在阿里云上。阿里巴巴发言人称，数据库是客户创造的，托管在阿里云，他们建议客户使用安全密码保护其数据。他们已经通知了客户，迅速解决了问题。数据库提供了部分智能城市工作的见解。[ solidot ]