【安全帮】计算机科学家设计无法被黑的芯片

全国移动 APP 安全性研究报告：约 70% 的 APP 存在安全漏洞

据统计，每年至少新增150万种移动恶意软件，至少造成超过1600 万件的移动恶意软件攻击事件。爱加密全国移动 APP 安全性研究报告，旨在让移动手机用户了解 APP 风险隐患对个人隐私信息及资金安全等方面所造成的威胁，提高其安全防范意识。截止 3 月底大数据中心已收录 Android app 应用 270 多万个，IOS 应用 190 多万个，其中 50% 以上的 APP 都存在漏洞威胁，5.24% 的 APP 存在病毒，30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。约 181 万个 APP 存在高危漏洞。2% 的 APP 存在 20 个以上高危漏洞，19% 的 APP 存在 10-20 个高危漏洞，79% 的 APP 存在 10 个以下的高危漏洞。从 APP 漏洞种类来看，存在 Janus 高危漏洞的 APP 数量最多，其次是 Java 代码未加壳漏洞，排在第三位的是 WebView 明文存储密码漏洞。

参考来源：

https://www.freebuf.com/articles/paper/202843.html

计算机科学家设计无法被黑的芯片

密歇根大学的计算机科学家设计出一种新的处理器架构，能主动抵御未来威胁，事实上让现有的 bug 和补丁安全模式过时。被称为 MORPHEUS 的芯片通过每秒 20 次加密和随机重编关键数据比特来阻止潜在的攻击，远快于人类黑客能做出反应的速度，比最快的电子黑客技术快数千倍。密歇根大学教授 Todd Austin 称，今天一个接一个消除 bug 的方法是一种失败的博弈，只要有新的代码，总会出现新的 bug 和安全漏洞。通过使用 MORPHEUS，即使黑客发现了一个 bug，利用 bug 所需的信息会在 50 毫秒后消失。它可能是最接近不会被黑的安全系统。

参考来源：

https://www.solidot.org/story?sid=60517

因涉嫌违法儿童隐私法，苹果谷歌下架 3 款约会 App

本周一，美国联邦交易委员会（FTC）声明，之前苹果和谷歌应用商店里的三款约会应用允许13岁以下儿童注册，现在这三款应用已经下架。FTC表示，这三款应用分别是Meet24、FastMeet和Meet4U，他们的运营方都是一家名为Wildec的乌克兰公司。在新闻发布会中，FTC警告Wildec，声称这些应用违反了儿童线上隐私保护法案，后者要求企业必须获取监护人的同意，才能搜集和使用13岁以下儿童的个人信息。

参考来源：

https://www.lieyunwang.com/archives/454369

“ QQ 音乐”等 40 个锁屏勒索类恶意程序变种被曝光

通过自主监测和样本交换形式，国家互联网应急中心天津分中心发现了盗号神器、QQ音乐、钓鱼生成器、极客云播、免费红包领取、卡钻助手、江少专业刷赞、盗取QQ密码、SIM应用卡、吃鸡除草隐身、大佬修改器、刺激战场辅助等40个锁屏勒索类恶意程序。该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产安全造成严重威胁。安全专家介绍说，这些锁屏勒索类病毒恶意行为包括，强制将自身界面置顶，致使用户手机处于锁屏状态，无法正常使用；私自重置用户手机锁屏PIN密码；监测开机自启动广播，触发开机自启动广播后，便会启动锁屏代码；恶意程序预留联系方式，提示用户付费解锁。

参考来源：

http://tech.caijing.com.cn/20190507/4585871.shtml

网易邮箱回应大量账号被叫卖：仅涉及邮箱地址 已报案

针对媒体报道的“大量网易邮箱账号遭公开叫卖”，网易邮箱在其官方微博上发表声明称，经查，报道中提及的违法行为，仅涉及邮箱地址，不涉及用户敏感信息，并已第一时间向公安机关报案。早些时候，人民创投报道称，在某交流平台，有人公开叫卖网易邮箱账号，百万邮箱售价仅50元。卖家自称可向这些邮箱发送营销信息，并展示了据说包含有百万个邮箱账号的文件。经测试，仅有6个邮箱发送失败。网易邮箱表示，已第一时间向公安机关报案，并正在积极与警方联动，共同打击此违法犯罪行为。并即将开通24小时服务热线，及时处理用户关切的问题。

参考来源：

https://www.secrss.com/articles/10467

NSA 黑客 工具 在泄露前已被 APT 组织使用

自称 Shadow Brokers 的神秘黑客组织在 2017 年泄漏了 NSA 黑客工具，相关漏洞利用代码随后被用于发动了 WannaCry 和 NotPetya 勒索攻击。本周一，赛门铁克的研究人员披露，其中两个 NSA 黑客工具在 Shadow Brokers 泄漏前 14 个月就已被 APT 组织用于发动攻击。研究人员表示，他们不知道该黑客组织 Buckeye aka APT3、Gothic Panda、UPS Team 和 TG-0110 是如何获得这些工具的。研究人员猜测一种可能性是黑客逆向工程了 NSA 发动攻击后留下的代码。

参考来源：

https://www.solidot.org/story?sid=60515

八款无线演示系统曝出多个严重漏洞

近期，Tenable的研究人员披露了涉及无线演示系统的15个漏洞——其中大部分漏洞影响Crestron AirMedia。而这15个漏洞其中的两个，CVE-2019-3929和CVE-2019-3930，影响了多个使用了相同的基础代码的演示平台。Tenable的研究员Jacob Baines在近期的一篇文章中表示，这些产品的基础代码是由Barco的子公司AWIND开发的，这可能在未来引发新的问题。“这些无线演示系统都基于同一套基础代码，而一旦代码出现了严重漏洞，每个演示系统开发商的修补措施都不一样，用户也很难及时更新补丁。最后，这些遍布漏洞的无线演示系统一不小心就暴露在攻击者的枪口下”。

参考来源：

https://nosec.org/home/detail/2554.html