各位Buffer早上好,今天是2018年9月12日星期三,农历八月初三。今天的早餐铺内容有:越来越多的iOS应用收集用户信息出售获利;特斯拉门锁存在安全漏洞,黑客盗取汽车只需数秒钟;两部门:关闭顺风车平台社交功能,屏蔽乘客信息;黑客利用Excel文档来执行ChainShot恶意软件攻击;趋势科技声称它的数据收集是一次性的,是出于安全目的。
越来越多的iOS应用收集用户信息出售获利
安全研究人员透露,越来越多的iOS应用程序目前收集iPhone用户的位置数据,WiFi网络ID和其他数据,并将其出售给广告公司。此外,还有很多人习惯于收集一些额外的设备数据,如加速度计信息,IDFA广告标识符,电池电量,蜂窝网络信息,GPS高度和/或速度,以及位置到达/离开时间戳。收集此类数据对于大多数被发现的应用程序来说是合理的,因为它们发现它们要求获得许可并确实有正当理由,问题在于它们都不会让用户知道他们的数据将分享获益。[来源:SecurityAffairs]
黑客利用Excel文档来执行ChainShot恶意软件攻击
针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。[来源:cnBeta]
趋势
科技声称它的数据收集是一次性的,是出于安全目的
安全公司趋势科技旗下的软件 Dr Cleaner、Dr Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery 和 Duplicate Finder 被发现会收集用户的浏览历史并上传到其服务器上,苹果已经从其应用商店下架了相关应用。该公司发表声明称它的数据收集是一次性的,只限于安装前的 24 小时。它称数据收集是出于安全目的,分析用户是否最近遭遇过广告软件或其它威胁,以改进其产品和服务。它声称最终用户许可协议内包含了这些数据收集条款。当然我们都知道作为用户我们是不会去看 EULA。可能是面临的压力太大,趋势随后又宣布移除所有数据收集功能,删除所有保存的用户浏览历史记录。[来源:Solidot]
特斯拉门锁存在安全漏洞,黑客盗取汽车只需数秒钟
比利时鲁汶大学的研究人员发现一种欺骗特斯拉无钥匙进入系统的方法。黑客只需与车主擦肩而过、复制其密钥,数秒钟时间就能轻松盗窃特斯拉电动汽车。这种攻击特别重要,因为特斯拉是无钥匙进入系统概念的先驱,目前这一系统已经被大多数豪华汽车所采用。这一攻击似乎只适用于6月份前交付的Model S车型,特斯拉上周发布的补丁软件已经修正了相关漏洞。更重要的是,特斯拉增添了新的安全选项,汽车在启动前用户需要输入PIN密码。[来源:cnBeta]
两部门:关闭顺风车平台
社交功能,屏蔽乘客信息
交通运输部、公安部10日发出通知,自即日起至12月31日,在全国范围组织开展打击非法从事出租汽车经营的专项整治行动。通知明确,相关网约车平台公司要严格规范派单管理,不得向未经背景核查的驾驶员派单,并要在派单前应用人脸识别等技术,对车辆和驾驶员一致性进行审查;要加强乘客信息保护,关闭顺风车平台社交功能,屏蔽乘客信息,防止泄露个人隐私;要规范车辆安全要求,鼓励有条件的平台公司在网约车显著位置粘贴专用标志,车窗透光率要符合出租汽车要求,确保车内情况可视,车辆运行期间不得开启儿童锁,便于乘客遇有突发情况紧急逃生;要定期随机抽查线下运营车辆及驾驶员,核查注册信息与实际情况一致性,防止“修牌改号”“冒名顶替”等问题。[来源:新华网]