?

據外媒報道稱，日前，安全研究員發(fā)現了一個新的安全漏洞，該漏洞可致使2019年前生產的數百萬臺電腦很容易受到物理攻擊，而攻擊的目標是一個共同的組件:Thunderbolt端口。

據安全研究員BjornRuytenberg透露，所謂的“Thunderclap”安全漏洞，是利用Thunderbolt附件授予的特權直接內存訪問（DMA）來訪問目標設備。除非采取適當的保護措施，否則黑客可以使用該訪問權來竊取數據，跟蹤文件和運行惡意代碼?！昂诳涂梢栽趲追昼妰茸x取和復制個人電腦上的數據，即使電腦處于鎖定或休眠狀態(tài)?！盉jorn Ruytenberg說。

Bjorn Ruytenberg表示，所有在2011-2020年之間出貨、配備Thunderbolt的設備都容易受到攻擊。此外自2019年以來提供Kernel DMA保護的設備，都存在該漏洞。

微軟安全威脅情報部門掌握的數據顯示，以COVID-19為主題的威脅是現有網絡攻擊方式的修正，內容是稍加改動，就可以配合大流行病繼續(xù)為害四方。安全技術人員看到的更多是誘餌的變化，而不是攻擊次數的激增，微軟正在積極監(jiān)測和應對這種焦點的轉變。

微軟公司在一篇博文中寫道：'我們的收件箱、移動彈窗提醒、電視和新聞更新都是COVID-19，無時無刻不在。在資訊的豐富程度上這是壓倒性的，攻擊者也知道這一點。他們知道因為心理焦慮，很多人不看就點擊，他們正在利用這一點。這就是為什么我們看到網絡釣魚和社交工程攻擊的成功率越來越高的原因。攻擊者不會突然掌握更多的資源來欺騙用戶；相反，他們正在轉移他們現有的基礎設施，如贖金軟件、網絡釣魚和其他惡意軟件的傳輸工具，以包括COVID-19關鍵字，讓被害者點擊。一旦我們點擊，他們就可以滲透到我們的收件箱中，竊取我們的登錄憑證，與同事跨協(xié)作工具分享更多的惡意鏈接，并等著竊取能給攻擊者帶來最大回報的信息。'

今日，中國電信在業(yè)界率先發(fā)布5G SA安全增強SIM卡白皮書，其中指出現有的4G卡缺少5G標準中定義的新功能和新增的卡文件與服務。

據了解，白皮書指出，現階段用戶通過4G卡接入5G網絡，現有的4G卡缺少5G標準中定義的新功能和新增的卡文件與服務，用戶身份數據在通信過程中使用明文傳輸，位置信息不夠精準，已經不能滿足5G網絡的信息與安全要求。隨著5G行業(yè)應用的深入拓展，不能很好地去應對各種業(yè)務發(fā)展的要求，用戶享受不到5G網絡帶來的全新體驗與業(yè)務服務。

? CreepRank算法幫助谷歌Play商店剔除了813款Android蠕蟲應用

得益于某學者團隊開發(fā)的 CreepRank 新算法，谷歌 Play 商店篩查并下架了 813 款蠕蟲偽裝的 Android 應用。據悉，來自紐約大學、康奈爾科技學院、以及 NortonLifeLock（原賽門鐵克）的學者們，對這些蠕蟲軟件展開了深入的分析。近日，該團隊在一篇新發(fā)表的研究報告中介紹了幕后的更多細節(jié)。

這里提到的蠕蟲，特指不具有完整的間諜或追蹤功能的移動 App 。即便如此，別有用心的開發(fā)者仍可借此對用戶展開間接追蹤、騷擾、欺詐或威脅他人。

研究團隊開發(fā)的 CreepRank 算法，能夠識別移動 App 中疑似的蠕蟲行為，然而對每款 App 進行打分。

? 5G時代需防范網絡攻擊，車聯(lián)網或最先遭難

近日業(yè)內人士表示，5G為“萬物互聯(lián)”提供了重要驅動力，促進了物與物、人與物之間的連接，但是與此對應的網絡攻擊有可能會不斷加劇。而且，網絡攻擊將不再局限于對電腦、手機等終端，而是有可能進一步向汽車、加電站、數據中心等轉移，形成更大的威脅。綜合分析來看，以智能網聯(lián)汽車為核心的車聯(lián)網或許會最先“遭難”。

一方面，智能網聯(lián)汽車的發(fā)展已是大勢所趨，各個國家都在大力發(fā)展自動駕駛技術，試圖以此為突破口，推動傳統(tǒng)汽車產業(yè)和交通產業(yè)的大變革。另一方面，近些年來已經有一些工廠被網絡攻擊的先例，而許多采用車聯(lián)網技術的智能汽車都與原生工廠密切相關。此外，在速度與激情系列電影中，也展現了汽車被黑客挾持而造成嚴重后果的畫面。

?因違法違規(guī)收集個人信息192個App被責令改正

公安部網站近日消息，今年第一季度，全國公安機關網安部門充分發(fā)揮職能作用，加大公民個人信息保護力度，依法查處違法違規(guī)收集公民個人信息App服務單位386個，涉及信息咨詢、輔助學習、文學小說、新聞資訊、娛樂播報等多個類型。其中，97個App被予以行政處罰，192個App被依法責令改正違法行為，51個App被下架、停運，有效保護了公民個人信息。其中十大案例涉及“獵豹清理大師”、“印象筆記”、“好孕幫”、“不背單詞”、“哈弗智家”、“完美校園”、“天然工坊”、“隨手借”、“每日瑜伽”、“Paintly”等App。

獵豹清理大師”App（版本號：6.13.5.1066）。經查，該款App的隱私協(xié)議中對于索取用戶通訊錄、通話記錄等權限的行為沒有進行詳細說明。北京市公安局朝陽分局已依法責令該公司改正違法行為。

?Zerodium宣布暫停購買iOS漏洞：因參與黑客數量過多

近日，第三方漏洞收購平臺Zerodium宣布，由于短期內提交的iOS漏洞利用程序太多，其計劃在未來 2-3 個月內不再購買這類漏洞。比如，iOS 本地提權、Safari遠程執(zhí)行代碼或沙箱漏洞等。

這一舉措或許會導致iOS漏洞價格走低，對于iOS系統(tǒng)的安全性來說，或許并不是一件好事。蘋果最大的一個賣點則是iOS的安全性，但是Zerodium的CEO Chaouki Bekrar卻表示：iOS的安全性還是值得擔憂的，并且持續(xù)有一些影響所有iPhone和iPad的零日漏洞利用出現，希望iOS 14的安全會進一步改善。

Jalf Security首席安全研究員、Objective-See創(chuàng)始人Patrick Wardle認為，此次聲明一方面反映了iOS安全性的真實狀態(tài)，另一方面可能也是想要掀一掀漏洞市場的波浪。但是見微知著，對于iOS安全研究人員來說，這一舉措或許并不讓人驚訝。