FreeBuf早报 | 研究员发现十几个Wi-Fi设计和实施缺陷；新型钓鱼木马曝光

全球动态

1. 苹果蓝牙追踪器AirTag已被研究人员破解

苹果上个月发布的名为AirTag的蓝牙追踪器，可以帮助人们跟踪错放位置的物品。但最近AirTag被攻击者发现存在安全问题，可以被攻击者利用修改设备固件。[阅读原文]

2. 为应对供油中断，美国17个州和哥伦比亚特区宣布进入紧急状态

由于Colonial Pipeline公司供油中断造成短缺，美国联邦汽车安全管理局（FMCSA） 在17个州和哥伦比亚特区发布了紧急声明，允许汽油、柴油和精炼石油产品的替代运输。 [外刊-阅读原文]

3.美国情报机构警告5G网络不足

5月10日，美国国家安全局（NSA）与国家情报总监办公室（ODNI）和国土安全部（DHS）的网络安全和基础设施安全局（CISA）联合发表分析，称电信标准执行不力、供应链威胁和系统架构的弱点会给5G网络带来重大网络安全风险。[外刊-阅读原文]

4.Outlook邮箱bug导致无法查看或创建电子邮件

11日发布Microsoft Outlook邮箱PC版更新出现了bug，导致用户无法创建或查看邮件。[外刊-阅读原文]

5.德国监管机构禁止Facebook使用WhatsApp用户数据

12日，德国汉堡数据保护和信息自由专员（HmbBfDI）禁止Facebook在接下来的三个月中处理WhatsApp用户数据。[外刊-阅读原文]

6. 勒索软件组织泄露美国华盛顿警察局数据

在交付赎金时限过去之后，Babuk勒索软件组织已经泄露了他们所持有的华盛顿警察局警官的个人信息。[外刊-阅读原文]

安全事件

1. Adobe修复了在野外被利用的Reader 0day漏洞

11日，Adobe发布补丁程序更新程序，修复了十二种不同应用程序中的漏洞，其中包括一个被积极利用的Adobe Reader漏洞。 [外刊-阅读原文]

2. 细思极恐！你家电视有可能正在扫描家庭所有联网设备… …

近日有网友反映，在使用创维电视时，发现电视每10分钟就扫描一遍所有的联网设备，用户的主机名、MAC地址和IP地址甚至周边邻居的wifi名称等隐私信息都被打包发送到了一家名为“勾正数据”的企业。[阅读原文]

3. 企业被勒索后应不应该付赎金？白宫官员这样说

美国联邦调查局（FBI）一直反对支付赎金，称这会鼓励更多此类攻击。美国白宫也就企业应不应该支付网络勒索赎金展开辩论。[外刊-阅读原文]

4. 研究员发现十几个Wi-Fi设计和实施缺陷

12日消息，据安全研究员Mathy Vanhoef称，十几个Wi-Fi设计和实施缺陷使不法分子有可能窃取传输数据并绕过防火墙攻击家庭网络中的设备。[外刊-阅读原文]

5. 新型Smishing钓鱼木马曝光：冒充Chrome窃取用户信用卡信息

网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动，该活动利用网络钓鱼技术窃取受害者的信用卡信息，并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体，发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。[阅读原文]

6. 代码签名证书新要求：最小密钥长度将于6月增强至3072位

近日，CA/B论坛对代码签名证书提出新要求：从2021年6月1日起，代码签名证书的最小密钥长度将从2048位增强至3072位。[阅读原文]

优质文章

1. 从美某管道运营商被勒索事件浅谈安全行业

安全行业在未来的5-10年时间将是一个全新的发展和黄金时期，未来安全行业将会成为一个以服务为主的行业，安全即服务。[阅读原文]

2. 内网渗透测试：发送NTLM请求与截获Net-NTLM Hash

通过控制内网主机发送 NTLM 请求，我们可以使用 responder 等工具截获主机用户的 Net-NTLM Hash，此 Hash 虽然不能进行哈希传递，但是有了Net-NTLM Hash之后，我们可以对 Net-NTLM Hash 进暴力破解、或重放，从而实现内网的横向渗透。[阅读原文]

3. 智库说 | 李洋博士：金融业数据安全实践及思考

数据的安全或者说数据治理在未来3~5年依旧会是热点。因为金融行业会从信息化到数字化和智能化发展，未来再往智慧化发展，而数据一定是越来越多。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。