各位早上好，今天是2019年4月1日星期一。今天的內(nèi)容主要有：

• 沙特政府從亞馬遜CEO貝索斯手機(jī)獲取到個(gè)人數(shù)據(jù)；

• 新發(fā)現(xiàn)的HTTPS漏洞可能會(huì)使您的數(shù)據(jù)暴露在外；

• 偷看日歷？9款A(yù)PP涉嫌過度獲取權(quán)限；

• 研究人員演示英特爾VISA漏洞；

• 前員工指控蘋果：Apple News+自動(dòng)續(xù)訂違反App Store規(guī)則；

• 芬蘭兩所監(jiān)獄內(nèi)服刑人員嘗試新型勞役：訓(xùn)練AI算法。

沙特政府從亞馬遜CEO貝索斯手機(jī)獲取到個(gè)人數(shù)據(jù)

安全主管加文·德貝克爾（Gavin De Becker）在周六表示，沙特政府黑入了亞馬遜首席執(zhí)行官杰夫·貝索斯（Jeff Bezos）的手機(jī)并獲取到了個(gè)人數(shù)據(jù)。

貝索斯先前曾要求德貝克爾調(diào)查《國家問訊報(bào)》是如何獲取到其與電視主持人勞倫·桑切斯（Lauren Sanchez）發(fā)送的私密信息一事。在二月被曝出的新聞中，貝索斯指控這家小報(bào)的母公司AMI曾試圖敲詐他，威脅其如果不公開聲明這家小報(bào)的報(bào)道無任何政治動(dòng)機(jī)，便會(huì)將這些不雅照片公之于眾。

AMI堅(jiān)持表示，自己的報(bào)道均是合法的。德貝克爾表示自己在完成調(diào)查之后，非常確信“沙特曾經(jīng)黑入貝索斯的手機(jī)并獲取了個(gè)人信息”。

沙特方之前回應(yīng)，自己與《國家問訊報(bào)》報(bào)道貝索斯一事毫無任何關(guān)系。德貝克爾表示自己已經(jīng)將調(diào)查結(jié)果交給了聯(lián)邦官員。沙特大使館以及AMI尚未回應(yīng)置評請求。

新發(fā)現(xiàn)的HTTPS漏洞可能會(huì)使您的數(shù)據(jù)暴露在外

意大利威尼斯CA’Foscari大學(xué)和奧地利Tu Wien大學(xué)的研究人員發(fā)現(xiàn)，超過10000個(gè)使用HTTPS的頂級網(wǎng)站仍然容易受到傳輸層安全漏洞的攻擊。

HTTPS（超文本傳輸協(xié)議安全）在幾年前取代了HTTP，目前大多數(shù)頂級網(wǎng)站都在使用它，但是發(fā)現(xiàn)它仍然不安全。 HTTPS應(yīng)該保護(hù)用戶免受中間人攻擊，并且不允許黑客訪問您的密碼，歷史記錄和其他數(shù)據(jù)。

當(dāng)用戶訪問這些網(wǎng)站時(shí)，HTTPS的綠色掛鎖鎖仍然會(huì)出現(xiàn)在地址欄中。TLS中的錯(cuò)誤很難被檢測到，但它們?nèi)匀淮嬖?，攻擊者可以使用這些漏洞來解密來自cookie的信息。雖然cookie不會(huì)向攻擊者提供任何敏感信息，但還有其他缺陷。攻擊者可以訪問瀏覽器和服務(wù)器之間交換的幾乎所有數(shù)據(jù)。

偷看日歷？9款A(yù)PP涉嫌過度獲取權(quán)限

不久前上海消保委針對網(wǎng)購平臺(tái)、旅游出行、生活服務(wù)等39款手機(jī)APP進(jìn)行了涉及個(gè)人信息權(quán)限的評測，主要包括四個(gè)方面：App所使用的目標(biāo)API級別、App敏感權(quán)限的數(shù)量、敏感權(quán)限的授權(quán)方式（是否存在一攬子授權(quán)），及查看是否存在無實(shí)際功能對應(yīng)用的權(quán)限申請。

結(jié)果發(fā)現(xiàn)，15款網(wǎng)購平臺(tái)類APP中10款存在問題，13款旅游平臺(tái)類APP中7款有問題，11款生活平臺(tái)類APP中8款有問題。

截止3月23日，仍有9款“頭鐵”應(yīng)用沒有改進(jìn)其權(quán)限功能。這9款應(yīng)用分別為：聚美優(yōu)品(v7.951)，貝貝(v8.2.01)，窮游(v9.2.0)，TripAdvisor貓途鷹(v29.4.1)，神州租車(v6.4.4)，一嗨租車(v6.2.1)，餓了么(v8.13.1)，百度糯米(v8.4.7)，格瓦拉生活(v9.5.0)。

這些APP向用戶索要了發(fā)送短信、錄音、撥打電話、讀取聯(lián)系人、監(jiān)控外撥電話、重新設(shè)置外撥電話的路徑、讀取通話記錄等敏感權(quán)限，除此之外，部分APP還會(huì)申請獲取用戶日歷權(quán)限。

平臺(tái)方解釋稱如果上有搶購活動(dòng)，消費(fèi)者點(diǎn)擊“關(guān)注”，就會(huì)將信息放在日歷中，搶購前可以提醒。相關(guān)技術(shù)專家表示這個(gè)功能完全可以通過后臺(tái)的信息推送等別的途徑來實(shí)現(xiàn)，根本不需要獲取日歷權(quán)限。而一旦獲取了日歷權(quán)限，就可能獲取用戶更多隱私。

事件曝光后，目前，一嗨租車、格瓦拉、餓了么已回應(yīng)并刪除了相關(guān)功能。

研究人員演示英特爾VISA漏洞

在本周舉行的 Black Hat Asia 會(huì)議上，安全研究人員演示了利用Visualization of Internal Signals Architecture (VISA)查看芯片內(nèi)部工作過程。

VISA是被稱為Trace Hub的調(diào)試接口之一，它本身沒有安全漏洞，但將它與其它提權(quán)漏洞組合利用，攻擊者可以了解芯片組的內(nèi)部工作，因此這個(gè)漏洞主要對想了解內(nèi)部原理的研究人員和芯片設(shè)計(jì)師有用。

前員工指控蘋果：Apple News+自動(dòng)續(xù)訂違反App Store規(guī)則

一位前蘋果員工指責(zé)蘋果公司對第三方應(yīng)用開發(fā)者制定了嚴(yán)苛的App Store規(guī)則，但最新推出的Apple News+服務(wù)卻可以任意違反。

開發(fā)者Dave DeLong在推特上解釋稱蘋果的自動(dòng)續(xù)訂訂閱屏幕違反了App Store的第3.1.2細(xì)條，因此這APP應(yīng)該被拒絕通過。

根據(jù)蘋果官方自己制定的政策，訂閱服務(wù)必要提供包括訂閱名稱、持續(xù)時(shí)間、提供給客戶的內(nèi)容或者服務(wù)的信息、應(yīng)用程序使用條款的鏈接、用戶收費(fèi)方式的信息以及可以管理訂閱等。

而Apple News +訂閱屏幕上確實(shí)缺少這些內(nèi)容，從技術(shù)角度來說應(yīng)該拒絕上架App Store的。

芬蘭兩所監(jiān)獄內(nèi)服刑人員嘗試新型勞役：訓(xùn)練AI算法

獄中勞役”通常與體力活動(dòng)相關(guān)，但是芬蘭兩所監(jiān)獄內(nèi)的服刑人員卻在嘗試一種新型勞役：歸類數(shù)據(jù)，從而訓(xùn)練一家初創(chuàng)企業(yè)的人工智能算法。

盡管這家初創(chuàng)企業(yè)Vainu認(rèn)為這種合作形式是一種傳授有價(jià)值技能的勞役改革，但是不少專家認(rèn)為這種做法剝削了服刑人員的勞動(dòng)力，因?yàn)榍舴傅男劫Y待遇都非常低。

Vainu與監(jiān)獄達(dá)成合作已有三個(gè)月時(shí)間。目前合作的兩所監(jiān)獄分別位于赫爾辛基以及圖爾庫。Vainu向這些監(jiān)獄運(yùn)送了10臺(tái)電腦，并將根據(jù)服刑人員完成任務(wù)的情況向刑事制裁機(jī)構(gòu)（Criminal Sanctions Agency）支付費(fèi)用。目前只有不到100名服刑人員參與這項(xiàng)工作，每天工作時(shí)間為幾個(gè)小時(shí)。

盡管Vainu的聯(lián)合創(chuàng)始人托馬斯·萊斯利認(rèn)為這種技能也許適用于未來，但他也承認(rèn)這些任務(wù)都是“零學(xué)習(xí)曲線”，只需要識字即可，這就不免讓人開始質(zhì)疑該技能的用處。加州大學(xué)洛杉磯分校的信息科學(xué)教授薩拉·羅伯特（Sarah T. Roberts）表示，“這種類型的工作往往只是死記硬背、技術(shù)含量低的重復(fù)性工作”，且不需要具備任何高水平的技能。

資料來源網(wǎng)絡(luò)，華星網(wǎng)絡(luò)工作室（HXNW-SZ）整理上傳！