在许多 Chrome 扩展开发者成为钓鱼攻击的目标之后， Google 安全团队向他们发出了安全警告。这波钓鱼攻击始于六月中旬，直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ，攻击者推送更新在扩展中加入广告后才被人所熟知。攻击者诱骗开发者的钓鱼邮件内容类似，都是伪装成来自 Google，通知扩展开发者他们的扩展违反了 Chrome Web Store 的规则，需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录，开发者在大意之下就可能会将账号泄漏给攻击者。

智能锁厂商 Lockstate 更新固件时将部分客户联网的智能锁变成了砖头，客户无法再利用内置的键盘输入密码解锁，但物理形式的钥匙还能使用。Lockstate 的智能锁在 Airbnb 屋主中间非常受欢迎，屋主可以只向住户提供密码而不是分享钥匙。Lockstate 还是 Airbnb 的合作伙伴。客户的锁被刷成砖后，固件无法再远程更新，他们要么将锁寄回厂商更新固件，要么更换锁，两种方式都需要比较长的等待时间。Lockstate 表示将会支付运费，并向受影响的客户免费提供一年的 Lockstate Connect 订阅服务。Lockstate 称它不小心将 7i 型号的固件推送给了 6000i 型号的客户。

华盛顿大学的一组研究人员将在 USENIX 安全会议上展示他们的的研究：将恶意程序编码到物理的 DNA 链中，在测序仪扫描 DNA 链时入侵和控制计算机系统（论文PDF）。虽然这种攻击方法离实用还很遥远，但研究人员表示随着时间的迁移它将会越来越具有实用性，因为 DNA 测序将会日益常见。研究人员采用的方法是在测序仪将物理 DNA 数据转换到数字格式过程中植入缓冲溢出漏洞，他们没有利用现有的软件漏洞，而是把自己修改的代码插入进去创造出缓冲溢出。

Salesforce 解雇了上个月在拉斯维加斯安全会议 Defcon 上发表演讲的两名安全研究员 Josh Schwartz 和 John Cramb。两人是 Salesforce 的红队成员，也就是其任务是对公司网络发动攻击寻找漏洞测试网络防御。但两人走下拉斯维加斯的舞台后就被立即遭到解雇。公司的一名高管（Jim Alkove）曾在演讲前半小时向两人发短信要求他们不要演讲，但他们在演讲结束之后才看到短信内容。两人的演讲内容是一个模块化恶意程序框架 MEATPISTOL，之前已经得到了公司高管的批准，两名安全研究人员准备在演讲之后将其开源，以供其他公司的红队使用。Salesforce 的高管要求他们不要公开发布该工具。

密码组合大小写、数字和特殊字符，需要定期更改，这些要求来自于《NIST Special Publication 800-63. Appendix A》，被美国联邦机构、大学和大型企业广泛采用。现在该规则的“始作俑者”对浪费我们的时间定期改变密码表达了后悔之意（付费墙）。NIST 前不久修改了规则，不再要求定期修改密码，因为研究显示，频繁的更改密码没有预想的效果，达不到保护密码安全的目的。 Bill Burr 在 2003 年撰写该规则时是 NIST 的一位中层经理，他表示大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下，比如 Pa55word!1 改为 Pa55word!2，完全起不到保护作用，很容易被猜出。他对此表示后悔，称这一要求对大多数人来说太复杂，是“找错了对象”。然而在 2017 年，仍然有许多企业继续采用这一过时的要求。

在 Mozilla 、Google 和苹果之后，微软宣布它的浏览器 Internet Explorer 和 Edge 将停止信任奇虎 360 旗下 CA 机构沃通和 StartCom 签发的新证书。微软称，中国 CA 沃通和 StartCom 未能保持 Trusted Root Program 所要求的标准，它被观察到使用了不可接受的安全实践，包括倒填 SHA-1 证书日期，错误签发证书，重复的证书序列号，多次违反 CAB Forum Baseline Requirements (BR) 的规定。微软计划在 9 月 26 日之后停止信任沃通和 StartCom 的新证书，Windows 10 也将停止信任 9 月之后签发的新证书。

在输入一个流行网站的域名时，有时候输错一个字母后浏览器会导向到一个完全不同的网站。这种做法叫 URL 劫持 / 误植域名。在云时代，开发者常常会直接使用其他人写的程序。Node.js 项目的 NPM 是世界上最大的包管理器，其中的流行软件包每天都有无数人下载。官方博客透露了有恶意攻击者利用类似 URL 劫持的方法使用名字相似性传播恶意程序。名叫 hacktask 的用户在 7 月 19 日上传了与流行软件包名字相似的包，有意利用打字错误传播恶意程序。大约 40 个软件包目前已经全部移除，这名用户的电子邮件已被屏蔽。恶意软件包中下载量最大的是 crossenv，其名字类似流行的 cross-env。NPM 表示将会采取措施阻止类似的攻击。

HTTPS 能为互联网提供最基本的隐私和完整性。安全研究人员和浏览器开发商正致力于推动 HPPTS 的普及，如 Let’s Encrypt CA 项目已经签发了超过 1 亿个证书。但普及 HPPTS 的进展究竟如何了呢？Google、Mozilla 和思科的研究人员发表了一份研究报告（PDF），根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web 服务器的扫描，发现 HTTPS 在过去几年的增长显著，仅 2016 年一年 HTTPS 占桌面浏览的比重增加了 10 个百分点，主要网站默认启用 HTTPS 的数量在 2017 年初到 2016 年初之间翻了一番，但最受欢迎的网站中默认启用 HTTP 的仍然占一半，移动浏览则落在了桌面浏览后面，而东亚国家的 HTTPS 普及度显著低于世界其它地方。东亚的中国、韩国和日本有着非常低的 HTTPS 使用率，世界其它地方只有伊朗的 HTTPS 使用率与东亚类似。这一情况令人费解。中国的低 HTTPS 使用率可能与防火长城有关，但日本和韩国显然不是，是文化方面（比如不关心隐私），还是技术方面，或者是遗留基础设施或法律方面的问题？研究人员认为为了促进该地区的 HTTPS 普及首先需要弄清楚这一现象的原因。

匿名读者 写道 "奇虎 360 旗下的 StartCom 在去年被发现签发假证书后被各种浏览器厂商取消了信任。但研究人员发现 StartCom 的中间证书获取了法国根证书 Certinomis 的交叉签名，从而逃避了浏览器厂商的限制。而这些逃避限制的 StartCom 中间证书已经颁发了很多不符合基本要求 (BR) 的 HTTPS 网站证书。 火狐正在考虑将这些 StartCom 的中间证书取消信任，欢迎大家去火狐的论坛发表意见。"

英国安全研究员 Marcus Hutchins，aka MalwareTech，今年早些时候发现 WannaCry 的关闭开关阻止了该 勒索软件的进一步传播而被视为一位安全领域的英雄，但本周他在准备离境美国时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos，他的逮捕与上个月暗网市场 AlphaBay 的关闭有关。美欧执法机构扣押了 AlphaBay 的服务器，获取了该市场用户的大量信息。在起诉书（有涂改）中，此案的另一名共同被告在 AlphaBay 上出售了恶意程序。Hutchins 出席了上个月在拉斯维加斯的 Def Con 安全会议，他是在机场准备离开时被捕的。他的母亲及同行对此都倍感震惊。

HardenedLinux 写道 "Green Hills 的 Dan O’Dowd 于 2004 年发表的名为 Linux in Defense 的系列文章通过一系列的分析试图向公众解释为什么 Linux 内核不适合一些场景特别是国家防御，在第一篇 ( FAA Safety-critical Certified Operating Systems Deliver The Reliability and Security Required by Defense Systems; Linux Does Not) 文章中谈到了大众认为 Linux 内核作为通用操作系统可以用到除了桌面和服务器外的场景比如国家防御系统，Dan 认为不应该考虑在 FCS(陆军未来战士系统)，JTRS(联合战术) 以及 GIG 中使用 Linux，对关于高安全性系统方面提出了探讨： 查看全文

安全研究人员在多个汽车品牌使用的电子控制单元组件中发现了两个安全漏洞。存在漏洞的电子控制单元使用的是 S-Gold 2 (PMB 8876)基带芯片。受影响的汽车包括宝马在 2009-2010 之间生产的多个型号，福特使用旧型号 2G Modem 的少量 P-HEV 汽车，英菲尼迪的多个型号，尼桑 2011-2015 年生产的 Leaf。两个漏洞都属于缓冲溢出，其中一个攻击者需要物理访问汽车才能利用，但另一个能被远程利用。研究人员是在 DEF CON 安全会议上公布他们的发现的。

安全桌面操作系统 Qubes OS 发布了 4.0 的首个预发布版。Qubes 的每一个应用程序都运行在各自的沙盒中，一个程序有安全漏洞不会影响到其它程序。新版的主要变化包括：完全重写了 Qubes Core Stack，新的 Qubes Core Stack 允许开发者更容易扩展架构，能提供旧架构上难以提供的功能，比如新的 Qubes Admin API，简化了一次性 VM 的定制和灵活性；更灵活更达意的策略定义，灵活的 VM 卷管理器；简化了 Qubes 特定应用和服务的开发；更好的隔离全虚拟化的 VM；重写了 UX/UI，等等。

黑客入侵了 HBO 的内部网络，窃取了大约 1.5 TB 数据，泄漏了多部尚未上映的剧集，以及《权力游戏》下周的剧情剧本。HBO 证实它遭到了网络攻击，表示正与执法机关和网络安全公司合作调查此事。据《娱乐周刊》报道，黑客泄漏了尚未上映的《Ballers》和《Room 104》的剧集。黑客还公布了尚未上映的第七季第四集《权力游戏》剧本，表示未来会公布更多信息。这不是好莱坞工作室第一次遭到黑客攻击，去年底自称 The Dark Overlord (TDO) 的黑客或黑客组织尝试勒索好莱坞工作室 Larson Studios。

Chrome 和Firefox 扩展 Copyfish 的开发者发出安全警告，他们遭到了针对性的钓鱼攻击，团队成员不小心在钓鱼页面输入了密码，攻击者随后劫持了 Copyfish for Chrome 的账号，将 Copyfish 转移到他们控制的账号，并释出了恶意更新，在用户浏览的页面插入广告。Copyfish for Firefox 扩展没有受到影响。开发者尝试联系了 Google，但至今没有接触到任何能提供帮助的活人。攻击者被认为来自俄罗斯圣彼得堡。

在拉斯维加斯举行的 Black Hat 安全会议上，阿里巴巴安全部门的研究人员演示了用声音和超声攻击依赖于来自陀螺仪、加速度计等微机电系统传感器输入信号的智能设备。这种声音武器在理论上可以让无人机坠落、让机器人发生故障，让虚拟现实和增强现实软件失去方向感，让用户从平衡板上摔倒下来，它潜在的还可用于攻击自主驾驶汽车或干扰汽车的安全气囊传感器。大多数商用陀螺仪都是音叉式陀螺仪，如果外源振动与陀螺仪的共振频率相匹配，会导致传感器向设备发送错误的数据。通过将声音信号调谐到微机电系统的共振频率，研究人员演示他们能让传感器失效或发送致命数据，导致依赖传感器的设备和软件发生故障。阿里巴巴的研究人员演示了对 iPhone 7、三星 Galaxy S7、深圳大疆无人机、虚拟现实显示器、小米电动平衡板等设备的攻击。

本周在拉斯维加斯举行的 Def Con 安全会议上， SparkFun Electronics 的黑客利用廉价的机器人在半小时左右时间里破解了 SentrySafe 的保险箱。机器人能将保险箱的密码可能组合数从 1 百万减少到 一千，然后自动快速尝试直至破解。利用 3D 打印组件，200 美元的机器人可以匹配大多数品牌的保险箱。黑客利用了保险箱数字表盘的凹槽大小和设计允许的误差范围来大幅降低密码的可能组合数。

开源自由软件 IDS/IPS/NSM(入侵检测/防御系统/网络安全监视) 项目 Suricata 释出了 4.0 版。主要新特性包括：加入和改进了检测 HTTP、SSH 等协议的规则关键字，支持 STARTTLS，解密 TLS 证书序列号、使用 Rust 语言重新实现了部分功能，对 Rust 的支持仍然处于实验阶段，更新 TCP 流引擎，等等。

韩国金融研究机构 Korea Financial Security Institute 发表报告称，朝鲜的网络军队已分化成多个组织，正在进行有协调的网络攻击，且越来越多的攻击旨在将被盗窃的资金转移至朝鲜。上述情况标志着朝鲜军方网络攻击模式的一个重大转变，此前其发动的攻击主要使为了获取军事信息、破坏网络稳定或进行恐吓。这也体现出在当前受制于金融制裁措施的情况下，朝鲜发展迅速但成本高昂的核导弹项目的资金需求正在加速上升。

微软宣布了 Windows bug 悬赏计划，奖金金额最低 500 美元，最高 25 万美元。自 2012 年以来，微软推出了多个针对不同 Windows 特性的 bug 悬赏计划，最新的活动针对的是 Windows 10 及其内部预览版，以及 Hyper-V、Mitigation bypass、Windows Defender Application Guard 和 Microsoft Edge，其中 Hyper-V 的赏金最高。微软称，如果安全研究人员报告了一个已被微软内部发现的漏洞，那么奖金将是可能获取到的最高奖金的十分之一。