最新版 uTorrent 客户端被多个杀毒引擎标记为“潜在有害应用程序”。uTorrent 背后的 BitTorrent 公司去年被中国区块链公司波场收购。标记 uTorrent 和 BitTorrent 客户端的 10 个杀毒引擎包括 Microsoft Defender、Sophos、Eset Nod32、GData 和 Dr.Web。被标记并不意味着该程序就是恶意程序，也可能是误报，或者与其捆绑的组件有关。uTorrent 客户端从 2012 年起开始引入难以关闭的广告功能，因此很多用户继续使用最后一个不含有广告的版本——即 uTorrent 2.2.1。

安全研究人员发现了一个漏洞允许攻击者劫持 VPN 连接。漏洞存在于使用 Weak Host Model 的 TCP/IP 协议栈，主要影响同一子网络中的 VPN 连接，比如同一个 WiFi 网络。在测试中，研究人员劫持了访问他们控制的无线网络的 VPN 连接。因为漏洞与 TCP/IP 协议栈相关，它影响 Linux 发行版，BSD 发行版、macOS、iOS 和 Android，对 OpenVPN、WireGuard 和 IKEv2/IPSec 都有效。

微软安全研究人员使用一个包含 30 多亿遭泄漏的用户名和密码数据库扫描了微软服务用户账号，发现多达 4400 万用户使用已泄漏的用户名和密码。4400 万账号中有 Microsoft Services Accounts 和 Azure AD 账号。这次扫描帮助用户识别出在不同服务之间重用用户名和密码的用户。微软表示，在发现重用泄漏的密码之后，它会强迫密码重置。对于企业级客户，微软会警告管理员。

在 2015 年 GitHub 之后，LIHKG 成为最新一个遭到网络大炮攻击的网站。AT&T Cybersecurity 发表报告称，访问两个流行 JS 脚本 http://push.zhanzhang.baidu.com/push.js 和 http://js.passport.qihucdn.com/11.0.1.js 的请求有一定比例遭到劫持，被替换为恶意脚本向 LIHKG 发动 DDoS 攻击。如果这两个脚本地址使用了 HTTPS，那么劫持将不会发生。在今年 8 月的攻击高峰，LIHKG 的每小时请求数超过了 15 亿次。

IBM 的安全部门 X-Force 披露了一种新的数据删除恶意程序被用于对中东企业发动破坏性攻击。该恶意程序被称为 ZeroCleare，被认为是多个伊朗黑客组织协作行动的一部分。攻击的初始阶段从阿姆斯特丹 IP 地址发动，该 IP 与伊朗黑客组织 TG13 Group aka Oilrig 和 APT34 有关联。攻击者通过暴力破解攻击窃取目标的网络账号，利用一个 SharePoint 漏洞向 SharePoint 植入 web shell，尝试安装 TeamViewer 远程访问工具，使用修改版的 Mimikatz 窃取更多网络凭证。渗透到企业网络之后，攻击者开始传播 ZeroCleare 恶意程序，在被感染的机器上覆写主引导记录和硬盘分区。受害者主要位于被伊朗视为竞争对手国家的能源和工业部门。

Python 安全团队从 PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建，利用名字相似的方法去模仿已知的流行库：python3-dateutil 试图模仿流行的 dateutil 库，jeIlyfish 模仿 jellyfish 库。德国开发者 Lukas Martini 上周日发现了这两个恶意库，在通知安全团队之后它们被立即移除。Martini 称，恶意代码只存在于 jeIlyfish 中，python3-dateutil 本身不包含恶意代码，但它会导入 jeIlyfish 库。dateutil 开发团队成员 Paul Ganssle 分析后认为，恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥，然后发送到一个 IP 地址。

智能电视正逐渐进入到千家万户，和许多能联网设备一样，厂商并没有将安全放在最重要的位置，它的安全漏洞为黑客打开了一扇窥视之窗，而很多智能电视还配备了摄像头和麦克风。FBI 就智能电视的安全性向消费者发出了警告。FBI 称，除了电视厂商和应用开发者可能会监听和监视你之外，黑客也可能潜入进来。黑客可能不会直接访问你锁定的计算机，但不安全的电视可会其提供了方便之门。黑客可能会控制不安全的智能电视，而最糟糕的情况是会控制摄像头和麦克风进行监听和监视。

安全公司 Promon 的研究员披露了一个正被利用的 Android 漏洞 StrandHogg，恶意程序能利用该漏洞窃取用户的银行账号。漏洞存在于名为 TaskAffinity 的多任务功能中，它允许应用假定多任务环境中运行的其它应用或任务的身份。恶意程序可利用该功能设置它的一个活动去匹配信任第三方应用的包名字。组合其它欺骗方法恶意应用可以劫持目标任务，请求权限去执行敏感任务如记录音频、拍摄照片、阅读短信，或钓鱼登录凭证。安全研究人员发现了 36 个恶意应用正在利用该漏洞，其中包括了窃取银行账号的恶意应用，部分应用甚至进入 Google Play 官方市场。Google 在接到报告之后已经下架了相关应用，但影响所有 Android 版本的这一漏洞尚未修复。

深圳手机制造商一加在官方论坛发布了安全警告，称未经授权的第三方访问了部分客户的订单信息，表示支付信息、密码和账号都安全，但部分用户的名字、联系电话和运货地址都可能暴露，可能导致用户收到广告和钓鱼邮件。一加称它立即采取措施阻止了入侵者并加强了安全，通知了受影响的用户，表示将竭尽所能防止类似的事故再次发生。这不是一加第一次发生安全事故，因此用户在论坛上回应说，一加并没有吸取上一次事故的教训。上一次事故发生在 2017 年 11 月中旬到 2018 年 1 月 11 日，它的网站支付页面被植入脚本窃取用户的信用卡信息。

Google Project Zero 官方博客详细描述了一个 Android 0day 漏洞 Bad Binder 的发现和修复过程。补丁已包含在 10 月份 Android 的安全更新中，如果你的手机安全补丁程序级别为 2019 年 10 月，那么问题已被修复。Project Zero 开发者称，在夏末他们收到情报称以色列间谍软件开发商 NSO 正在利用一个 Android 0day 漏洞在目标设备上安装间谍软件 Pegasus。这是一个内核提权释放后使用漏洞，影响 Pixel 1 和 2，但不影响 Pixel 3 和 3a，它在内核版本 Linux kernel 4.14 中已经修复。利用这些情报安全研究人员很快识别了漏洞。该漏洞最早是在 2017 年 11 月发现和报告的，2018 年 2 月修复，在 Linux 4.14、Android 3.18、Android 4.4 和 Android 4.9 内核中修复，但没有包含在每月的 Android 安全通报中，因此很多已发布设备如 Pixel 和 Pixel 2 都没有打上补丁。

HardenedLinux 写道 "CSIS（云安全行业峰会）是一个致力于打造云安全最佳实践的组织，由包括跟云安全生态有关的厂商组成，经过了数月的努力，终于于2019年10月27日完成了安全固件开发最佳实践v1.1版本，这个版本由于排版问题还没有更新到CSIS网站，这个版本对服务器会遇到的各种固件进行了威胁建模和风险评估，包括BMC，coreboot，Option-ROMs，UEFI以及外设固件。HardenedLinux社区也有参与这一版的评估和讨论工作，Hardening the COREs中可信计算方案的大部分的场景是基于coreboot的定制版本，而随着基于coreboot的RAMSTAGE的Intel TXT的版本正式开源，基于自由固件打造完整可信计算方案成为了可能。另外，这也是第一次CSIS在安全固件最佳实践中推荐coreboot。"

随着假日季临近，美国洛杉矶县地方检察官办公室提醒旅客，注意 “USB 充电座诈骗”。当人们将电子设备插入已经加载了恶意软件的 USB 接口或 USB 数据线时，就有可能出现个人信息泄漏的情况。恶意软件会通过这些端口感染你的设备，让黑客有机可乘。他们可以借此读取和导出你的数据，包括你的密码，甚至可以对设备上锁，让它们变得无法使用。 BitDefender 网络安全专家 Liviu Arsene 说，USB 充电座诈骗利用的就是人们的设备没电的状况。他警告说，不要使用已经插在充电站里的 USB 数据。

作为尝试改善安全记录和形象的一部分，Uber 将允许巴西和墨西哥的乘客和司机记录打车过程中的音频，该公司还计划将该功能引入到美国等地。Uber 将于 12 月份在巴西墨西哥测试该功能，给予客户选择去记录所有或部分车程。录音将加密保存在乘客和司机的手机上，以保护隐私，用户无法听取录音。如果想举报问题，他们可以与拥有密钥的 Uber 共享录音。中国的打车软件公司滴滴早已引入类似的功能，滴滴甚至还加入了面部识别和社会信用。

门罗币官网被黑，命令行钱包程序被替换为恶意版本。GetMonero 网站用户本周一报告，官网提供的命令行钱包软件的哈希值与网站提供的哈希值列表不符。用户还发现软件设计用恶意程序感染用户。GetMonero 网站之后证实遭到攻击。它发表声明，强烈建议任何在 11 月 18 日 2:30 AM UTC 到4:30 PM UTC 之间下载命令行钱包软件的用户核对下哈希值，如果不匹配，删除并重新下载，不要以任何理由运行被感染的程序。对恶意程序的分析显示，当用户打开或创建钱包时会将钱包种子发送到服务器 node.hashmonero[.]com，然后将钱包里的数字货币发送到服务器 node.xmrsupport[.]co 和 45.9.148[.]65。一位 Reddit 用户称钱包里价值 7000 美元的数字货币失窃。

Have I Been Pwned 维护者 Troy Hunt 称，加密钱包服务 GateHub 和游戏网站 EpicBot 的 220 万用户密码数据在网上公开。GateHub 被公开的数据库有 140 万账号，共 3.72GB，还包含了二步认证密钥，帮助记忆的短语，以及钱包哈希。EpicBot 数据库有 80 万账号，包含了用户名和 IP 地址。Gatehub 此前承认网站遭到入侵，数据库被非法访问，表示受影响的账号为 18,473 个。但最新公开的数据库显示入侵规模比之前认为的要大得多，账号数量多达 140 万而不是 1.8 万。

微软官方博客宣布，Windows 将支持 DNS over HTTPS（DoH），加密 DNS 流量以保护用户隐私。微软称，提供加密 DNS 支持而不破坏已有的 Windows 管理配置并非易事，但微软相信应该将隐私视为一种人权，因此必须内置端对端网络安全。微软认为加密 DNS 有助于让整个互联网生态系统变得更健康。微软称他们寻求让用户能使用他们想要的任何协议，Windows DNS 客户端未来会提供选项支持 DNS over TLS (DoT) ，但当前的优先任务是支持 DoH，因为它可以重用现有的 HTTPS 基础设施，可以更快提供给用户。微软表示提前宣布支持 DoH 是为了让它的意图尽可能早的传达给用户。

一种假的广告屏蔽应用正在用广告轰炸用户，而让许多用户沮丧的是不知道怎么卸载它。名叫 Ads Blocker 的应用利用了多种技巧偷偷的持续用广告轰炸用户。首先它简单要求用户权限在其它应用上显示，其次它要求设置 VPN 连接监视网络流量，第三它寻求权限在主屏添加 widget。申请 VPN 连接是部分合法广告屏蔽工具的标准要求， 但这允许 Ads Blocker 一直在后台运行，组合在其它应用上显示的权限它可以随心所欲的展示广告。Ads Blocker 没有图标，在应用设置里也看不到 Ads Blocker 的信息，因为它用白盒子掩盖了名字（如图所示），让许多用户不知道怎么卸载它。

中国白帽子黑客被禁止参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，去年秋天办了第一届，第二届于上周末举行。在这次安全挑战赛上，Edge、Chrome、Safari、Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation 等纷纷遭到攻陷。360Vulcan 团队获得了最佳产品破解奖一等奖和最具价值产品破解奖，成为比赛的最大赢家。

中国白帽子黑客被禁止参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，去年秋天办了第一届，第二届于上周末举行。在这次安全挑战赛上，Edge、Chrome、Safari、Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation 等纷纷遭到攻陷。360Vulcan 团队获得了最佳产品破解奖一等奖和最具价值产品破解奖，成为比赛的最大赢家。

安全研究人员发现思科的 RV320 和 RV325 Dual Gigabit WAN VPN 路由器使用了静态证书和密钥，还发现了硬编码的密码哈希。思科释出了新固件，解决了安全研究人员发现的问题。思科解释说，静态证书在固件开发过程中被用于测试目的，在产品从未被用于活跃功能，包括在正式产品中是因为开发团队的疏漏。安全研究人员还在其它型号的思科路由器中发现了类似的问题。