一位自称 L&M 的黑客逆向工程了两个 GPS 跟踪器应用 ProTrack 和 iTrack 的 Android 版本，发现所有用户在注册时会获得默认密码 123456。他随后利用 API 暴力破解了数百万用户名，然后写了一个脚本组合这些用户名和默认密码尝试登录，他成功入侵了 7000 多个 iTrack 账户和 20,000 多个 ProTrack 账户。这些账号允许他监视相关汽车的位置，对于某些型号的汽车，GPS 跟踪器应用还允许远程关闭处于停车或低于时速 12 英里行驶的汽车引擎。

高通芯片组被广泛用于智能手机和平板，但这些芯片组的一个安全漏洞将允许攻击者从被称为 Qualcomm Secure Execution Environment(QSEE)的芯片安全域窃取私钥和加密密钥。漏洞编号为 CVE-2018-11976，高通已经释出了补丁，但鉴于 Android 生态系统的现状，绝大部分智能手机和平板在很长时间里不太可能会得到修复。漏洞影响高通芯片如何处理 QSEE 中的数据。

安全公司卡巴斯基上个月披露了华硕遭遇的供应链攻击，攻击者入侵了华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机里，恶意文件有华硕的证书签名。据估计，有 50 万用户通过华硕的自动更新收到了恶意后门，但攻击者只对其中 600 台计算机发动了针对性的后续攻击。这一攻击被命名为 ShadowHammer 行动。卡巴斯基研究人员的进一步分析发现，华硕不是唯一一家遭到攻击的，还有至少六家企业被黑客渗透。研究人员发现了与 ShadowHammer 行动相关的恶意程序样本，使用了相似的算法去计算 API 函数哈希，也用了有效且合法的证书签名。所有恶意程序样本都以不同理由使用了 IPHLPAPI.dll。被渗透的企业包括了僵尸游戏《Infestation: Survivor Stories》的开发商 Electronics Extreme，韩国《Point Blank》游戏开发商 Zepetto，以及 Innovative Extremist，此外还有一家游戏开发商、一家集团控股公司和一家制药公司，它们都在韩国。

现代加密系统的一个关键部分是产生足够随机的熵（或噪音），开源硬件开发者黄欣国（Andrew“bunnie”Huang）在为 betrusted 项目工作时设计了一个移动友好的雪崩噪音生成器。现有的开源噪音生成器要么太大要么功耗太高，都不适合整合到移动设备里。黄欣国称，他发现雪崩噪音生成器的原理很难找到，因此决定公布自己的设计笔记，以备未来有人想要重新设计噪音生成器时提供一个参考。

英国网络安全中心对泄漏账号的分析显示，超过 2300 万人使用密码 123456。这并非是人们不喜欢用复杂的密码，而更可能的原因是这些账号是可抛弃的，它们并不重要的需要使用复杂密码。 123456 之后使用频率最高的密码是 123456789、qwerty、password、111111、12345678、abc123、1234567、password1 和 12345。如果你是足球迷，那么“利物浦”或“切尔西”的使用频率都非常高。如果是音乐迷，那么根据使用频率 50 分乐队打败了金属乐队。最常见的虚构角色密码是“超人”（superman，333,139 人）、“火影忍者”（naruto，242,749）、“跳跳虎”（tigger，237,290）、“口袋妖怪”（pokemon，226,947）和“蝙蝠侠”（batman，203,116）。

英国安全研究员 Marcus Hutchins，aka MalwareTech，2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。本周 Hutchins 承认他开发了银行木马， 他对此表示遗憾，并愿意为错误承担责任，表示正将几年前误用的技能用于建设性目的。根据认罪协议，Hutchins 承认了两项指控，检方放弃了另外八项指控，每一项指控的最大刑期是五年，最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit，承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马，时间发生在 2012 年 7 月到 2015 年 9 月之间，之后他改变了职业轨道成为了安全研究员。

思科 Talos 安全部门的研究人员披露，名叫 Sea Turtle 的网络间谍组织利用 DNS 劫持技术攻击了 40 个不同的组织，在此过程中他们甚至入侵了多个国家级顶级域名系统，令整个国家的域名流量面临风险。黑客的受害者包括了电信公司、ISP 和域名注册商。但最主要的受害者及其最终目标是政府机构，包括外交部、情报机构、军事目标和能源相关组织。这些机构都位于中东和北非。通过入侵互联网的目录系统，黑客能悄悄使用中间人攻击能拦截发送给目标的所有数据。Talos 表示难以确定攻击者的国籍，但它提供了受害者所在的国家名单，包括：阿尔巴尼亚、亚美尼亚、塞浦路斯、埃及、伊拉克、约旦、黎巴嫩、利比亚、叙利亚、土耳其和阿联酋。

微软在 Windows 8 中引入的磁贴服务 Windows Live Tiles 允许网站在磁贴上展示新闻，但该服务未获成功，软件巨人后来把这个服务关闭了，但忘记删除域名服务器条目。结果被人利用漏洞接管了相关的子域名，允许他们在磁贴上展示任意的图片和内容。这种攻击方法被称为子域名接管攻击。发现漏洞的人通知了微软，然而微软却没有任何回应，因此他们把这件事公布了出来。

杀毒软件公司 Bitdefender 发表报告（PDF），一种此前主要在中国传播的恶意程序扩散到了世界其它地方。习惯下载和安装破解软件的用户面临的风险最大。这种恶意程序被称为 Scranos，其最重要的组件是一个隐藏在软件中的 rootkit 驱动，允许恶意程序长久滞留在系统中，获得对系统的完整控制权限。Scranos 的功能包括从 Google Chrome、Chromium、Mozilla Firefox、 Opera、Microsoft Edge、IE、百度浏览器和 Yandex 浏览器提取 cookies 和窃取登录凭证，从 Facebook、Amazon 和 Airbnb 窃取支付账号，向 Facebook 朋友发送钓鱼信息，窃取 Steam 的登录凭证，向 IE 注入广告程序，订阅 YouTube 频道等等。

去年 7 月释出的 Adblock Plus 引入了重写请求的过滤器选项，之后 AdBlock 和 uBlock（不是 uBlock Origin）都加入了对这一选项的支持。在特定条件下，$rewrite 过滤器选项列表的维护者可以向网页注入任意代码。受影响的扩展用户超过一亿。Armin Sebastian 在个人博客上解释了利用该选项执行任意代码的工作原理，他建议 Adblock Plus 移除 $rewrite 选项，因为该功能容易遭到滥用。用户可以切换到另一个流行的广告屏蔽扩展 uBlock Origin，它不支持 $rewrite 选项，因此不受该攻击的影响。

印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵，并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司，匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。它的客户跟踪到了可疑的恶意网络侦查活动，攻击者被发现来自于 Wipro 的网络。Wipro 的一家客户已经取消了与该公司的合同，但不清楚是否与网络入侵有关。Wipro 则发表声明声称其网络系统有多重安全保障。

微软开始向部分 Outlook.com、Hotmail 和 MSN 客户发去通知，称黑客能访问他们的账号。微软发现今年早些时候它的电邮服务支持代理的凭证遭到入侵，允许黑客在 1 月 1 日到 3 月 28 日之间未经授权访问部分用户的账号，黑客能浏览到电邮地址、文件夹名字和邮件标题，但无法访问邮件内容或附件。目前不清楚有多少账号受到影响。黑客无法窃取到用户的登录细节或个人信息，但出于谨慎微软推荐受影响的用户重置他们的密码。

安全研究员 John Page 披露了一个 IE 0day 漏洞，该漏洞允许远程攻击者利用 IE 提取本地文件。漏洞利用不需要用户打开 IE 浏览器，只需要你的 Windows 设备安装了 IE，这意味着大部分 Windows 机器都受到影响，即使用户不再用 IE。攻击者利用了 .MHT 文件格式的漏洞，.MHT 被 IE 用于 Web 存档，而大部分现代浏览器已经不使用 .MHT 格式，因此当用户尝试打开一个.MHT 文件，Windows 操作系统会默认使用 IE 打开。为了利用该漏洞，用户需要打开从电邮、消息应用等接收到的 .MHT 附件。微软目前还没有释出修复补丁，何时修复还是未知之数。

两名安全研究人员披露了 Wi-Fi WPA3 标准中的一组漏洞，这组漏洞被命名为 Dragonblood。攻击者可利用这些漏洞在受害者网络范围内获取 Wi-Fi 密码和渗透进网络。Dragonblood 由五个漏洞构成，包括一个拒绝访问攻击，两个降级攻击和两个侧通道信息泄露。后四个漏洞都利用了 WPA3 标准 Dragonfly 密钥交换机制中的设计缺陷，可用于获取用户密码。

去年 10 月，安全公司报告，2017 年 8 月沙特石化工厂遭到的网络攻击与一家俄罗斯研究机构有关。攻击者使用的恶意程序设计关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。安全公司将这个恶意程序命名为 Triton 或 Trisis。攻击者入侵了施耐德公司保护设备安全运转的工业控制器 Triconex，该型号的控制器被全世界 1.8 万家工厂使用，其中包括核处理设施。现在，FireEye 的研究人员披露了利用相同恶意程序框架对另一个不同的关键基础设施地点发动的攻击。类似针对沙特工厂的攻击，攻击者主要将资源集中在工厂的运营技术方面。在目标网络获得立足之地之后，攻击者使用的大部分工具都主要用于网络侦察。一旦访问到控制器之后，攻击者开始集中精力在维持控制上。新发现的定制工具展示了攻击者对工业设施运营安全的兴趣。

Palo Alto Networks 的研究人员报告了物联网僵尸网络 Mirai 的新变种，它加入了四种处理器 Altera Nios II、OpenRISC、Tensilica Xtensa 和 Xilinx MicroBlaze，这些处理器被广泛用于嵌入式系统，包括路由器、网络传感器、基带无线电和数字信号处理器。新变种还修改了用于通信的加密算法，以及新版的 TCP SYN 拒绝服务攻击。研究人员是在 Digital Ocean 位于荷兰数据中心的一台服务器上发现新变种的，该服务器还托管了利用 D-Link、Netgear、Huawei、Realtek、以及中国开发的 ThinkPHP Web server 框架漏洞的版本。

安全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次，但这并不意味着下载的所有版本都存在后门，受影响的版本是 v3.2.0.3，研究人员呼吁用户尽可能快的更新，认为可能有数千应用受到影响。研究人员推测，黑客入侵了开发者的机器或窃取了开发者的凭证，然后通过开发者账号简单上传了一个后门版本。该后门允许攻击者远程执行代码。此类的供应链攻击正成为一个日益增长的危险。

一名英国学生在色情网站打广告，广告包含了恶意工具 Angler。当成人网站的用户点击广告，Angler 会触发下载，在受害者的计算机上寻找漏洞然后控制计算机进行勒索。它会展示一个全屏广告，代表 FBI 或其它执法机关，指控受害者违反了法律，将面临最高三年的徒刑，除非支付 100 英镑或 200 美元的赎金。利用这种方法，英国学生 Zain Qaiser 勒索到了 大约 70 万英镑，他被法庭判处了六年五个月徒刑。

Security without Borders 的安全研究人员曝光了一个资金充足的移动手机监视行动，他们相信恶意程序是出售给执法机关或政府的合法监视软件。该恶意程序被称为 Exodus，至少开发了五年时间，通过伪装成合法服务应用的方式进行扩散。感染恶意程序的手机数据不多，大约在数百左右。Exodus 的感染分成了三个阶段，第一个阶段是收集设备的识别信息，第二个阶段包含了大量先进监视功能，第三个阶段则尝试获得 root 权限，执行大量的监视，包括提取应用安装列表，利用内置麦克风录音，提取日历应用事件，提取呼叫日志，使用摄像头拍照，提取 Gmail 信息，等等。它的 iOS 版本使用企业开发者证书安装在设备上，在研究人员向苹果举报之后，证书已经被吊销。

因为未加密或配置错误的 MongoDB数据库和 ElasticSearch 服务器，中国公司泄漏了 5.9 亿简历。安全研究员 Sanyam Jain 仅在上个月就报告了 7 次数据外泄。他发现了一台 ElasticSearch 服务器包含了 3300 万用户简历。在报告给中国国家计算机应急响应小组四天后服务器才加了安全保护。另一台 ElasticSearch 服务器包含了 8480 万简历，同样是在举报给计算机应急响应小组之后下线的。他总共发现暴露的简历数量高达 5.90497 亿，许多简历包含了敏感的个人数据如电话号码、家庭住址，家庭和婚姻状况，某些还有身份证。