路透援引知情人士的消息报道，至少九名美国务院雇员的 iPhone 手机被未知攻击者使用以色列公司 NSO Group 的间谍软件入侵。攻击是在过去几个月内发生的，攻击对象是美国在乌干达或与该国事务相关的官员。NSO Group 发表声明表示没有迹象显示其工具被使用，但取消了相关客户的访问权限，并对此展开调查，表示如果调查确认客户使用了其工具他们将被永久禁止访问，它还会采取法律行动。乌干达驻华盛顿大使馆以及美国国务院都拒绝置评。

Google Project Zero 安全研究人员 Tavis Ormandy 在广泛使用的 Mozilla Network Security Services (NSS)签名验证库发现了一个本应该早就发现的高危漏洞：一个简单的边界检查问题会导致内存破坏（memory corruption）。NSS 至少从 2014 年开始就支持模糊测试，但 NSS 库是一个模块化库，每个不同组件是独立测试的，在测试时对输入的字符长度设置了一个任意的 10000 字节限制，而 NSS 库却对此没有限制，但它验证的签名长度超过 16384 比特时会导致内存覆写。这个问题本应该很容易发现，Google 研究人员将其命名为“BigSig”，Mozilla 称编号为 CVE-2021-43527 的漏洞不影响 Firefox，但其它使用 NSS 库的软件如 Thunderbird、LibreOffice、Evolution 和 Evince 会受到影响。Google Chrome 在 2015 年前使用过 NSS 库，之后用自己的 BoringSSL 替换了 NSS。

黑客利用区块链创业公司 MonoX Finance 智能合约的漏洞窃取了价值 3100 万美元的加密货币。该公司使用名为 MonoX 的去中心化金融协议让用户在没有传统交易所要求的情况下交易数字货币代币。其原理是将存入的代币与 vCASH 组合成一个虚拟对，设计提供单一的代币池。在此次攻击中，黑客利用相同的代币作为 tokenIn 和 tokenOut——也就是用一种代币交易另一种代币，每次交易之后 MonoX 会通过计算更新价格，用户发送的代币 tokenIn 的价格会下降，而收到的代币价格会增加。tokenIn 和 tokenOut 使用相同的代币进行交易本来是不允许的，但 MonoX 的软件漏洞允许交易发生，让黑客能人为抬高 MONO 代币的价格，然后在以太坊和 Polygon 区块链上兑换了价值 3100 万美元的加密货币。

移动安全公司 ThreatFabric 的研究人员披露了隐藏在 Google Play 官方应用商店四个月总下载量 30 万次的恶意程序，这些应用伪装成合法应用如二维码扫描程序、PDF 扫描器和加密钱包，然后通过后续下载更新变成银行木马，窃取用户的登陆凭证和二步验证码，能记录按键和屏幕截图。研究人员称，攻击者采用了新的策略以尽量不被发现。攻击者首先让应用看起来合法并且有用，然后在安装之后提示用户更新，但用户更新的未必是恶意程序，攻击者有选择性的只对感兴趣的地区推送恶意更新，更新之后程序仍然能正常工作，因此这些应用的留言多数是好评，评价也不错。研究人员认为攻击者缩小攻击面是 Google Play 对权限进行限制的直接后果。

我们处于这样一种情况：政治家和供应商自己都不知道或者不关心他们在谈论的设备所有权、信任模型、更新、法律冲突和最重要的安全问题的时候说的到底是什么。大型科技公司悄然进入我们的公共教育和卫生系统，关于他们的地位却没有任何适当的讨论。留给受过良好教育的个人选择退出、拒绝他们的系统并坚持安全、可互操作的选择。欧洲互操作性框架（EIF是欧盟委员会2017年3月Communication COM134的一部分）等建议承认技术将成为会造成社会分裂的平等问题。未来的技术贫困不会分为“有的和没有的”，而是“愿意和不愿意的”，有人会用隐私和自由换取访问权限，有人会为了数字尊严而避开便利。

随着“基础设施”（真正的垂直上层建筑）一词巧妙地取代了ICT（一种水平服务），技术垄断者与控制政府、教育和卫生的开放标准的拥护者们之间的战斗已变得激烈。公共代码的想法（参见 David A Wheeler 和 Richard Stallman 的评论）作为可互操作的技术社会的基础，受到了科技巨头的猛烈抨击。德国曾全力以赴对抗微软，在 2015 年用 20,000 台 Linux PC 替换了 Windows 系统，结果在微软的游说下后退，在 2017 年用 Windows 10 替换了 30,000 台台式机。现在德国人似乎准备再次前进，这一次是要求所有公共服务强制支持 LibreOffice。

伊朗人买不到汽油。以色列人在网上发现了他们的约会细节。伊朗和以色列的影子战争正在打击普通公民。伊朗和以色列的数百万普通民众最近发现自己卷入了两国网络战的交火中。在德黑兰，一名牙科医生花了几个小时驾车寻找汽油，在四个加油站排长队等待，结果却一无所获。在特拉维夫，一位著名电台主持人惊慌失措，因为他的性生活私密细节和从 L.G.B.T.Q. 交友网站上偷来的数万人的私密信息被上传到社交媒体。多年来，以色列和伊朗通过陆、海、空和计算机进行秘密战争，但目标通常与军事或政府有关。现在网络战扩大到大规模针对平民。最近几周，一次对伊朗全国燃料分配系统的网络攻击使 4,300 个加油站瘫痪，12 天后才完全恢复服务。

两名美国国防官员在保持匿名的条件下讨论了机密情报评估，将这次袭击归咎于以色列。几天之后，以色列的一家主要医疗机构和一个受欢迎的 L.G.B.T.Q 约会网站遭到网络攻击，以色列官员将攻击归咎于伊朗。美国当局警告称伊朗试图入侵美国医院和其他重要基础设施的计算机网络，事态升级。随着在外交上恢复伊朗核协议的希望逐渐黯淡，此类袭击的数量只会激增。数月以来，黑客行为渗透到民用领域。伊朗的国家铁路在 7 月遭到袭击，但这次相对简单的黑客攻击可能不是以色列人所为。伊朗被指控去年对以色列的供水系统进行了一次失败的攻击。最近的袭击被认为是首次对大量平民造成广泛伤害。非国防计算机网络通常不如与国家安全资产相关的网络安全。

Google 发布了 Threat Horizons 报告，对攻击者入侵 Google Cloud 账号安装挖矿程序发出警告。Google 称，最近入侵的 50 个 Google Cloud 实例中 86% 被用于挖矿，10% 被用于扫描去识别存在漏洞的系统，8% 被用于攻击其它目标。窃取数据反而不是主要目标。Google 还对其它黑客活动发出警告：俄罗斯政府支持的黑客组织 APT28 对 Gmail 账号发动大规模钓鱼攻击，朝鲜支持的黑客冒充招募人员向安全研究人员发去钓鱼邮件，勒索软件组织 Black Matter 日益活跃，等等。

联网设备使用默认密码通常会成为严重的安全隐患。英国政府出台新法案禁止这种行为，以保护家中的智能联网设备不会被黑客入侵，不遵守新规定的企业将会面临巨额罚款。英国消费者保护组织 Which? 最近的研究发现，有大量智能设备的家庭一周内会受到 1.2 万次以上攻击。黑客如果能成功入侵一个存在漏洞或使用默认密码的设备，他们将可以进一步渗透和控制整个家庭网络。被称为《The Product Security and Telecommunications Infrastructure Bill》的法案禁止使用容易猜测的默认密码，所有产品需要有唯一密码，不能重设为出厂默认密码；通知客户产品获得安全更新的最短时长；为安全研究人员提供漏洞报告的联络信息。违反者将面临最高 1000 万英镑或全球营业额 4% 的罚款，对持续违规每天罚款最高 2 万英镑。

根据微软蜜罐服务器网络收集的数据，大多数暴力破解攻击者主要尝试猜测短密码，很少攻击针对长的或包含复杂字符的凭证。微软安全研究员 Ross Bevington 表示：“我分析了超过一百万次针对 SSH 的暴力攻击输入的凭据。这是微软传感器网络中约 30 天的数据。”作为微软的欺诈主管，Bevington 的任务是创建看起来合理的蜜罐系统以研究攻击者趋势，他表示：“77% 使用的是长度在 1 至 7 个字符之间的密码。长度超过 10 个字符的密码只占 6%。”

HardenedVault 写道 "自2010年代以来，物理攻击成为了一个古老而重要的话题，如果关键信任基（在本例中为TPM）遭到破坏，则可能会危及关键基础架构的安全，2011年以及2012年发布的<LPC总线劫持者指南>和<TPM通信接口的劫持者指南>揭示了TPM（直到现在高度依赖LPC总线）的攻击面。2018年3月，NCC Group展示了使用价格低于180美元廉价硬件设备方案发起名为TPM Genie的攻击，TPM Genie可以作为interposer来发起中间人攻击，以伪造EK或简单地嗅探主机和TPM之间的流量，而在2019年，安全研究人员利用49美金的硬件则完成了针对TPM嗅探的并且提取bitlocker的密钥，所有的公开演示都是PoC级别的，这里值得注意的是真实世界的漏洞利用可以在更短的时间内完成针对TPM中间人劫持或者嗅探的攻击，目前大部分运行TPM v1.2/v2.0的实现都受到影响，幸运的是，VaultBoot对于此种攻击类型免疫，即使是VaultBoot的开源版本的防御弹性也远强于其他商业以及开源方案。"

4 月，一辆特斯拉 Model S 在得克萨斯州伍德兰发生车祸，司机超速行驶，未能拐过弯道控制在汽车。美国国家运输安全委员会的调查报告显示，汽车随即撞上排水涵洞和凸起的维修孔，然后被一棵树挡住停了下来。就在那时，这辆特斯拉迅速燃烧起来。

消防员花了四个小时才扑灭了火焰，部分原因是该车的电池不断复燃。当大火最终被扑灭时，大约倾倒了 30,000 加仑的水——这通常是该部门一个月使用的水量。

电动汽车火灾并不常见，但它们与化石燃料汽车火灾有很大不同，消防员需要新的方法。欧洲的一家公司开发了一种类似集装箱的盒子，可以将熊熊燃烧的电动汽车罩在里面，然后从四面八方喷水。但它需要一辆专用卡车，这对消防部门来说是一笔昂贵的额外开支。

不过，明年消防员将有另一种选择——可以推到燃烧的车辆下方的高压喷嘴，将水直接喷到电池中。制造救火车和其他设备的奥地利公司 Rosenbauer 表示，该公司成功地在各种电池设计上测试了设备，包括袋状、棱柱形和圆柱形电池。

Rowhammer 漏洞利用允许非特权攻击者修改或破坏存储在易受攻击内存芯片中的数据，制造商后来为内存芯片加入抵御此类攻击的保护措施，但最新方法瓦解了保护，事实上所有 DDR4 模块都易受 Rowhammer 攻击。

Rowhammer 攻击工作原理是每秒数百万次访问或锤击易受攻击的芯片内的物理行，导致相邻行中的比特翻转，意味着 1 变为 0，反之亦然。研究人员证明，这些攻击可被用于为不受信任的应用程序提供几乎不受限制的系统权限，绕过防止恶意代码访问敏感操作系统资源的安全沙箱，Root 或者感染 Android 设备等。

之前所有的 Rowhammer 攻击都以相同的模式敲击行，例如单面、双面或n面。在所有三种情况下，这些“攻击者”行——导致附近“受害”行比特翻转的那些行——被访问的次数相同。 周一发表的研究提出一种新 Rowhammer 技术。它使用非均匀模式以不同的频率访问两个或多个攻击者行。结果测试池中所有 40 个随机挑选的 DIMM 都出现比特翻转，成功率高于之前的测试，之前在 42 块芯片中只有 13 块出现比特翻转。研究作者 Kaveh Razavi 和 Patrick Jattke 在一封电邮中写道：“我们发现，通过创建特殊的内存访问模式，可绕过部署在 DRAM 中所有的防御措施。根据分析，这将可能被已知攻击入侵的设备比例增加到 80%。由于硬件特性，这些问题无法修复，将在未来很多年中继续存在。”

非均匀模式对目标行刷新也有效。这种缩写为 TRR 的防御措施因供应商而异，但是通常会跟踪行被访问的次数，在出现滥用迹象时为相邻的受害行补电。防御的失效给芯片制造商带来了进一步的压力，推动他们想方设法抵御此类攻击——很多人原本认为较新类型的存储芯片可以抵御它了。

英特尔披露了两个高危漏洞影响多代英特尔处理器家族，漏洞允许攻击者和恶意程序获得更高的权限。漏洞由 SentinelOne 发现，编号为 CVE-2021-0157 和 CVE-2021-0158，CVSS v3 评分都是 8.3/10，前者与 BIOS 固件控制流管理有关，后者则与 BIOS 固件不正确输入验证有关。漏洞可被用于提权，但攻击者需要首先能物理访问机器。受影响的型号包括了 7 代、10 代和 11 代酷睿处理器，至强E、E3 v6 和 W 系列等。英特尔没有披露更多细节，它建议用户如果有可用 BIOS 更新就打上补丁。考虑到 7 代酷睿已有 5 年历史，主板供应商不太可能还会释出 BIOS 更新。

黑客周六入侵了 FBI 的一个电子邮件系统，发送了数万条假信息，警告可能发生网络攻击。FBI 在一份声明中说，假电邮似乎发送自一个以 @ic.fbi.gov 结尾的合法 FBI 邮箱地址。FBI 称，尽管受该事件影响的硬件“在问题被发现后迅速下线，但这是一个持续的情况”。威胁追踪组织 Spamhaus Project 在其推特账户上说，黑客发送了数万封电子邮件，警告可能发生网络攻击。Spamhaus 在推特上发布的其中一封电邮副本显示，邮件标题为“紧急：系统中的威胁行为者”，落款似乎是国土安全部。

Palo Alto Networks 的 GlobalProtect VPN 刚刚修复了一个缓冲溢出的高危漏洞，而安全公司 Randori 是在 12 个月前发现该漏洞，但一直将其作为秘密内部使用，而不是尽快报告给软件供应商。编号为 CVE-2021-3064 的高危漏洞（威胁评分 9.8/10）影响 PAN-OS 8.1.17 之前的版本，已有超过一年历史，但 Randori 根据 Shodan 搜索发现有大约 1 万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞？Randori 声称该漏洞作为红队的工具用于对客户的网络进行安全测试，表示 0day 漏洞对于客户以及整个网络安全世界的成功是必不可少的。

2016 年初，一名美国黑客入侵了世界最大的住宿预订平台 Booking.com，窃取了中东国家的数千酒店预订信息。在两个月的调查之后，IT 专家判断黑客与美国情报机构有紧密联系。Booking.com 并没有就此次事件通知受影响的客户或通知其总部所在地荷兰的数据保护机构。公司高层表示当时的法律不要求他们这么做。公司 IT 专家对公司保持沉默的做法相当不满。根据当时适用的隐私法律，在数据被窃取之后企业需要通知受影响客户，这可能会对他们的个人生活产生不利影响。荷兰 Leiden 大学的法学教授 Gerrit-Jan Zwenne 认为，美国间谍窃取的信息可能会被用于将某些人加入到禁飞名单，禁止进入特定国家，或者对他们进行窃听。

1,000 多名 Android 手机用户感染了一种新发现的恶意软件，它会悄悄实时录音录像、下载文件并执行其他监视活动。研究人员共发现了 23 个悄悄安装该间谍软件的应用，安全公司 Zimperium 的研究人员将间谍软件称为 PhoneSpy。它提供了一系列完整的功能，除了窃听和盗取文件之外，还包括传输 GPS 位置数据、修改 Wi-Fi 连接以及执行叠加攻击（overlay attacks）以获取 Facebook、Instagram、Google和 Kakao Talk 应用的密码。Zimperium 研究人员 Aazim Yaswant 在官方博客上写道：“这些恶意的 Android 应用被设计为在后台静默运行，不间断地监视受害者而不引起任何怀疑。我们相信 PhoneSpy 的幕后黑手收集了大量受害者的个人和公司信息，包括私人通信和照片。”

本月初，剑桥大学的研究人员披露了在源代码中隐藏人眼看不见的漏洞的攻击方法 Trojan-Source，攻击利用的是 Unicode 中的双向机制。现在，安全研究人员披露了在 JavaScript 中发动类似攻击的方法。在 JavaScript 中创造看不见的后门首先需要寻找能被 JS 解释为标识符/变量的不可见的 Unicode 字符，然后寻找使用不可见字符不被注意到的方法。这种方法无法通过语法高亮检测出来。攻击需要 IDE/文本编辑器能正确渲染不可见的字符。Notepad++ 和 VS Code 都能正确渲染。

研究人员公开了蓝牙设备漏洞 BrakTooth 的利用代码。BrakTooth 影响数以十亿计设备使用的 1400 多种芯片组的商业蓝牙栈，包括依赖 Bluetooth Classic (BT)通信的智能手机、PC、物联网设备和工业设备。漏洞利用的 PoC 代码发布在 GitHub 上。美国 CISA（网络安全和基础设施安全局）督促制造商、供应商和开发商给蓝牙设备部署补丁或采用缓解漏洞利用的方法。

全球警方联合打击了史上最赚钱的网络犯罪团伙之一。 罗马尼亚警方、美国司法部和欧洲刑警组织周一宣布对 REvil 团伙采取联合行动。突袭同时在线上和线下展开，在罗马尼亚逮捕了两名涉嫌黑客，其中一人来自乌克兰。REvil 被指对全球企业发动了多次大规模黑客攻击。

美国还宣布，通过名为 claw back 的黑客行动，成功从该团伙手中夺回了超过 600 万美元的加密货币。过去三年，REvil——aka GandCrab 或 Sodinikobi——一直在攻击世界各地的企业和机构。欧洲刑警组织专门设立了名为“GoldDust”的行动对付该组织。自 2 月以来，这项行动已使该黑客团伙的 7 名成员在罗马尼亚、乌克兰、韩国和科威特落网。官方表示，11 月 4 日逮捕的两名罗马尼亚人感染了 5,000 名受害者，并从中赚取了 50 万欧元的赎金。REvil 的一名领导成员前不久宣布来自当局的压力迫使他们停止运营。