卡巴斯基的研究人员报告在 Android 平台发现至今最强大的间谍软件 Skygofree。它被认为是一家意大利公司开发的进攻性安全产品。自 2014 年以来，该间谍软件一直被活跃的开发。它依靠 5 个不同的弱点获取 root 权限，绕过 Android 主要的安全防御措施。它能拍照、录制视频，获取呼叫记录、短信、地理位置、日历事件，以及储存在设备里的商业相关的信息。Skygofree 能在被感染设备进入特定地点后自动记录对话和噪音，它还能通过滥用 Android Accessibility Service 窃取 WhatsApp 消息。它还包括了更多先进功能。

如果你从一加的官网用信用卡购买了智能手机，那么你也许应该检查下信用卡账单。根据官方论坛上的一个帖子，上百名客户报告过去两个月他们在购买手机后遭遇了信用卡欺诈。这意味着他们的信用卡信息泄漏了。一加雇员随后发帖证实，受影响的客户主要是用信用卡而不是 PayPal 支付的。一加称它没有保存或处理信用卡交易，交易是通过加密连接发送给它的合作伙伴处理，拦截加密的流量是极端困难的，它正进行完整的审查，与合作伙伴调查此事。

安全公司 F-Secure 的研究人员披露了英特尔 AMT 的另一个漏洞。Active Management Technology (AMT) 运行独立的操作系统，能在主机关闭的情况下工作。最新的漏洞允许一名短暂物理访问设备的攻击者绕过密码和身份验证，获得系统的永久性远程访问权限。英特尔则声称这是 PC 制造商的错误，没有在 BIOS 设置菜单里正确保护 AMT 的设置。研究人员发现，物理访问机器的攻击者可以重启机器，访问 BIOS 引导菜单，然后选择配置英特尔的 Management Engine BIOS Extension (MEBx)，如果 MEBx 没有被用户或机构配置，那么攻击者可以输入默认的密码，然后修改密码，启用远程访问，设置固件在启动时不对用户显示 opt-in 信息。这一攻击需要物理访问设备，但所需时间非常短。

匿名懦夫 写道 "V2EX 社区用户发帖表示，火绒安全日志显示 Visual Studio 安装器安装腾讯电脑管家。文件 MicrosoftAzureComputeEmulator-x64.exe 被替换成了腾讯电脑管家安装包。安装包被替换通常是运营商劫持导致，而使用 https 通常被认为是防止劫持的方法。"

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。

安全研究人员报告，攻击者正利用一个 Web 应用服务器漏洞入侵 PeopleSoft 和  WebLogic 服务器，其意图不是偷窃数据而是挖掘门罗币。根据研究人员的分析，一名攻击者至少获得了 611 个门罗币，价值超过 22 万美元。攻击者被认为利用了 360 研究人员上个月披露的一个漏洞利用 PoC。在 PoC 公布之后，世界不同地点托管的没有打上补丁的服务器就被入侵安装了挖掘脚本。研究人员称，这不是一次针对性的攻击，当一个漏洞利用披露之后，任何具有有限脚本能力的人都能参与发动攻击。

在瑞士举行的 Real World Crypto 安全会议上，德国波鸿鲁尔大学的一组研究人员报告了在加密消息应用 WhatsApp、Signal 和 Threema 中发现的一系列漏洞（PDF），Signal 的 Threema 的漏洞相对无害，而 WhatsApp 的群聊漏洞最为严重。研究人员称，任何控制 WhatsApp 服务器的人可以轻而易举的在私人群组里加入新人，无需控制群组的管理员的批准。这将能让未获邀请的人访问到加密的群组聊天信息。WhatsApp 服务器事实上能悄悄的记录和丢弃群组里的信息，能缓存发送给群组的信息，率先阅读到内容，决定发送的次序，还能以一种掩盖痕迹的方式转发信息给群组成员个人。这些漏洞完全破坏了群聊的端对端加密。漏洞还允许 WhatsApp 遵循政府要求让政府特工加入到任何私人群组对内容进行监听。

安全研究人员去年报告发现了一种神秘的 Mac 恶意程序，它能截屏、记录按键，访问摄像头和获取其它敏感信息。被称为 Fruitfly 的恶意程序的活跃时间至少五年，甚至可能长达十年。现在，根据本周公开的起诉书，该恶意程序存在有 13 年之久。被告 Phillip R. Durachinsky 使用该恶意程序启动摄像头和麦克风，拍摄和下载截屏、记录按键、窃取税务和医疗记录，照片、互联网搜索和银行交易，恶意程序甚至会在用户搜索色情时警告他。恶意程序感染了包括个人，警方甚至美国能源部的计算机。起诉书称，Durachinsky 甚至开发了一个控制面板，让他能同时浏览多个感染计算机的实况画面。起诉书称，他还制作了未成年人性行为的图像。

GPU 和 CPU 一样存在 Spectre 漏洞。GPU 制造商 NVIDIA 证实旗下产品易受 Spectre 漏洞的影响，它已经向旗下的 GPU 芯片 GeForce、Quadro 和 NVS 释出了软件修正，Tesla 和 GRID 的补丁还需要等待一段时间。NVIDIA GPU 没有 Meltdown 漏洞(aka variant 3），但存在 Spectre (variant 1)漏洞，潜在易受 Spectre (variant 2)漏洞的影响。NVIDIA 的补丁修复了 variant 1，它承认未来的补丁将修复 variant 2。

安全研究人员在 GitHub 上公开了利用 Meltdown 漏洞的概念验证攻击。Meltdown 影响英特尔的现代处理器，无法只靠微码更新修复，主要操作系统都已经释出了减少漏洞影响的补丁。概念验证攻击包含了五个 Demo，演示了不同用例。演示平台是 Ubuntu 16.04 和 Core i7-6700K，但应该能工作在使用 2010 年之后的英特尔处理器的任何 Linux 系统上。

对于上周曝光的影响绝大部分芯片的硬件漏洞 Meltdown 和 Spectre ，由于担心修复芯片安全漏洞可能拖慢电脑运行速度、甚至导致电脑系统崩溃，一些公司暂缓安装软件补丁，唯恐适得其反。“如果不进行适当的测试就在所有的电脑上安装补丁，可能会导致系统崩溃，从而让所有员工都无法工作，”网络安全初创公司 Obsidian 联合创始人 Ben Johnson 指出。金融服务信息共享与分析中心的首席信息风险主管 Greg Temm 称，银行正测试补丁程序，看它是否会拖慢电脑运行速度；以及如果会令电脑速度减慢，应该作出哪些修改。他举例称，可以把电脑接入网络，以弥补单台电脑处理器运行速度的不足。Johnson 称，一些流行的杀毒软件程序与补丁程序不兼容，会导致电脑停止响应并显示“蓝屏死机”。

安全研究人员从西部数据的 MyCloud NAS 设备中发现了硬编码后门和多个安全漏洞。My Cloud 是西部数据的个人云储存设备，用户可将其用于管理家庭的照片和视频，受影响的版本为 MyCloud <= 2.30.165 和 MyCloudMirror <= 2.30.165。其硬编码后门是管理账号 mydlinkBRionyg 和密码 abc12345cba，该漏洞可被用于远程代码执行。你可能注意到这个帐户名包含了友讯科技的英文名 dlink，这个用户名也引起了研究人员的好奇，对其挖掘之后发现 D-Link DNS-320L ShareCenter 有着相同的硬编码后门和文件上传漏洞，看起来两家公司的软件共享了大量代码，但与 My Cloud 不同的是 D-Link DNS-320L 已经移除了后门修复了漏洞。D-Link 的后门是在固件版本 1.0.6 中移除的。两家公司的产品同一时间（2014 年）存在相同的后门不禁让人遐想万千。

对于周三披露的 CPU 漏洞 Spectre（Variant 1 和 2）和 Meltdown（Variant 3），Google 官方博客介绍了三个漏洞的修补情况，其中 Spectre Variant 2 可以通过微码更新或软件更新修复，而 Meltdown 则需要给操作系统打补丁，Linux 的补丁是 Kernel Page Table Isolation (KPTI)，Windows 和 macOS 也都实现了类似的补丁。Google 称，它开发的二进制修改技术 Retpoline 能有效缓解 Variant 2 的漏洞，而且对性能影响甚微，它与行业合作伙伴分享了该技术，并已经部署在 Google 系统上。它也已经部署了 KPTI。另外，微软也提前释出了补丁，Windows 10 将会自动安装补丁，但旧的系统 Windows 7 或 Windows 8 没有自动更新。macOS 10.13.2 据称也部分修补了 Meltdown 漏洞。

Daniel Gruss 入侵自己的计算机暴露英特尔芯片漏洞那晚几乎无眠。这一漏洞影响芯片巨人自 1995 年以来制造的大部分处理器。31 岁的信息安全研究员和奥地利格拉茨技术大学博士后研究员闯入了自己计算机 CPU 的密室，窃取了其中的秘密。在这之前 Gruss 和同事 Moritz Lipp 以及Michael Schwarz 认为攻击处理器的内核内存只存在理论上的可能。Gruss、Lipp 和 Schwarz 周末在家里工作，彼此交换信息匆忙验证结果，直到确认结果没有错误。他们发现了至今最严重的芯片漏洞。这个影响英特尔芯片的漏洞被命名为 Meltdown。另一个影响英特尔、AMD 和 ARM 的漏洞被命名为 Spectre，Meltdown 最迫切，而 Spectre 的漏洞利用比较困难。格拉茨的团队在去年六月发表了论文，描述 KAISER 或 Kernel Address Isolation to have Side-channels Effectively Removed 的防御 Meltdown 攻击的机制。他们接触了英特尔，才知道其他研究人员也有类似的发现，这些研究员包括 Cyberus Technology 的 Paul Kocher 团队， Google Project Zero 的 Jann Horn，其中 Jann Horn 的工作令 Gruss 印象深刻。

Mozilla 释出了 Thunderbird 邮件客户端的一个更新（52.5.2），修复多个高危级漏洞。其中一个高危级漏洞编号 CVE-2017-7845，是一个缓冲溢出漏洞，只影响 Windows 用户；另外两个高风险级漏洞 CVE-2017-7846 和 CVE-2017-7847 分别影响 Thunderbird 的 RSS 阅读器和 CSS，后者潜在会允许攻击者发现用户数据如用户名。Thunderbird 项目目前已独立运作，但仍然在 Mozilla 旗下，使用 Mozilla 的域名，但未来 Thunderbird 切换到自己的基础设施之后将会更多的使用自己控制的域名。

安全公司火绒昨天发表报告称，腾讯从 11 月末起采用病毒式的方法推广旗下的软件（俗称全家桶）。火绒因此对其推广行为进行了拦截。报告称，当用户电脑启动 QQ 后，会通过名为 “QQ 安全防护进程（Q 盾）” 的保护程序释放病毒 “TrojanDownloader/Popeng.a”，随后用户就会收到腾讯的推广弹窗。一旦用户点击，QQ 浏览器和腾讯安全管家就会立刻被安装到用户电脑。该程序具有很强的隐蔽性，在整个推广过程中，“TrojanDownloader/Popeng.a” 会检测用户电脑中是否安装了360 安全卫士，若检测到，推广行为就会终止。此外，“TrojanDownloader/Popeng.a”还能随时接受远程 “云控” 指令，决定推广软件内容，以及是否继续实施推广。今天腾讯发表了致歉声明，宣布终止病毒式推广。声明称，“经核实，近期在对腾讯电脑管家和 QQ 浏览器的推荐中，确实出现了不合理甚至伤害用户体验之处，我们已于第一时间全部进行下线处理。在此，我们向广大用户深表歉意，并将对相关责任人进行处罚。”腾讯是中国最大的互联网公司，目前已经很少有公司敢于挑战中国企鹅了。

美联社根据安全公司 Secureworks 的信息报道，记者群体是黑客组织 Fancy Bear 的第三大攻击目标，次于外交人员和美国民主党人。Fancy Bear 被认为与俄罗斯政府有关联。从 2014 年中期到几个月前，至少 200 名记者遭到了 Fancy Bear 攻击，其中约 50 名记者为《纽约时报》工作，另外 50 名是驻俄罗斯的外国通讯记者或为独立新闻机构工作的记者，其余人员包括乌克兰，摩尔多瓦，波罗的海和华盛顿的知名媒体人物。

绝大多数安全策略都无法抵挡物理接触的攻击，比如 “邪恶女仆（evil maid）” 攻击。NSA 告密者 Edward Snowden 与一组合作者正在开发一个开源的 Android app 叫 Haven，它可以安装在你的闲置智能手机上，将手机变成一种看管保存有敏感信息的设备的哨兵。Haven 的源代码发布在 GitHub，首个 beta 版本已发布在 Google Play 应用商店和开源应用商店 F-Droid 上。用户可以将手机和监视的设备如你的笔记本电脑放在一起，然后 Haven 应用会利用智能手机上的传感器如麦克风、运动检测器、光探测器和摄像头去监视房间，记录它注意到的一切变化，比如是否有人动了你的笔记本电脑。用户可以配置 Haven，在其探测到变化时发送实时的加密警告。

密码管理软件开发商 Keeper 起诉了报道该公司软件漏洞的作者及其雇主。Ars Technica 及 Ars 的安全编辑 Dan Goodin 成为被告，被控发表了有关该公司密码管理器的错误和误导性声明 。Goodin 引用 Google 安全研究员 Tavis Ormandy 的漏洞披露报告称，Keeper 的一个安全漏洞允许任何网站窃取任何密码。Goodin 称，部分版本的 Windows 10 捆绑了存在漏洞的 Keeper。这不是第一次 Keeper 以诉讼的手段威胁记者和安全公司，此前它曾威胁起诉发现漏洞的安全公司 Fox-IT。

SplashData 通过分析泄漏的 500 多万密码公布了 2017 年度的“Worst Passwords of the Year”，123456 再次称霸榜单。常用的密码都和过去几年差不多，如 password，12345678，qwerty，12345 等等。由于记忆的问题，人们对于不重要的网站账号通常会设一个非常容易记住的密码，密码管理器可以解决这种情况，但密码管理器也有可能会面临单点故障。今年首次进入列表的密码还有 “iloveyou”、“monkey”、“hello”、“freedom”、“qazwsx” 和“trustno1”。SplashData 估计，约 3% 的人曾使用过列表上最糟糕的密码，10% 的人曾使用过最糟糕的 25 个密码之一。