8 月 12 日，自称 La Gorra Leaks 2.0 的黑客在暗网、Telegram 和 Twitter 公布了 5GB 数据，共超过 20 万份 PDF 文件，这些文件包含了阿根廷联邦警察的名字、家庭地址、电话号码和银行信息。多名阿根廷的安全研究人员在 Twitter 谈论了这一事件。警察在寻找嫌疑人期间将这些早期发帖的人列入嫌疑人，对这些人展开了突击搜查和短暂拘捕。其中一人是安全研究员是 Javier Smaldone，他公布了自己被捕的法庭文件，文件显示没有实物证据显示他参与了这次黑客攻击。Smaldone 称他的逮捕是政治迫害是猎巫，是报复他过去对政府的批评。

大赦国际报告，两名人权活动人士的手机多次成为以色列 NSO 公司开发的间谍软件 Pegasus 的目标。摩洛哥人权活动人士 Maâti Monjib 和律师 Abdessadak El Bouchattaoui 的手机收到的短信包含了恶意网站的链接，如果点击链接，网站将会尝试在手机上安装 Pegasus，它是目前曝光的功能全面的最先进间谍软件之一。这不是第一次 NSO 的间谍软件被用于监视活动人士或异议人士。2016 年阿联酋的活动人士 Ahmed Mansoor 就收到短信试图引诱他访问会在 iPhone 手机上安装 Pegasus 的网站，网站利用了三个 iOS 0day 漏洞。NSO 在一份声明中表示会对报道进行调查，如果确认将会采取恰当的行动，包括终止客户对其产品的使用。NSO 声称它三次关闭客户对其系统的访问，大赦国际则对此表示了怀疑。

大约一年多前，彭博商业周刊爆料，中国在苹果亚马逊等美国科技公司使用的超微服务器主板上悄悄植入了米粒大小的微型间谍芯片。这一报道至今没有获得证实，相关公司甚至 NSA 都否认了报道。但对供应链的攻击已变成一种确确实实的威胁，而在硬件上植入难以察觉的微型芯片也变得日益廉价。在本月晚些时候举行的 CS3sthlm 安全会议上，安全研究员 Monta Elkins 将展示他的微芯片植入硬件的概念验证版本。使用 150 美元的热空气焊接工具，40 美元的显微镜，以及从网上订购的 2 美元芯片，Elkin 能以绝大多数 IT 管理员难以注意到的方式修改思科防火墙设备。他编程芯片在防火墙启动时执行攻击，它模拟管理员访问防火墙配置，触发密码恢复功能，创建新的管理员账号，访问防火墙配置。在恶意芯片能访问防火墙配置之后，就可以为攻击者远程访问打开方便之门。

惠普设备预装的软件 HP Touchpoint Analytics 发现漏洞，允许恶意程序获得管理权限接管设备。SafeBreach Labs 的安全研究人员在夏天报告了该漏洞，惠普在本月释出更新修复了漏洞。惠普建议其台式机和笔记本电脑用户尽可能及时更新客户端。HP Touchpoint Analytics 的功能主要是收集硬件性能的诊断信息，然后发送给惠普。该应用具有管理权限，安全研究人员发现可以劫持该应用加载恶意 DLL 文件运行恶意代码，该漏洞不允许黑客远程控制设备，但允许本地应用获得提权。

上周五发布的一份报告发现 FAA 对波音 737 Max 的认证存在严重缺陷。波音 737 Max 发生了两起致命空难，而空难原因被认为与被称为 MCAS 的自动控制新系统有关。报告由 FAA、NASA 和来自欧洲、中国等地的九家国际监管机构代表共同编写。报告称，波音公司没有向 FAA 充分解释 MCAS 系统是如何工作的，FAA 也缺乏对波音这款新飞机的许多信息进行有效分析的能力。该机构严重依赖波音公司派驻的员工来保证 Max 的安全性，而在飞机研发过程中，波音代表 FAA 工作的员工有时会因 “优先事项相互冲突” 而面临 “过度的压力”。报告认为，如果 FAA 的技术人员对 MCAS 有更充分的了解，该机构可能会要求对这一系统进行额外审查，或许能够就此发现缺陷。

派生自 UNIX、有 40 多年历史的 BSD 称得上是古老的操作系统了，用今天的标准看它的安全性不会有多高。2014 年，Leah Neukirchen 从 BSD3 源码树中发现了密码文件 /etc/passwd，包含了 UNIX/BSD 早期缔造者和开发者如 Dennis Ritchie、Ken Thompson、Brian W. Kernighan、Steve Bourne 和 Bill Joy 等人的密码。这些密码使用了 Descrypt 哈希算法加密，在 40 年前这种 算法是当时最先进的哈希加密算法了，但今天早已过时，Neukirchen 也很轻松的把大部分密码都破解了出来：Dennis Ritchie 的密码是 dmac（他的中间名字是 MacAlistair），Eric Schmidt 的密码是 wendy!!（他妻子的名字），Stephen Bourne 的密码就是 bourne，Kernighan 的密码是 /.,/.,。但还有几个人的密码他没能破解，其中之一是 Ken Thompson。Neukirchen 在 The Unix Heritage Society 邮件列表上发帖请求其他人帮忙破解。10 月 9 日，Nigel Williams 破解了这个密码，他使用 AMD Radeon Vega64 显卡运行 hashcat 程序耗时四天多的时间将其破解。Ken Thompson 使用了一个不同寻常的密码——p/q2-q4!，这是他喜爱的国际象棋游戏一种常用开局的描述记数法。

友讯科技（D-Link）无意修复新发现的路由器远程劫持高危漏洞，理由是相关型号的路由器已经终止支持。漏洞 CVE-2019-16920 存在于 DIR-655、DIR-866L、DIR-652 和 DHP-1565 家用无线路由器的最新固件中，这些产品已经不再销售，但以亚马逊为例，第三方销售商仍在出售。问题根源在于命令执行功能缺乏对任意命令执行的完整性检查，允许攻击者获取管理密码或安装后门。

很可能与埃及政府有关联的黑客组织使用官方应用商店 Google Play 去传播间谍应用，他们针对的目标包括记者、律师和反对派政客。安全公司 Check Point Technologies 披露，黑客组织使用的一个间谍应用叫 IndexY，主要功能是查询电话号码，它需要的一个权限是访问呼叫历史和联络人，虽然权限敏感，就其功能而言似乎是合理的。然而在背后它记录了每一次呼入呼出的电话，以及日期和时间。应用硬编码了域名 indexy[.]org，该域名上的文件显示开发者积极的收集和分析呼叫信息。在被下架之前它的安装量大约 5000 次。Check Point  认为黑客组织使用了至少三种间谍应用，另外两种是 iLoud 200% 和 v1.apk。

卡巴斯基研究人员曝光了一个与乌兹别克斯坦国家安全局有关联的黑客组织，原因是该黑客组织在安装有卡巴斯基杀毒软件的机器上测试恶意程序。乌兹别克斯坦不以网络间谍能力著称，但它的国安局有足够的钱去购买商业间谍软件。卡巴斯基称，乌兹别克斯坦购买了以色列公司 NSO Group 和 Candiru 开发的间谍软件。然而除了有钱外，乌兹别克斯坦的黑客组织看起来缺乏基本的常识。黑客组织不停的购买各种 0day 漏洞，但拿到了储存恶意程序的 U 盘之后他们就将其插到了安装卡巴斯基的机器上，卡巴斯基自动将恶意程序样本上传到了它的服务器上，而上传的域名关联到了国安局。

俄罗斯安全公司卡巴斯基报告，一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者，修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步：黑客首先为被感染的主机安装了数字证书，使其能拦截来自主机的任何 TLS 加密流量；其次，他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。

Google Project Zero 安全团队成员披露，攻击者正在利用一个 Android 0day 漏洞完全控制设备，至少有 18 个型号的手机存在该漏洞，其中包括 Google 的 Pixel 1 和 2，华为 P20，小米的红米 5A 和 A1，三星的 S7、S8 和 S9 等。Google 表示即将释出的 Android 10 月安全更新将修复该漏洞。漏洞源于 Linux 内核，早在 2018 年初就被发现并修复，但出于未解释的原因，补丁没有整合进 Android 的安全更新。安全研究人员称，该漏洞正被以色列公司 NSO Group 或其客户利用，而 NSO Group 代表则否认这一说法。

国内 Android 手机通常移除了 Google Service，许多有国际业务的国内厂商实际上有 Google 的授权，因此 Google Service 虽然移除但其存根仍然留在系统中，用户可以使用安装程序或直接下载 Google APK 恢复 Google Service。华为的情况不同。因为今年早些时候美国的出口禁令，华为的新手机无法获得 Google 授权提供 Google Services。然而华为新旗舰手机 Mate 30 Pro 被发现能安装 Google Services，难道华为在系统中悄悄保留了存根？研究人员发现原因并非如此，而是华为提供了未公开的媒体设备管理（MDM）API，允许获得其授权的应用去安装系统应用如 Google Services，而获得华为授权的一个应用叫 LZPlay。在媒体报道之后，LZPlay 使用的证书撤销了，网站和 APK 都消失了，多篇相关报道也删除了(如 IT 之家，但部分转载还在)，原因未知。

密码管理器 LastPass 修复了一个漏洞，该漏洞让一个网站能窃取用户使用 Chrome 或 Opera 扩展上一次登录的凭证。漏洞是 Google Project Zero 研究员 Tavis Ormandy 发现和报告的，与扩展产生弹出窗的方式有关。在某些情况下，网站能通过 HTML iframe 产生与 Lastpass popupfilltab.html 关联的弹出窗，泄漏最近一次访问的网站密码。LastPass 释出了 4.33.0，修复了该漏洞。

2016 年 12 月，俄罗斯黑客对乌克兰电网发动了前所未有的破坏性攻击。在圣诞节前两天，黑客在乌克兰国家电网运营商 Ukrenergo 的网络内植入了恶意程序，在午夜前，他们打开了基辅北部一家输变电站的所有断路器，造成了一次断电事故。但断电只持续了一个小时，Ukrenergo 的操作人员很简单的就恢复了电力供应。俄罗斯黑客如此大费周章只是触发了一个小时的断电？工控系统网络安全公司 Dragos 对恶意程序代码和网络日志的分析（PDF）显示，黑客的野心要大得多，他们试图造成一次持续的破坏，诱发不只是一个小时二十持续数周甚至数个月的断电。

Mozilla 本周宣布，它计划 9 月晚些时候对美国 Firefox 用户逐步默认启用 DNS-over-HTTPS（DoH）。用户发送的 DNS 请求通常是明文发送给 ISP 的 DNS 解析服务器，在不同的网络环境下，明文发送 DNS 请求被认为不安全的，DoH 设计通过 HTTPs 加密向第三方或用户自己搭建的 DNS 服务器发出域名查询请求。该功能对普通用户当然有安全方面的价值，但问题是 Mozilla 选择的合作伙伴是云计算公司 Cloudflare。许多人担心将所有 DNS 流量发送给同一家公司是有风险的。OpenBSD 项目就做出决定，其平台上的 Firefox 浏览器将默认禁用 DoH。

2011 年，英特尔服务器处理器引入了一项新功能去提升性能，它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIO（Data-Direct I/O）的功能通过避开系统主内存而增加了输入/输出带宽，减少延迟和功耗。但研究人员警告称，攻击者能够滥用 DDIO 去获取按键或其它类型的敏感数据。最有可能的攻击场景发生在启用了 DDIO 和远程直接内存访问的数据中心和云端环境，攻击者可利用漏洞从一台服务器窃取另一台服务器和应用服务器之间交换的 SSH 保护的按键数据。研究人员将这种攻击称为 NetCAT。

数以千计的服务器感染了名为 Lilocked (Lilu)的勒索软件。最早的感染是在 7 月中旬报告的，最近两周愈演愈烈，它被认为主要针对的是 Linux 服务器，可能利用旧版本 Exim 软件的漏洞，但还不清楚勒索软件是如何获得服务器的 root 访问的。勒索软件并不加密全盘文件，而只是 HTML、SHTML、JS、CSS、PHP、INI 等文件格式，加密后的文件扩展变为 ".lilocked，感染勒索软件的服务器仍然能正常运行。勒索软件作者留下了名为 #README.lilocked 勒索通知，因此你可以通过 Google 搜索该文件名找到感染了 Lilocked 的服务器，输入 intitle:"index of" "#README.lilocked"返回了 6000 多个结果，安全研究人员称 Lilocked 加密了 6700 多台服务器，许多感染的服务器都被 Google 索引和缓存了。

Exim 邮件服务器再次爆出了高危漏洞，4.92.1 以内的所有版本都受到影响。漏洞存在于处理 TLS 的代码中，如果 Exim 服务器接受 TLS 连接，那么它就有漏洞，权益方法是不提供 TLS，但开发者并不推荐该方法。这是一个远程代码执行漏洞，已有 POC 漏洞利用。

大约 60 万被用于定位儿童或宠物的 GPS 跟踪器被发现使用简单密码如 123456。GPS 跟踪器价格在 25 到 50 美元之间，可以挂在脖子下或放在口袋里。但这些主要由中国公司制造的设备安全性欠缺，很容易被黑客用于监视或修改真正的位置。安全公司 Avast 发现，GPS 跟踪器除了使用相同密码外，还使用明文传输所有数据，允许同一网络的设备监视或修改敏感数据，比如改变 GPS 坐标。研究人员识别的设备默认密码除了 123456，还有 S1、P1、3G 等等。

趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞，允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。漏洞位于捕捉实时视频的 V4L2 驱动中，是在执行操作前未验证对象的存在导致的。安全专家称，已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在 3 月通知了 Google，6 月 Google 确认漏洞将会修复，但到了 8 月 Google 表示没有进一步的更新。漏洞至今没有修复。