过去一年发生了多起从电商网站窃取用户信用卡数据的安全事故，如新蛋的结帐页面在长达一个月里被人植入了窃取信用卡数据的恶意代码。最新的这起事件其特别之处是网站遭到了两帮互相竞争的黑客的入侵。受害者是 Umbro Brasil，第一帮黑客利用网站漏洞植入了明文的 JavaScript 代码，当用户完成支付时将支付的卡号信息发送给攻击者。第二帮黑客可能利用相同或不同的漏洞入侵网站，植入了混淆过的 JavaScript 代码，第二帮黑客还纂改了第一帮黑客植入的 JS 代码，在发送用户的信用卡数据时用随机生成的数字替换了信用卡的最后一位号码，意味着有 90% 的机会第一帮黑客获得的数据是错误的。

乌克兰的计算机应急响应小组和对外情报局探测到了 Pterodo 后门的新变种。Pterodo aka Pteradon，专门针对的是乌克兰的军事和政府目标，它被用于嵌入其它恶意程序和收集情报，工作在 Windows 操作系统上，但只对使用前苏联加盟国所用语言如乌克兰语激活。Pterodo 被认为来自与俄罗斯联邦安全局相关联的黑客组织，新的后门变种促使乌克兰警告即将到来的大规模网络攻击。

从官方应用商店 Google Play 下载的应用未必安全，尤其是由名叫 Luiz Pinto 的开发者开发的 13 款赛车游戏应用。安全研究人员报告，这些恶意应用的下载量超过 56 万，它们实际上都不是游戏，启动之后图标会隐藏起来，会下载其他应用并安装，许多用户都给这些应用留下了 1 星的评分，用户反映在被强行下载其它应用之后他们的手机变慢了。目前并不清楚额外下载的应用是什么，推测应该是恶意应用。这远不是第一次官方应用商店发现恶意应用， Google 的应用审核流程一直受到批评，但搜索巨人看起来并不想做出改变。

暗网托管商 Daniel's Hosting 上周被黑，网站下线，托管的网站也被黑客删除。因为暗网的特殊要求，网站都没有备份可以恢复。Daniel's Hosting 的站长 Daniel Winzen 称，事故发生在 11 月 15 日 10-11 PM UTC，有人访问了数据库删除了所有账号，服务器的 root 账号也被删除，托管的 6500 多个网站也全部消失。所有数据全部丢失，没有备份——如果有备份的话托管商可能会收到法庭的传票，如果其托管的某个网站遭到调查的话。Daniel Winzen 表示他会在识别漏洞和堵上漏洞后恢复托管服务。

Metric Labs 的调查发现， Google Play Store 和 Apple Store 里的流行免费 VPN 应用有大约六成由中国开发者开发或中国人所有。这一发现引发了数据隐私方面的担忧。研究人员分析了 Google 和苹果应用商店里的 top 20 free VPN apps，这些应用的下载量多在 100 万以上，结果如图所示，超过一半为中国开发者所有。此外，这些 免费 VPN 基本上不存在隐私保护，用户支持也很少。 通过这些 VPN 的用户数据可能会被记录下来，最糟糕的情况可能是数据会被提供给中国政府。

在 Meltdown、Spectre 、 Foreshadow 和 BranchScope 之后，研究人员报告了七种新的预测执行攻击，部分攻击能用现有的缓解技术缓解，其余则需要新的技术，为了保护存在漏洞的系统未来需要更多工作要做。 研究人员报告了一种新的 Meltdown 攻击变种，利用了英特尔的 Protection Keys for Userspace(PKU)，另一个攻击利用了英特尔的 Memory Protection eXtensions (MPX)，两种攻击都利用无效访问让处理器的预测执行功能泄漏敏感信息。另外五种攻击其中四种是分支预测。这些攻击除了对英特尔处理器有效外，还影响到 AMD 处理器和 ARM 处理器。

去年爆发的 WannaCry 勒索软件攻击利用了黑客泄漏的 NSA 漏洞利用代码 EternalBlue，被感染的电脑遍及全世界，此次勒索软件攻击的规模空前，虽然它已经失效，其使用的域名已被安全研究人员关闭，但仍然在不受控制的扩散，一年之后它依旧是最流行的勒索软件。根据卡巴基斯的数据，WannaCry 占到了 28% 的勒索软件攻击。WannaCry 的幕后攻击者被认为是朝鲜的黑客组织。

风水轮流转 写道 "加州大学河滨分校的研究人员发现了三种针对Nvidia GPU有效而实用的侧信道攻击。这些攻击可用于破解密码，窥探在线活动，并使用机器学习来发现闭源的神经网络结构。该论文主要关注Nvidia显卡，但研究人员还向AMD和英特尔通报了这些漏洞并将继续对其进行调查，包括能否针对安卓手机实现攻击。

大多数人并不认为GPU是高价值目标。攻击者不太会对游戏、电影等媒体的内容感兴趣。但是，随着科技公司越来越依靠GPU来分担计算压力，这使得Nvidia的产品成为吸引人的目标。"

360 旗下的安全实验室报告了一个控制了大约 10 万家用和小型办公室路由器的僵尸网络，该僵尸网络被命名为 BCMUPnP_Hunter，利用了博通芯片组中 Universal Plug and Play 协议实现的漏洞，该漏洞早在 2013 年就已经曝光，受影响的路由器型号来自 Broadcom、Asus、Cisco、TP-Link、Zyxel、D-Link、Netgear 等。安全研究人员通过扫描发现僵尸网络感染了 116 种路由器型号，访问 Outlook、Hotmail、Yahoo! Mail 等、邮件服务器，因此怀疑攻击者的意图主要是和发送垃圾邮件有关。

俄罗斯曾借助匿名人士或 Wikileaks 之手公开美国开发的恶意程序和黑客工具，而美国的网络战司令部 CYBERCOM 现在则解密了俄罗斯政府开发的恶意程序样本，虽然它没有指明恶意程序是俄罗斯开发的。美国网络战司令部表示此举旨在改善与安全社区的信息分享，但它从侧面发出警告：美国也会公开敌对方的恶意程序。CYBERCOM 向 Google 的恶意程序库 VirusTotal 上传了恶意程序样本，样本之一被认为属于俄罗斯黑客组织 APT28，aka Sofacy 和 Fancy Bear。安全公司认为该恶意程序已不再活跃。

当你发现自己误删了一份文件，然后使用恢复软件试图恢复文件，结果却从恢复的文件里发现了大量敏感的屏幕截图，包括你使用加密应用的截图，你的比特币钱包截图，这些图显然不是你截下的，那么究竟是谁做的呢？你可能感到很震惊，难道你被偷偷安装了间谍软件？仔细查看这些图像的元数据，你发现了 Google 的 Copyright 声明，原来它们都是 Google 的 Android 系统截的图。Android 以及 iOS 引入了名叫“最近的应用”或“最近的活动”的导航功能，这项功能会自动给你运行的应用截图。如果想要不被截图， Android 应用需要设置 FLAG_SECURE，防止系统给你的应用截图。如果你的应用包含敏感信息，那么最好的方法是设置一下，知名的端对端加密消息应用 Signal 就启用了该选项。

大疆是世界最大的消费者无人机制造商，美国政府曾对大疆无人机发出警告，担心它收集的美国基础设施信息会提供给中国政府。现在 Check Point 的安全研究人员在大疆身份识别系统中发现了一个漏洞允许任何攻击者将无人机变成一种间谍工具。漏洞已经修复，它允许攻击者完全控制用户的账号，访问储存在云端的飞行记录，航拍照片，用户的信用卡信息，以及无人机摄像头和麦克风的实时信息。

思科本周释出了 15 个补丁，其中之一是移除后门账号。到今年为止，思科已经从其产品里移除了 7 个后门账号，大部分是测试或调试之后留在软件/固件里的调试账号。7 个中有 5 个是思科自己的内部审计发现的，只有两个是外部安全研究人员发现的。自 2015 年 12 月开始内部审计以来，思科定期梳理其所有软件的源代码。该公司是在安全研究人员从其竞争对手 Juniper 的操作系统 ScreenOS 里发现后门账号之后开始审计自己的产品源代码的，Juniper 的后门能允许攻击者解密 VPN 加密流量。

荷兰警方称他们破解了加密应用 IronChat，解密了通过 IronChat 发送的超过 25.8 万条消息。警方没有解释他们是如何破解的。荷兰警方在声明中称，犯罪分子以为他们能使用运行 IronChat 的所谓的加密手机安全通信，荷兰东部的警方专家已经成功访问了这些通信。结果是，警方有时候能实时观看犯罪分子之间的通信。IronChat 是一个端对端加密消息应用，安全研究人员认为可能是系统中的一个错误让警方能破解加密。

伊朗据报道它的基础设施和战略网络遭到了比 Stuxnet 蠕虫更猛烈、更先进更复杂的网络攻击。 Stuxnet 蠕虫设计攻击伊朗的铀浓缩设施，被认为是以色列和美国开发的，是少数攻击物理设施的恶意程序。最新的网络攻击是否与以色列有关，以色列官员拒绝置评。国家电视台报道称，伊朗最高领袖哈梅内伊（Ayatollah Ali Khamenei）告诉负责网络防御的官员要加大努力打击敌人的渗透。对于哈梅内伊所指的渗透，国家电视台没有给出更多的细节。

安全公司 Armis 在德州仪器生产的蓝牙低功耗芯片发现了两个高危漏洞，能被利用入侵使用这些芯片的 Wi-Fi 接入点。思科、Meraki 和 Aruba 出售的设备受到影响，补丁已经释出，受影响的用户需要尽可能快的更新。安全研究人员还给漏洞起了一个绰号叫 BLEEDINGBIT。影响思科和 Meraki 设备的漏洞编号 CVE-2018-16986，它组合了堆溢出和溢出静态变量，能被用于破坏内存和执行恶意代码，利用该漏洞需要设备启用蓝牙低功耗和设备扫描，在默认情况下设备扫描是关闭的。影响 Aruba 设备的漏洞编号 CVE-2018-7080，是德州仪器内置在芯片中的 OTA 固件下载功能导致的。在实际中利用这两个漏洞还是有很大难度的。

从今年 4 月起，D 语言官方编译器被杀毒软件 McAfee、VBA32、Kaspersky、奇虎 360 Windows Defender 等十多个杀毒软件报告是木马或其它可疑程序，开发者称编译器没有问题，是这些杀毒软件误报了。D 语言德国开发者 Martin Nowak 称，从 2.082.0 版本起 Windows 版本安装程序有签名，他们递交程序供杀毒软件检查没有发现任何问题。根据微软官方博客的说明，避免误报的最佳方法是将你的程序发布在它的围墙花园 Microsoft Store 应用商店里。

美国内政部的调查人员发现，地质勘探局（USGS） 位于南达科他州的 EROS 卫星成像中心的一名工作人员在工作电脑上访问了数以千计的色情网页，其中部分网页包含了恶意程序，恶意程序下载到了他的笔记本电脑上并渗透进入到了 USGS 的网络。调查人员发现，许多色情图像被保存到了未经授权的 USB 设备和其个人的 Android 手机上。调查人员发现他的 Android 手机也感染了恶意程序。这一发现公布在本月初的报告中，但此前一直未被人注意到。

国泰航空发表新闻稿，披露包含 940 万乘客资料的信息系统被未经授权获取，称它已经通知了警方。国泰表示它没有发现证据显示任何个人资料曾被不当动用。受影响的资讯系统与国泰航空的航班运作系统为两个完全独立的系统，这次事件不会对国泰航空的航班安全构成任何影响。未获授权获取的个人资料可能包括：乘客姓名，国籍，出生日期，电话号码，电邮地址，地址，护照号码，身份证号码，飞行常客计划的会员号码，顾客服务备注，及过往的飞行记录资料。此外还有 403 张已逾期的信用卡号码曾被不当获取。另有 27 张无安全码的信用卡号码曾被不当获取。

安全研究员 SandboxEscaper 通过 Twitter 披露了另一个 Windows 0-day 漏洞，他在 GitHub 上公布了漏洞利用的概念验证代码（删除 PCI 驱动，请勿直接在自己的 Windows 机器上测试）。该漏洞允许未经许可删除任何文件，其中包括系统文件，它可用于提权。漏洞与 Data Sharing Service 有关，它存在于 Windows 10、Server 2016 和 2019 操作系统中，因为需要同时进行两次行动，SandboxEscaper 称在单核机器上利用漏洞非常困难。微软还没有释出补丁，临时的修正已经通过 oPatch 平台提供。