你的朋友给你发了条短信， 但事后发现这条短信不是你朋友发的。这可能吗？安全研究人员Jordan Smith 称这是完全有可能的，他已经将其发现报告给了苹果和 Google。攻击者所需要的是你安装了一个应用，这个应用获取了你的手机号码以及访问联系人列表，然后这些消息发送给攻击者，同时在联系人列表中添加了额外的号码。攻击者使用添加的号码给你发送了短信，其中包含了链接，如果你粗心大意，点击了链接，你就有可能被钓鱼了。Google 将该问题标记为“不可行”，而苹果则表示此类行为能在应用审查阶段发现。Google 的应用审查流程是自动化的，而苹果则是人工。

微软释出了最新版的 Microsoft Malware Protection Engine (1.1.14700.5)，修复了 Windows Defender 的一个远程代码执行漏洞。漏洞编号 CVE-2018-0986，是 Google 的安全研究员 Halvar Flake 首先发现和报告的。该漏洞与解压 .rar 文档有关，Flake 对漏洞的追溯跟踪到了旧版本的开源解压工具 unrar，微软看起来是创建了 unrar 的一个分支，将其整合到自己的杀毒引擎中。在此过程中，微软修改了所有的符号整数变量，变成了未符号的变量，引发了数学比较相关的连锁问题，导致了一个能被恶意 .rar 文档利用的内存损坏错误，能使杀毒软件崩溃或允许恶意代码使用杀毒软件的 LocalSystem 权限完全控制计算机。

微软本周五向 64 位 Windows 7 和 Windows Server 2008 R2 系统释出安全更新，修补今年初释出的 Meltdown 补丁的漏洞。Meltdown 补丁旨在修复英特尔芯片的漏洞，但却被发现存在更严重的漏洞。补丁用意是保护内核内存，防止机密信息泄露，结果是内核内存的漏洞反而更大了，新的漏洞允许任意应用从内核内存提取或写入内容。新释出的补丁 KB4100480 修复了这个严重问题。

流行的开源内容管理系统 Drupal 发布了一则高危漏洞警告，基本上所有的 Drupal 网站或超过 100 万网站受到影响。公告称，Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞，允许攻击者在 Drupal 网站利用多个攻击向量，可能导致网站被完全入侵。开发者在 FAQ 中称，利用该漏洞的的难度几乎为零，攻击者能利用漏洞访问所有非公开数据。对于无法升级的用户，开发者建议暂时用静态网页替代，表示暂时还没有发现漏洞利用。Drupal 的补丁被发现只是限制使用字符“#”。

波音周三遭到勒索软件 WannaCry 的攻击，这家航空巨头晚些时候表示攻击对飞机生产几乎没有影响。波音商用飞机的通信主管 Linda Mills 称，漏洞只存在于少量机器，他们已经部署了软件补丁，波音 777 和其它型号飞机的生产没有中断。WannaCry 利用了 Windows 的漏洞入侵网络，加密机器进行勒索，微软早在去年就已经释出了相关补丁，而安全研究人员也部署了勒索软件的“关闭开关”阻止其扩散。此次对波音的攻击可能使用了新版的 WannaCry。

安全桌面操作系统 Qubes OS 发布了 4.0 的正式版本。Qubes 的每一个应用程序都运行在各自的沙盒中，一个程序有安全漏洞不会影响到其它程序。新版的主要变化包括：完全重写了 Qubes Core Stack，新的 Qubes Core Stack v3 允许开发者更容易扩展架构，能提供旧架构上难以提供的功能，新的 Qubes Admin API，简化了一次性 VM 的定制和灵活性；更灵活更达意的策略定义，灵活的 VM 卷管理器；简化了 Qubes 特定应用和服务的开发；更好的隔离全虚拟化的 VM；重写了 UX/UI；更安全的备份；重写了命令行工具，等等。

你认为英特尔芯片的 Meltdown 漏洞是灾难？还有更严重的，那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁，被发现允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞，而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。想知道你的 Windows 7 系统是否受到影响，可以从 Github 上下载 PCILeech 测试。

美国国家运输安全委员会（NTSB）周二宣布将调查上周五发生的 101 高速公路上的特斯拉致命车祸，检查事故是否涉及到自动驾驶系统。上周五早晨，圣马特奥市的 Wei Huang 驾驶他的特斯拉 Model X 汽车在 101 公路和 85 公路交接处发生车祸，汽车撞到了车道隔离栏上，跟在后面的两辆汽车马自达和奥迪先后撞上了特斯拉。Huang 被紧急送到医院后因伤势过于严重而于当天下午去世。特斯拉发言人表示将会完全配合这次调查。NTSB 的调查通常需要 12 到 18 个月才能完成。特斯拉的股价下跌了 8%。

威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员报告了（PDF）一种新的分支预测攻击，利用现代处理器的预测执行功能去泄漏敏感信息，破坏操作系统和软件为保护重要数据建立的安全边界。这听起来似曾相识。今年初披露的 Spectre 攻击利用的就是处理器的预测执行功能泄漏敏感信息。新的攻击被命名为 BranchScope，与 Spectre v2 攻击有相似之处，都是利用处理器的分支预测行为。Spectre 2 依赖于分支目标缓冲区 (Branch Target Buffer)，而 BranchScope 则是模式历史表 (Pattern History Table)。研究人员针对的是英特尔处理器，他们使用该攻击去泄漏英特尔 SGX (Software Guard Extensions)保护的信息。

如何防止数据被勒索软件和其它具有数据擦除功能的恶意程序删除？普渡大学的科学家开发出一种数据保护技术叫 Reactive Redundancy for Data Destruction (R2D2) ，它是为虚拟机设计的，使用 VMI（Virtual Machine Introspection） 接口在一个受保护的 Guest OS 上拦截文件打开和写入操作，运行一系列策略评估这些操作是否具有已知的破坏模式。如果扫描触发了警告，Virtual Machine Monitor (VMM) 将会创造一个临时的检查点，可作为系统的还原点使用。在实验中，R2D2 成功挫败了 Shamoon (v1 和 v2)、StoneDrill 和 Destover 等恶意程序的删除操作。

安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现了 2,284 个暴露在互联网上的 etcd 服务器，etcd 是一种被计算集群用于储存和分发密码和配置设置的数据库，在默认情况下它不验证身份就对查询返回管理凭证。Collazo 写了个脚本去查询这 2,284 服务器抓取登录凭证，他在收集到 750 MB 的数据后终止了脚本运行，这些数据包含了 8,781 个密码，650 AWS 访问密钥，23 个密钥和 8 个私钥。Collazo 没有验证这些密码，推测应该是有效的。Collazo 和其他安全研究人员指出，etcd 服务器不应该暴露在互联网上，此外管理员应该修改默认设置加入身份验证。

2016 年 6 月，自称独自一人入侵美国民主党全国委员会系统的黑客 Guccifer 2.0 公开了他窃取的电邮等文件，后续的初步调查显示他与俄罗斯有关联。对 Guccifer 2.0 邮件元数据的分析发现，他使用了一个有服务器在法国的匿名服务 Elite VPN，该服务商的总部在俄罗斯。然而 Guccifer 未能一直确保他在登录各种服务时都启用了 VPN。调查人员发现他在一家美国社交网络公司的服务器日志里留下了一个莫斯科的 IP 地址。Twitter 和 WordPress 是 Guccifer 2.0 最常用的美国服务，但两家公司拒绝置评。根据该 IP 地址，美国调查人员识别 Guccifer 2.0 是格鲁乌（俄罗斯军方情报总局）的一名官员，格鲁乌的总部位于莫斯科的 Grizodubovoy 街。

亚特兰大市政系统遭到了勒索软件攻击，攻击者要求每一台被锁定的计算机缴纳约 6800 美元的赎金或支付 5.1 万美元解锁所有计算机。市政府的 IT 部门要求工作人员在发现任何可疑情况后立即关闭计算机。根据公开的勒索软件屏幕截图，攻击者使用的被认为是 Samsam 的一个变种，这种勒索软件利用的是 Java 应用服务器中的漏洞，目前不清楚攻击者是否利用了相同的方法感染系统的。FBI、国土安全部以及知名的 IT 公司微软和思科正参与调查。

中国漏洞研究团队缺席了上周举行的安全挑战赛 Pwn2Own，北京长亭科技公司的一名代表称，去年底政府告诉他们不要去参加此类竞赛，该公司将把注意力转移到完善产品，构建中国更安全的网络空间。美国战略与国际研究中心的高级副总裁 Andrew Lewis 说，一些中国黑客是世界最顶尖的，他们的缺席让比赛变得不那么有趣，把人才留在家里有利于网络攻击。中国漏洞研究团队现在计划直接向安管中心的国家信息安全漏洞库报告他们的发现，获得国家的认可和奖励。杭州默安科技有限公司 CTO 魏兴国（aka 云舒）称，就像美国禁止出口部分加密算法，中国迫使安全团队不去国外参加比赛，这种做法是有意义的。如果网络空间是一个战场，那么漏洞就是弹药。

2016 年安全公司 Check Point 披露了被称为 Gooligan 的恶意程序劫持了超过一百万 Google 账号令牌。该恶意程序利用 Kingroot 工具 root 被感染的设备，窃取访问 Google Play、Gmail、Google Photos、Google Docs、G Suite 和 Google Drive 数据的认证令牌。现在，Google 的安全研究员 Elie Bursztein 发表了多篇博文介绍了该恶意程序的内部工作原理及其幕后的攻击者。研究人员在代码中发现了一个罕见的字符串 versea_adjust_read_redis，搜索该字符串找到了一篇讨论负载均衡配置的中文博文，结果发现该博文其实是完整的 Gooligan 后端服务配置文件。研究人员认为攻击者位于中国大陆，伪装成市场营销公司，实际上背后运作了多种骗局。Gooligan 使用的数据中心一个是美国的亚马逊 AWS，还有一个在中国，当该恶意程序遭到 Google 的打击之后，Gooligan 的基础设施迁回到了中国。

Check Point 的研究人员报告了一个感染五百万 Android 设备的广告软件 RottenSys。研究人员称，有证据显示这种广告程序已渗透进供应链，手机在出售前就预装了该广告程序。RottenSys 利用了托管在 Github 上的 Android 开源组件如 Small 和 MarsDaemon，通过展示广告和静默下载获利。它使用了腾讯和百度的广告平台。研究人员发现，它的一个主要分销渠道商是杭州的天湃，而天湃的手机客户包括了三星、HTC、苹果、小米、中兴、酷派、联想和华为。RottenSys 广告程序主要影响华为和小米手机。Check Point 监视了 RottenSys 的 CC 服务器，发现它在十天之内弹出了 13,250,756 次广告，其中 548,822 次转换成点击，根据每次点击 20 美分和每千次展示 40 美元计算，RottenSys 期间共获利 11.5 万美元。研究人员建议弹出广告的用户查看手机中是否有”每日黄历“、”畅米桌面“和“系统 WIFI 服务”等应用（以及一个服务包 com.system.service.zdsgt），找到后删除。

Firefox 向用户提供了一个可选的主密码系统保存浏览器记录的网站密码。但专家指出，Firefox 使用的加密方法不安全，很容易被暴力破解。AdBlock Plus 扩展作者 Wladimir Palant 表示他检查了源代码，发现加密功能使用 SHA-1 函数哈希一个由随机盐和主密码组成的字符串，SHA-1 函数只迭代一次，而行业标准是至少迭代一万次。如 LastPass 密码管理器就迭代了 10 万次。弱加密意味着攻击者很容易暴力破解出主密码，随后再破解出数据库里保存的网站密码。这个问题 Mozilla 应该早就知道了，早在九年前就有人在 bugzilla 报告了弱加密问题。

年度黑客挑战赛 Pwn2Own 于上周举行，这次挑战赛中国的安全研究人员缺席了。过去几年，来自腾讯的 Keen Labs 和奇虎 360 的 360Vulcan 团队几乎统治了挑战赛，赢得了大部分比赛。但这一次他们因为监管要求被禁止参加。Pwn2Own 经理 Brian Gorenc 称，中国不再允许其研究人员参加。主办方趋势科技证实，今年没有中国安全研究人员出席。此事被认为是一个令人不安的趋势。

在 Spectre 和 Meltdown 芯片漏洞披露之后，整个 IT 行业被迫行动起来这两大问题，显然 IT 行业需要更多的眼睛才能避免另一场严重性相似的危机。微软现在向新 Spectre 和 Meltdown 漏洞的发现者提供了最高 25 万美元的赏金。该赏金项目针对的是预测执行漏洞，Spectre 和 Meltdown 的核心问题就是预测执行。要得到 25 万美元的最高赏金，递交 的 bug 必须属于预测执行攻击的新类别，必须是微软或行业合作伙伴都不知情。

供应链攻击越来越常见。BT 应用 Mediaget 的更新服务被入侵，攻击者向其用户推送了植入后门的版本，在潜伏一段时间之后再推送恶意程序，试图利用 40 多万用户的计算机挖矿数字货币。更新中毒大约发生在 2 月 12 日到 2 月 19 日之间，攻击者直到 3 月 1 日才开始传播恶意程序，安装名叫 CoinMiner 的挖矿程序。微软在 3 月 6 日探测到了这次攻击，该公司研究人员报告它的安全程序 Windows Defender 屏蔽了 40 多万实例，感染主要发生在俄罗斯、土耳其和乌克兰。攻击者使用的恶意程序是 Dofoil 的一个变种，使用了合法的证书，微软怀疑其窃取自一家未披露名字的公司。免费软件 CCleaner 的更新服务器去年曾遭到入侵，攻击者释出了一个后门版本。