今天的安全早报包括：含有希思罗机场机密信息的 U 盘遗失，警方已展开调查；谷歌 reCAPTCHA 再遭破解；因荷兰新立法涉及网络监控，Mozilla 或将取消对荷兰 CA 证书的信任；谷歌官方漏洞追踪系统有缺陷，可被攻击者利用甚至泄露敏感漏洞信息；iPhone中的 APP 获得摄像头授权后，可秘密拍照甚至录像，获取用户隐私；虚假 Youtube 链接在 Facebook 上散播；炒币江湖转移至地下，微信群主日撮合30万交易。                

以下请看详细内容：            

【国际时事】

含有希思罗机场机密信息的 U 盘遗失，警方已展开调查

上周末，一名英国人在伦敦西北部的 Queen’s Park 附近捡到含有希思罗机场机密安全文件的 U 盘并通报给外媒。现警方已介入调查。据报道，该 U 盘中包含至少 174 份机密文档，涉及希思罗机场的安全管控措施、安保协议等，具体包括：巡逻时间表；CCTV 摄像机的位置；访问限制区域所需的安全证章类型；隧道，接入点和限制区域的地图；女王和其他 VIP 人员前往希思罗机场皇家套房私人区域的路线，以及往来希思罗机场的贵宾的安全协议。

这些内容对于有意干扰机场秩序或者试图袭击 VIP 的攻击者十分有利，大部分都标记为“机密”或“保密”。有趣的是，这些标签下面还有旧的标签。但是，就算这些文档是过时的旧文档，也可能会被攻击者利用，作为对机场现状规划的参考。目前还不清楚这个包含机密文档的 U 盘是如何丢失的，警方正在紧急调查。[来源：SecurityAffairs]

谷歌 reCAPTCHA 再遭破解

马里兰大学（UM）的四名计算机科学专家团队设计了一种新的自动化系统 unCAPTCHA，可以以85％的准确度破解 Google 的 reCAPTCHA。这个系统针对的不是 reCAPTCHA 基于图像的功能，而是 Google 为方便残疾人士而推出的音频版本的 reCAPTCHA。unCAPTCHA 通过下载这个音频验证码并将其反馈到六个文本到语音（TTS）系统，聚合结果，并将最接近的答案提供给 Google 服务器。

测试显示，unCAPTCHA 在 6 秒之内可以破解 450 个 reCAPTCHA    验证码，准确率高达 85.15%，这个时间比人工识别一个 reCAPTCHA 音频验证码的时间还短。目前，这个系统已经在 GitHub 上公开，从公布的代码来看，运用了多种 TTS 系统，如 Bing 语音识别、IBM、谷歌云、谷歌语音识别、Sphinx、Wit-AI 等。[来源：bleepingcomputer]

因荷兰新立法涉及网络监控，Mozilla 或将取消对荷兰 CA 证书的信任

据外媒报道，《荷兰信息安全服务法案》将在 2018 年 1 月实施，法案中有一条内容宣称荷兰当局有权保留元数据并进行监控活动。知情人士表示，荷兰官方 CA 是由荷兰内政及王国关系部下属的 PKIOverheid / Logius 部门运营的，而这个内政及王国关系部也同时运营者 AIVD 情报机构。

这项新的法律将授权情报和安全机构拦截并分析有线（Internet）流量，甚至进行远程授权，包括隐蔽的技术攻击，以方便他们访问加密流量。第45条1.b明确授权在第三方系统中使用”假密钥“来获取系统和数据的访问权限。

综上所述，Mozilla 表示，这个新法案可能迫使荷兰的官方 CA 机构滥用 SSL 代理来支持拦截。而荷兰秘密情报机构可以在官方 CA 机构的支持下获取加密流量，这可能会危及其他欧洲国家。因此，Mozilla 很可能将取消对荷兰官方 CA 证书的信任。[来源：Securityaffairs]

【漏洞威胁】

谷歌官方漏洞追踪系统有缺陷，可被攻击者利用甚至泄露敏感漏洞信息

近日，一名罗马尼亚的研究人员发现谷歌官方漏洞追踪系统中出现三个缺陷。其中一个可被攻击者利用，甚至泄露敏感的漏洞信息。该研究人员将漏洞命名为“谷歌漏洞圣杯”（Holy Grail of Google bugs），因为攻击者可能利用这个漏洞获取更多谷歌产品的漏洞（有些甚至没有修复），然后自己利用进行攻击或者在暗网销售，可能导致大量谷歌用户陷入风险。

谷歌官方漏洞追踪系统也叫 Buganizer，是一个类似于论坛的应用，可以追踪漏洞报告和谷歌产品的安全缺陷。由于这个系统是谷歌的核心漏洞追踪系统，因此很可能包含谷歌内部系统的漏洞。

三个漏洞分别是：可以使用 Buganizer 生成邮箱地址的命名机制，注册 @google.com 邮箱；可以订阅并接收原本无法获取的漏洞通告；可以欺骗 Buganizer API 授权攻击者获取任一漏洞；

谷歌对这个三个漏洞分别奖励 3133.7 美元、5000 美元和 7500 美元。[来源：bleepingcomputer]

iPhone中的 APP 获得摄像头授权后，可秘密拍照甚至录像，获取用户隐私

日前，谷歌工程师 Felix Krause 发现 iPhone 中出现涉嫌隐私泄露的问题。只要软件获取了摄像头权限，就可以在用户不知情的情况下利用前后摄像头拍照、录视频，获取用户隐私。摄像头授权只是 iPhone 操作系统的一个功能，并非是漏洞。但是恶意 APP 可以利用这个功能暗中记录用户的活动；有了授权，APP 可以进行如下操作：前后摄像头拍摄；在任何时候都可以拍照、录像并立即上传拍摄或录制到的内容；实时人脸检测，获取用户面部细节特征等。所有操作都可在用户不知情的情况下进行。

研究人员建议，可以将一次授权、长期有效的机制改为临时性授权，把 APP 的摄像权限控制在一定时间段内，在关闭后立刻取消授权。此外，还可以引入预警机制，在 APP 秘密拍摄时告知用户。而最简单粗暴的方式则是，学习 Facebook 的 CEO 扎克伯格和前 FBI 特工詹姆斯·科米,在不使用时，把摄像头遮挡起来。[来源：TheHackerNews]

虚假 Youtube 链接在 Facebook 上散播

Facebook 上充斥着垃圾推送、诱骗点击内容、缩略图等，用户一般不会随意点击，但是，如果有些内容正好是用户感兴趣的，而且显示来自正规网站（如 YouTube 或 Instagram），那么用户就有可能点开，最终上当受骗。今年 7 月，Facebook 已经采取安全措施，禁止编辑标题、描述、缩略图等分享页的信息，但是，攻击者依然可以利用分享的链接制作虚假 URL，诱骗用户访问恶意页面，对用户钓鱼。这个攻击主要是利用了 Facebook 获取链接预览的过程：Facebook 通过浏览分享链接的 Open    Graph meta 标签来确认分享源页面的属性，尤其是通过 ‘og:url’、’og:image’和 ‘og:title’这三个标签获取 URL、缩略图和标题。但是，Facebook 并不会检查  ‘og:url’ meta 标签中的 URL 与页面的真实 URL 是否相同，因此，攻击者可以在 ‘og:url’meta 标签中添加合法 URL，并在真实链接的页面中插入恶意内容，进而诱骗用户。

发现这一现象的 24 岁研究员 Barak Tawily 将实情报告给 Facebook 后，Facebook 拒绝承认这是漏洞，并声称自己一直采用“Linkshim”防御此类攻击。看来用户要想保护好自己，点击链接时，必须谨慎再谨慎才好。[来源：TheHackerNews]

【国内新闻】

炒币江湖转移至地下，微信群主日撮合30万交易

昨天（10月30日），比特币价格再创新高，一度突破6345美元。915监管大限后，国内比特币交易所陆续关闭，却并没有阻挡投资者的步伐，在各大场外平台、微信群、QQ群，散户投资人们依然活跃。据称，有微信群群主一天就撮合了 30 万的交易。

除了微信群，场外交易平台也非常火爆，LocalBitcoins，Paxful，CoinCola以及BitcoinWorld，都吸引了大量中国用户，公开数据显示：2017年以来，Paxful的交易订单，有96.3%通过支付宝完成人民币转账；在CoinCola，85%的卖单广告选择的支付方式为支付宝。火币网、OKCoin这2家主流比特币交易平台也在转型，火币全球旗下专业站Huobi.Pro即将上线场外点对点交易服务，支持全球法币对数字资产的汇兑。从交易所转战场外平台，这场愿赌服输的游戏远没有结束。[来源：    cnBeta]

转载至freebuf网站：freebuf