悬镜安全丨第四十五期 全球一周安全情报（0902-0906）

悬镜安全丨第四十五期 全球一周安全情报（0902-0906）

纵观全球态势，感知安全天下。悬镜安全精心筛选过全球一周安全大事，带你聚焦安全热点。

1

网络安全一揽子新政将密集落地

记者从国务院新闻办28日举办的新闻发布会上获悉，相关部门正在围绕数据安全管理、关键信息基础设施安全保护、支持网络安全技术产业发展等方面密集酝酿新政，并着力培育一批具有国际竞争力的网络安全企业。

中央网信办副主任、国家网信办副主任刘烈宏表示，当前网络安全威胁和风险日益增多，地下黑产、电信网络诈骗等各类违法犯罪活动时有发生，数据安全和侵犯个人隐私问题日益凸显。

目前我国正在加快网络安全相关政策布局。《中国产业互联网安全发展研究报告》显示，截至2018年，国家22部委出台法律法规近200部，促进网络安全发展。预计两年内，中国网络安全将形成千亿市场。工信部日前表示将进一步优化产业政策环境，加快出台促进网络安全产业发展的指导意见，扎实推进国家网络安全产业园区建设。

刘烈宏透露，下一步将重点从加强数据安全管理和个人信息保护、强化关键信息基础设施的保护、培育扶持网络安全技术产业做大做强、抓好网络安全人才培养等方面开展网络安全工作。具体举措包括：加快出台数据安全管理办法、个人信息出境安全评估办法等相关法规制度和标准规范。加快出台关键信息基础设施安全保护条例，强化网络安全态势感知，监测预警和应急处置能力建设。加强网络安全技术产业的规划和整体布局，完善支持网络安全技术产业发展的政策措施，培育一批具有国际竞争力的网络安全企业。实施好一流网络安全学院建设示范项目，加快建设国家网络安全人才与创新基地。

针对个人信息保护，更大力度监管举措将落地。据悉，目前，数据安全管理办法、个人信息出境安全评估办法已经完成公开征求意见；相关部门正组织制定移动互联网应用程序收集个人信息基本规范等标准草案；中央网信办等四部门联合开展的APP违法违规收集使用个人信息专项治理行动已向100多家问题较严重的APP运营者发送了整改通知，督促其整改。（记者郭倩）

原文链接地址：CP消息）包含了哪些配置呢？

某安全团队研究人员说，实际上不受信任的安装配置可能会使你的数据隐私受到威胁，并允许远程攻击监视用户的数据通信。因为安装不受信任的设置可能会使你的数据隐私受到威胁，允许远程攻击者监视你的数据通信。

根据Check Point分享的一份新报告，一些设备制造商（包括三星，华为，LG和索尼）实施的弱认证配置消息可以让远程黑客欺骗用户用恶意攻击者更新他们的设备设置-受控代理服务器。

反过来，这可能允许攻击者轻松拦截目标设备通过其数据载体服务（包括Web浏览器和内置电子邮件客户端）进行某些网络连接。

研究人员在2019年3月向受影响的Android手机供应商报告了他们的调查结果。三星和LG分别在5月和7月的安全维护版本中解决了这个问题。        华为计划在下一代Mate系列或P系列智能手机中解决这个问题，而索尼拒绝承认这个问题，并声称他们的手机设备遵循OMA CP规范。        即使在获得补丁后，研究人员也建议用户不要盲目信任来自移动运营商的消息或互联网上提供的APN设置，声称可以帮助用户解决数据载体服务中的故障排除问题。

原文链接地址：Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞，Fastjson 1.2.60版本以下存在字符串解析异常，可导致远程拒绝服务攻击。

攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击，可导致服务器宕机。

原文链接地址：phishing语音钓鱼简称）让一家公司损失了24.3万美元。

据了解，今年3月，犯罪分子利用商业可用的语音生成AI软件模仿了一位来自拥有一家英国能源公司的德国母公司的老板。然后他们骗这家能源公司的首席执行官让他在一个小时内将资金汇给一家匈牙利供应商，另外还保证这笔资金会立即得到报销。

报道称，当这位CEO听到熟悉的、带有轻微德国口音的声音之后并没有对此产生怀疑。

然而事实上，这笔汇款不仅没有得到报销而且骗子们还继续冒充这位德国老板要求另一笔紧急汇款。不过这次，这位英国CEO拒绝付款了。

获悉，这位英国CEO转给所谓的匈牙利供应商的这笔钱最终被转移到了墨西哥及其他地方。当局目前并未确定此次网络犯罪背后的罪犯身份。

不难看出，这种基于AI的网络攻击仅仅是企业和组织在未来可能面临的主要难题的开始。随着模仿声音工具技术的不断改进，犯罪分子利用这些工具牟利的可能性也会不断增加。

根据设计反欺诈语音软件的网络安全公司Pindrop在去年发布的报告显示，从2013年到2017年，语音欺诈案件增加了350%，其中每638个电话中就有1个是人工合成的。

由此可见，基于AI的工具的兴起既有优点也有缺点。一方面，它为技术的探索和创造提供了空间，而另一方面，它为犯罪、欺骗以及欺诈提供了可能性。

原文链接地址：0Day收购价高达250万美金

近日，漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价，发现自2015年公司成立以来，安卓0day漏洞价格首次高于iOS漏洞价格。

参考链接来自：http://uee.me/aYHUk

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。