★隐私保护

◇2020年实施的《密码法》

此「密码」非彼「密码」

根据《人民网》，密码法中的密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。主要功能是为了加密保护和安全认证。这与日常生活一般人用在电子邮件、社交媒体、手机上使用的「密码」不同。

对此台港科技媒体「科技新报」、「Unwire」都提到，这个法案主要是为了管理区块链，透过规范与整合加密技术，因应未来加密货币推广，和相关密码技术不会对国家安全造成影响。
报导中也提到，事实上， 中国政府若要取得人民的资料，不需要《密码法》，直接引用2016年制定的《中华人民共和国网路安全法》，不需要密码就可以拿到。

◇【学习强国 app】的隐私问题

◇【面部识别】的隐私问题

伯克利成为加州第三个美国第四个禁止政府使用面部识别技术的城市。在得到广泛支持之后，市议会投票一致通过了议员 Kate Harrison 今年初提出的法规。
麻省的 Somerville 是美国东海岸第一个禁止政府使用面部识别的城市，西海岸的湾区有三座城市，旧金山和奥克兰以及现在的伯克利。
新的法规还遵守了加州的一项州法律——A.B. 1215，从2020年1月1日起，警察暂停三年在佩戴的摄像头上采用面部识别技术。

大型民意调查显示，大部分人希望选择传统的识别方法，而不是面部识别技术。这反映出世界第二大经济体对个人数据保护的担忧日益加剧。

中国已率先在全球推广面部识别，并在交通枢纽、学校、购物中心和居民区安装面部扫描器。
不过，根据北京的南都个人信息保护研究中心（Nandu Personal Data Protection Research Centre）周四公布的结果，虽然 60% 至 70% 的人认为科技让生活更安全、这些设置让生活更便捷，但用户担心自己的个人信息泄露，而且希望更多地掌控自己的数据。

这项调查突显出，中国面部识别的普及已产生广泛的担忧甚至抵触。该调查发现，74% 的受访者希望选择传统的识别方式，而非面部识别。
......

◇【抖音 ＆ TikTok】的隐私问题

对 Tiktok 应用和网站流量的分析发现，它会将用户数据发送给 Appsflyer 和 Facebook，会利用设备指纹跟踪用户。Tiktok 短地址被发现包含了安装 ID，可用于识别谁分享了视频。
它甚至还能跟踪谁观看了视频。它使用的跟踪技术包括了 Canvas Fingerprinting，在后台使用矢量图形命令绘制图形，保存图像到一个栅格化 PNG 文件，根据硬件和浏览器该数据在不同设备之间具有唯一性；它还使用音频指纹识别观看者，内部生成音频然后记录比特流，这一数据在设备之间也具有唯一可识别性。北京字节跳动称指纹被用于识别恶意浏览器行为，但研究者对此表示质疑。

TikTok 母公司北京字节跳动在美国被控违反了儿童隐私保护法。字节跳动在 2017 年收购了面向青少年的对口视频应用 Musical.ly，将其重命名为 TikTok。诉状称，字节跳动未经父母明确同意从年龄低于 13 岁的 Musical.ly 用户收集数据，并将数据出售给第三方广告商。
儿童在线隐私保护法 COPPA 禁止社交媒体公司未经父母明确同意收集儿童数据。TikTok 发言人表示他们已经知道诉状中的指控，虽然他们不同意大部分指控，但正与各方合作去解决问题。

◇【加密货币】的隐私问题

◇【智能设备】的隐私风险

普林斯顿大学的研究显示，联网智能电视加载了大量的跟踪程序。如果你使用 Roku 或 Amazon Fire 等设备，那么有很多公司能对你正在观看的内容构建相对全面的画面。
普林斯顿计算机科学副教授 Arvind Narayanan 和同事开发了一个机器人程序自动在 Roku 和 Amazon Fire 上安装了数千个频道，然后它模拟人类行为去浏览和观看视频，在播放广告时它会跟踪幕后的数据收集。设备类型、城市等信息对用户来说称不上唯一，但设备序列号、Wi-Fi 和广告 ID 则能跟踪到个人。某些频道甚至会向跟踪器发送未加密的电邮地址和视频标题。研究者在 69% 的 Roku 频道和 89% 的 Amazon Fire 频道上发现了跟踪器，许多跟踪服务商属于 Google 等知名企业，但还有许多鲜为人知。89% 的 Roku 频道发现了 Google 的广告服务 DoubleClick。搜索巨人在一份声明中表示它制定了保护用户隐私的行业准则。

智能电视正逐渐进入到千家万户，和许多能联网设备一样，厂商并没有将安全放在最重要的位置，它的安全漏洞为黑客打开了一扇窥视之窗，而很多智能电视还配备了摄像头和麦克风。
FBI 就智能电视的安全性向消费者发出了警告。FBI 称，除了电视厂商和应用开发者可能会监听和监视你之外，黑客也可能潜入进来。黑客可能不会直接访问你锁定的计算机，但不安全的电视可会其提供了方便之门。黑客可能会控制不安全的智能电视，而最糟糕的情况是会控制摄像头和麦克风进行监听和监视。

◇【云平台】的偷窥

最近参加活动购买京东云服务器，为了测试 sock5 装上了 Shadowsocks，在随即的两小时之后，收到了京东云的短信和电话。提醒并警告我，尽快删除服务器上的违规软件。
此事实证明国内的云服务厂商是有能力且正在进行对用户服务器的内容监控的。

◇IT 公司【雇员】的可靠性

★高危漏洞

◇TCP/IP 协议栈高危漏洞——可劫持 VPN 连接

net.ipv4.conf.all.rp_filter = 1

◇Windows 漏洞

今年五月，微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。该漏洞被称为 BlueKeep，位于远程桌面服务中。
微软以及美国 NSA 都先后发出警告，呼吁 Windows XP 及其它受影响版本的用户及时打上补丁。除了 XP，Windows 7、Windows Server 2008 R2 和 Windows Server 2008 也都存在该漏洞。安全研究人员现在报告，BlueKeep 攻击正在进行之中。目前攻击者主要利用该漏洞挖掘数字货币，未来可能将其用于其它恶意目的。至今仍然有70万台 Windows 系统没有打上补丁。

◇Android 漏洞

Google Project Zero 官方博客 详细描述 了一个 Android 0day 漏洞 Bad Binder 的发现和修复过程。补丁已包含在10月份 Android 的安全更新中，如果你的手机安全补丁程序级别为2019年10月，那么问题已被修复。
Project Zero 开发者称，在夏末他们收到情报称以色列间谍软件开发商 NSO 正在利用一个 Android 0day 漏洞在目标设备上安装间谍软件 Pegasus。这是一个内核提权释放后使用漏洞，影响 Pixel 1 和 2，但不影响 Pixel 3 和 3a，它在内核版本 Linux kernel 4.14 中已经修复。利用这些情报安全研究人员很快识别了漏洞。该漏洞最早是在2017年11月发现和报告的，2018年2月修复，在 Linux 4.14、Android 3.18、Android 4.4 和 Android 4.9 内核中修复，但没有包含在每月的 Android 安全通报中，因此很多已发布设备如 Pixel 和 Pixel 2 都没有打上补丁。

Google Project Zero 安全团队成员 披露 ，攻击者正在利用一个 Android 0day 漏洞完全控制设备，至少有18个型号的手机存在该漏洞，其中包括 Google 的 Pixel 1 和 2，华为 P20，小米的红米 5A 和 A1，三星的 S7、S8 和 S9 等。
Google 表示即将释出的 Android 10月安全更新将修复该漏洞。漏洞源于 Linux 内核，早在 2018 年初就被发现并修复，但出于未解释的原因，补丁没有整合进 Android 的安全更新。
安全研究人员称，该漏洞正被以色列公司 NSO Group 或其客户利用，而 NSO Group 代表则否认这一说法。

ZDNet 报道称，近期曝光的一个 Android 漏洞，导致黑客能够利用设备上的近场接触（NFC）功能，向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出，问题源自一项鲜为人知的 Android OS 功能，它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备，都会受到影响。
......
这项服务允许 Android 设备使用近场通讯（NFC）技术来替代 Wi-Fi 或蓝牙，将图像、文件、视频、甚至应用程序，发送到另一台设备上。
通常情况下，通过 NFC 传输的 APK 安装包会存储在设备上，并在屏幕上显示相关通知，询问用户是否允许安装未知来源的应用程序。

然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人员发现：在 Android 8（Oreo）或更高版本的系统上通过 NFC 广播来发送应用程序，并不会显示这一提示。
相反，该通知允许用户一键安装应用程序，而不发出任何安全警告。

安全公司 Promon 的研究员披露了一个正被利用的 Android 漏洞 StrandHogg ，恶意程序能利用该漏洞窃取用户的银行账号。漏洞存在于名为 TaskAffinity 的多任务功能中，它允许应用假定多任务环境中运行的其它应用或任务的身份。恶意程序可利用该功能设置它的一个活动去匹配信任第三方应用的包名字。组合其它欺骗方法，恶意应用可以劫持目标任务，请求权限去执行敏感任务如记录音频、拍摄照片、阅读短信，或钓鱼登录凭证。
安全研究人员发现了36个恶意应用正在利用该漏洞，其中包括了窃取银行账号的恶意应用，部分应用甚至进入 Google Play 官方市场。Google 在接到报告之后已经下架了相关应用，但影响所有 Android 版本的这一漏洞尚未修复。

◇iPhone 漏洞

◇Realtek wifi 驱动的高危漏洞

内核的一个潜在高危漏洞允许附近恶意设备利用 Wi-Fi 信号触发崩溃或完整控制机器。漏洞位于支持 Realtek Wi-Fi 芯片的 RTLWIFI 驱动内，当一台有 Realtek Wi-Fi 芯片的设备在恶意设备的无线电范围内，漏洞能触发内核的缓冲溢出。漏洞利用可能导致操作系统崩溃或允许黑客完整控制计算机。漏洞可以上溯到 2013 年发布的 Linux kernel 3.10.1。只要你使用 Realtek（RTLWIFI）驱动并启用了 Wi-Fi ，无需受害者的任何操作，漏洞能近距离远程触发。开发者已经递交了补丁，预计会在未来几天或几周整合到内核。使用 Realtek Wi-Fi 芯片的 Android 设备可能也受到影响。

◇Chrome 高危漏洞

腾讯安全研究员 披露 了 Google Chrome 的新 Magellan 2.0 漏洞。研究人员共发现了 5 个漏洞，位于 SQLite 中，统称为 Magellan 2.0，这组漏洞允许攻击者在 Google Chrome 内远程运行恶意代码。Google 与 SQLite 官方已确认并修复了漏洞。如果用户使用 2019 年 12 月 13 日前的旧版本 SQLite 或运行低于 Chrome 79.0.3945.79 并启用了 WebSQL 的设备，那么可能会受到影响。和 Magellan 1.0 类似，这组新漏洞是因为 SQLite 数据库从第三方接受 SQL 命令输入验证不正确导致的。攻击者可以制作包含恶意代码的 SQL 操作命令，当 SQLite 数据库引擎读取该指令时会执行恶意代码。

◇sudo 高危漏洞

作为 Linux 中最常使用的重要实用程序之一，sudo 几乎安装在每一款 UNIX 和 Linux 发行版上，以便用户调用和实施核心命令。然而近期曝出的一个提权漏洞，却直指 sudo 的一个安全策略隐患 —— 即便配置中明确不允许 root 用户访问，该漏洞仍可允许恶意用户或程序，在目标 Linux 系统上以 root 用户身份执行任意命令。
......
据悉，该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现（CVE-2019-14287）。且想要利用这个 bug，只需 Sudo User ID -1 或 4294967295 。


这是因为将用户 ID 转换为用户名的函数，会将 -1（或无效等效的 4294967295）误认为 0，而这正好是 root 用户 User ID 。
此外，由于通过 -u 选项指定的 User ID 在密码数据库中不存在，因此不会运行任何 PAM 会话模块。

★网络与 Web

◇DoH（DNS over HTTPS）开始普及

◇HTTPS 成为 Web 的主流

◇Delegated Credentials for TLS

Facebook, Mozilla, and Cloudflare announced today a new technical specification called TLS Delegated Credentials, currently undergoing standardization at the Internet Engineering Task Force (IETF).

★安全工具

◇Linux 的安全优势

美国政府已经广泛接受开源开发模式，并越来越多的使用开源软件。2016年8月8日，白宫 CIO 发布了联邦源代码政策（Federal Source Code Policy），要求新的软件开发用开源方式构建、共享和改造，以利用代码安全、可靠和有效的促进国家目标。
五角大楼已经认可开源开发所具有的优势，将 Linux 作为其信任的操作系统。美国陆军是 Red Hat Linux 的最大单一客户群，美国海军核潜艇编队运行 Linux，美国未来作战系统同样是基于 Linux，五角大楼最近还让 Red Hat 公司帮助其改进空军中队的运作和飞行训练。

◇Tor Browser 9.0 发布

BTLZ4A4UD3PEWKPLLWEOKH3W7OQJKFPLG

◇Tails 4.0 发布

通过 Tor 实现匿名的隐私发行版 Tails 释出了 4.0 版本。Tails 4.0 是基于 Debian 10 (Buster)，主要变化包括：更活跃开发的密码管理器 KeePassXC 替代了 KeePassX；OnionShare 从 0.9.2 升级到 1.3.2；Tor Browser 9.0；MAT 从 0.6.1 升级到 0.8.0；Linux 5.3.2；Enigmail 2.0.12；gnupg 2.2.12； Electrum 3.3.8；GIMP 2.10.8；LibreOffice 6.1.5；等等。Tails OS 设计作为 Live CD 或 Live USB 使用，不在主系统留下痕迹，会话结束之后所有痕迹就抹掉了。

◇Mozilla 社区选择【Matrix 协议】作为 IRC 的替代

◇WireGuard 正式进入 Linux 内核

WireGuard 作者 Jason A. Donenfeld 在邮件列表上宣布，WireGuard 合并到了 Dave Miller 的 net-next 树，这意味着当 Linus Torvalds 开启 Linux 5.6 合并窗口，Miller 会发送 pull request，而 WireGuard 将进入到 Linux 5.6 主线。
WireGuard 是一种新兴的 VPN 实现，比 OpenVPN 和 IPSec 速度更快、攻击面更小，配置更简单。进入内核主线对这个开源项目而言是一个重要的里程碑。

★言论审查与网络屏蔽

◇天朝对 VPN 的刑法定性

北京网络行业协会和中国政法大学网络法学研究院联合组织召开了“VPN 相关违法行为刑法定性问题研究”闭门研讨会，主要研究探讨了 VPN 技术合法与违法的界线；VPN 相关犯罪行为涉嫌罪名的定性分析；
......
最近几年有多起销售 VPN 翻墙软件并提供后续服务的行为被以刑法第 285 条第 3 款定罪。
该条款规定，
提供专门用于侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

与会专家一致认为，VPN 以刑法 285 条第 3 款定性，并不准确。 ......

◇很多国家开始喜欢【断网】这招

★网络攻击

◇香港连登论坛（LIHKG）遭到“网络大炮”的 DDOS 攻击

★硬件

◇CPU 的“Zombieload 漏洞”

◇CPU 硬件漏洞的【长期性】

稳定版内核维护者 Greg Kroah-Hartman 在欧洲开源峰会上发表主题演讲时指出，英特尔芯片的安全问题将会存在很长时间。这些被称为 MDS、RDDL、Fallout 和 Zombieland 的芯片漏洞从某种程度上说都是相同的问题或者说是相同问题的不同变种，但解决方法各不相同。举例来说，RIDL 和 Zombieload 漏洞能跨应用程序、虚拟机和安全区域（secure enclaves）窃取数据，讽刺的是：英特尔软件防护扩展（SGX）在芯片内本是保护数据安全的，结果本身却有很多漏洞。
Kroah-Hartman 称：为了修复每一个曝出的问题，你必须同时给 Linux 内核、CPU BIOS 和微码打上补丁。这不只是 Linux 的问题，任何操作系统都面临相同的问题。他承认 OpenBSD 给出了解决此类漏洞的最近解决方案：关闭英特尔处理器的超线程，克服带来的性能损失。Kroah-Hartman 称，你必须选择性能还是安全，而这里不存在好的选择。

一年前（2018年初）曝光的 Spectre 和 Meltdown 在信息安全界可以称得上是【划时代】滴！因为其利用的是 CPU 的【设计缺陷】（而且还是【根本性】缺陷）。
......
由于这两个漏洞涉及到 CPU 的【根本性】缺陷，极难搞定（就像两个幽灵，会在未来几年不断困扰 IT 行业）。

◇植入硬件中的间谍芯片

在本月晚些时候举行的 CS3sthlm 安全会议上，安全研究员 Monta Elkins 将展示他的微芯片植入硬件的概念验证版本。使用 150 美元的热空气焊接工具，40 美元的显微镜，以及从网上订购的 2 美元芯片，Elkin 能以绝大多数 IT 管理员难以注意到的方式修改思科防火墙设备。
他的编程芯片在防火墙启动时执行攻击，模拟管理员访问防火墙配置，触发密码恢复功能，创建新的管理员账号，访问防火墙配置。在恶意芯片能访问防火墙配置之后，就可以为攻击者远程访问打开方便之门。

◇硬件的【可信度】

软件有签名哈希值等方法验证其完整性，但你如何能验证硬件，确保它们是可信赖的没有被纂改？著名硬件黑客黄欣国（Andrew 'bunnie' Huang）在上周末举行的混沌计算机俱乐部会议（36C3 ）上 讨论了这个问题 （ YouTube ）。
数年前，黄欣国和朋友构建了开源笔记本电脑 Novena，在此过程中他们意识到构建一个完全可信的开源硬件非常困难，即使你能制造自己的 CPU 和 SSD，你也无法确保它们是值得信任的，因为你没办法确保供应链的每一个环节你的硬件没有遭到纂改。甚至在产品送到客户手中前，送货的司机、海关的官员以及仓库的工人都可能接触硬件，有机会纂改硬件。
他的结论是开放硬件和闭源硬件的可信度没什么差别。软件有近乎完美的信任转移机制，比如验证哈希值，但硬件没办法采用这些方法。他描述了构建可信任硬件的三个原则：复杂性是验证的敌人；不能只验证元件而要验证整个系统；赋权终端用户去验证和密封硬件。他和朋友发起了 Betrusted 项目去实践这三个原则。

◇利用【激光笔】入侵“语音助手”

Researchers in Japan and at the University of Michigan said Monday that they had found a way to take over Google Home, Amazon's Alexa or Apple's Siri devices from hundreds of feet away by shining laser pointers, and even flashlights, at the device's microphones.

In one case, they said, they opened a garage door by shining a laser beam at a voice assistant that was connected to it. They also climbed 140 feet to the top of a bell tower at the University of Michigan and successfully controlled a Google Home device on the fourth floor of an office building 230 feet away. And by focusing their lasers using a telephoto lens, they said, they were able to hijack a voice assistant more than 350 feet away.

Opening the garage door was easy, the researchers said. With the light commands, the researchers could have hijacked any digital smart systems attached to the voice-controlled assistants.

They said they could have easily switched light switches on and off, made online purchases or opened a front door protected by a smart lock. They even could have remotely unlocked or started a car that was connected to the device.

★移动设备

谷歌的 Pixel 4系列已于几天前推出，但现在外媒已经发现了新设备面部解锁功能的一些问题。BBC发现，用户即使闭着眼睛也可以使用面部解锁来解锁 Pixel 4。
这显然是一个漏洞，会使攻击者无需得到手机主人的许可即可轻松地解锁该设备，例如用户在睡觉或是被束缚，Pixel 4都能被解锁。

安全公司 Symantec 和 Malwarebytes 报告过去半年一种新的恶意程序 xHelper 缓慢感染了4.5万 Android 设备，新感染用户主要位于印度、美国和俄罗斯。这种恶意程序目前还比较“温和”，主要是弹出广告和垃圾信息，引诱用户安装其它应用程序。
xHelper 主要通过捆绑在非官方应用感染用户设备，它的特别之处是会作为一个独立服务安装在系统中，用户卸载原捆绑的应用并不会卸载 xHelper，即使用户直接卸载 xHelper 它也会自动重新安装，恢复到出厂设置也无法移除 xHelper。安全公司还不清楚在恢复出厂设置后它如何生存下来的机制。

路透社援引知情人士的消息报道，多个美国盟国的高级官员被通过 WhatsApp 遭到监视。熟悉 WhatsApp 内部调查的知情人士称，受害者包括了至少20个国家的政府和军方高层，有许多国家是美国的盟友。
WhatsApp 本周对以色列间谍软件公司 NSO 提起了诉讼，指控它在2019年4月29日到5月10日之间利用 WhatsApp 服务漏洞帮助客户入侵了至少1400名用户的手机。遭到入侵的 WhatsApp 用户的实际数量显然会更高。部分受害者来自于美国、阿联酋、巴林、墨西哥、巴基斯坦和印度。NSO 在一份声明中称，它不能披露谁或谁不是客户，或者披露其技术的特定用途。WhatsApp 本周早些时候称它已经向受影响的用户发去了警告。

★安全编程

今年夏天，微软宣布它将尝试用 Rust 语言取代 C 和 C++ 开发 Windows 底层组件。微软称它过去十年为 Windows 系统释出的安全补丁有七成以上是为了修正与内存相关的错误，而 Rust 语言就是为了解决此类问题而开发出来的。
四个月后， 微软公布了实验的初步结果 。Hyper-V 团队工程师 Adam Burch 称，他接受任务用 Rust 实验性重写了一个系统底层组件，他不能指出是哪个组件。虽然项目尚未完成，但他对 Rust 的总体感觉是积极的。总体而言，新的组件或用干净接口的现有组件最容易移植到 Rust。但并非所有事情都如期望的那样顺利。