《维他命》每日安全简讯20180709

发布时间 2018-07-09

【数据泄露】研究人员发现健身APP Polar存在安全漏洞,可导致用户位置信息泄露


研究人员发现流行的健身应用Polar的API存在安全漏洞,可允许任何人通过修改浏览器网址来查询任何用户几年内的健身活动,例如每一次跑步和骑行的相关信息。这些信息包括数百万用户的活动数据,甚至可导致在军事基地和情报部门工作的用户的位置信息泄露。研究人员发现超过6400名用户位于类似的敏感地点,包括国家安全局、白宫、伦敦军情六处以及外国的军事基地等。

 

原文链接:https://www.zdnet.com/article/fitness-app-polar-exposed-locations-of-spies-and-military-personnel/


【威胁情报】英国税务机构HMRC称去年共阻止20750个恶意网站,比前一年增长29%


英国税务机构HMRC称其在去年共帮助查封了20750个恶意网站,比前一年增长29%。HMRC钓鱼网站常被犯罪分子利用退税等名目进行诈骗活动。HMRC还称,其在2016年11月实施的DMARC协议已帮助阻止了5亿封钓鱼邮件。该组织声称已为纳税人节省了约240万英镑。

 

原文链接:https://www.infosecurity-magazine.com/news/hmrc-29-increase-malicious-site/


【威胁情报】研究人员警告Gmail第三方应用存在可导致邮件隐私泄露的风险


根据华尔街日报报道,一些基于Gmail的第三方邮件App允许其开发人员阅读用户的电子邮件,包括收件人ID、时间戳以及整个邮件的正文。这类第三方邮件解决方案提供商扮演的是用户和邮箱之间的角色,用于提供基于电子邮件的更多服务和功能。虽然其用户协议中已经声明了该行为,但很多用户可能并没有仔细阅读用户条款。用户仍应该警惕这类电子邮件APP导致隐私泄露的风险。

 

原文链接:https://thehackernews.com/2018/07/google-gmail-apps.html


【安全播报】研究人员演示通过隐藏打印机跟踪点以保护举报者的安全


德国德累斯顿工业大学的四名研究人员开发了一款名为DEDA的APP,该APP可检测和掩盖激光彩色打印机的跟踪点,以保护举报者的安全。打印机的隐藏跟踪点包含与打印机硬件、打印文档本身和打印日期相关的信息,这些信息对人眼不可见,但可被用于追踪举报嫌疑人。该APP可以检测到这些跟踪点图案,并添加额外的点以进行匿名化。研究人员表示他们的目的是为了确保公民拥有充分的言论自由。

 

原文链接:https://www.bleepingcomputer.com/news/security/app-masks-hidden-printer-tracking-dots-to-keep-whistleblowers-safe/


【安全播报】日本一公民成为首名因恶意使用Coinhive挖矿脚本而判刑的人


日本当局判处一名名叫Masato Yasuda的24岁男子一年有期徒刑,但缓刑三年。该男子在1月和2月期间将Coinhive JavaScript挖矿脚本嵌入到其提供下载的游戏作弊工具中,该工具的下载次数超过90次,并为Yasuda挖掘了价值约5000日币的门罗币(约45美金)。该男子成为首位因恶意使用Coinhive挖矿脚本而被判刑的人。

 

原文链接:https://www.bleepingcomputer.com/news/security/first-ever-person-sentenced-for-malicious-use-of-coinhive-library/


【安全播报】7月6日起印度央行正式实施对加密货币交易的禁令


根据印度时报报道,7月6日印度央行开始实施其加密货币交易的禁令。这一禁令的实施意味着印度公民将无法再在交易所买卖加密货币,只能使用点对点网络进行交易。如果印度公民想要将加密货币兑换成法币,则只能通过市场交换进行。此外,加密货币交易所和相关企业将无法从印度银行进行贷款。

 

原文链接:https://www.infosecurity-magazine.com/news/cryptocurrency-exchanges-banned-in/