无声信息一周资讯：开发人员在移动版Chrome中发现被称为“盗梦空间栏”的网络钓鱼方法

　　据外媒Neowin报道，网络钓鱼并不是一个关于网络安全的新话题，尽管经常会发现新的和创造性的方法来实施这种做法。其中一种方式是新发现并巧妙地被命名为“盗梦空间栏”的网络钓鱼方法。

　　谷歌维护着一个数据库，内部称其为Sensorvault，它包含了全球安卓手机的详细位置记录，且向美国执法机构开放。美国国会近日针对Sensorvault数据库提出了一系列问题……

　　据外媒报道，欧洲最大的制造企业之一、在美国设有分支机构的Aebi Sschmidt的系统遭勒索软件攻击。Aebi Sschmidt的业务主要为建造机场和制造公路养护车辆。 据知情人士称，公司在网络安全事件发生后中断了运营。该公司整个国际网络的系统都崩溃了，其中受到破坏最严重的是瑞士总部。此外，公司的电子邮件服务器也受到了严重影响。

　　该漏洞是服务器端模板注入漏洞，命名为CVE-2019-3396，驻留在Confluence服务器的Widget Connector宏，攻击者可利用此漏洞安装能够发起DDoS）的恶意软件和挖矿软件，并远程执行代码。

　　该漏洞影响WooCommerce Checkout Manager插件，该插件允许基于WordPress并运行WooCommerce插件的电子商务网站在其结帐页面上自定义表单。专家发现了一个“任意文件上传”漏洞，当网站在WooCommerce Checkout Manager插件设置中启用了“分类上传文件”选项时，未经身份验证的远程攻击者可以利用该漏洞。

　　深圳法院近日对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。据悉，这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。 2017年安全研究员Kevin Finisterr在大疆的网络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥，并允许他们访问存储在大疆服务器上的客户敏感信息，这使得大疆的所有旧密钥毫无用处，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。

　　谷歌维护着一个数据库，内部称其为Sensorvault，它包含了全球安卓手机的详细位置记录，且向美国执法机构开放。美国国会近日针对Sensorvault数据库提出了一系列问题……

　　该零日漏洞会影响所有启用wls9_async_response.war和wls-wsat.war组件的Weblogic版本，包括最新版本。攻击者可以利用此漏洞通过发送特制的HTTP请求，在未经授权的情况下远程执行命令。

　　一位自称 L&M 的黑客逆向工程了两个 GPS 跟踪器应用 ProTrack 和 iTrack 的 Android 版本，发现所有用户在注册时会获得默认密码 123456。他随后利用 API 暴力破解了数百万用户名，然后写了一个脚本组合这些用户名和默认密码尝试登录，他成功入侵了 7000 多个 iTrack 账户和 20,000 多个 ProTrack 账户。这些账号允许他监视相关汽车的位置，对于某些型号的汽车，GPS 跟踪器应用还允许远程关闭处于停车或低于时速 12 英里行驶的汽车引擎。

　　该漏洞影响高通芯片（用于数亿台Android设备）QSEE模块处理内部数据的方式。QSEE是一个可信执行环境（TEE），类似于英特尔的SGX。去年3月，NCC集团的安全研究员Keegan Ryan发现，Qualcomm实施的ECDSA加密签名算法允许检索在高通处理器的QSEE安全区域内处理的数据。