Linux 内核曝 TCP 漏洞，极小流量就可以 DoS 瘫痪设备；广州437人上班时被抓，网售保健品实施诈骗

安全幫每日資訊

Linux內核曝TCP漏洞， 極小流量就可以DoS癱瘓設備

卡內基梅隆大學的 CERT/CC 發出警告， 稱 Linux 內核 4.9 及更高版本中有一個 TCP漏洞， 該漏洞可使攻擊者通過極小流量對系統發動 DoS （Denial-of-Service， 拒絕服務）攻擊。 1該漏洞是由諾基亞貝爾實驗室支持的芬蘭阿爾托大學網絡部門的 Juha-Matti Tilli 發現的， 目前已經被編號為 CVE-2018-5390， 并且被 Red Hat 稱為“SegmentSmack”。 CERT/CC 指出， 由于漏洞， 新版本 Linux 內核可能被迫對每個傳入的數據包進行非常消耗資源的 tcp_collapse_ofo_queue（）和tcp_prune_ofo_queue（）調用， 這會導致受影響的系統上 CPU 變得飽和， 從而產生 DoS 條件。

參考來源：

https://www.oschina.net

蘋果一天下架兩萬應用， 數字貨幣與博彩類產品被限制

AppStore集中下架 2 萬余個博彩類應用， 新的開發者規則對數字貨幣、博彩類應用不鼓勵也不禁止， 但發布了數條限制規則。 繼7月初央視曝光AppStore博彩應用泛濫問題之后， AppStore發布了一些列整改措施， 截至 8 月 9 日， 商店已下架約2. 4 萬個博彩類應用， 其中包括1. 5 萬個棋牌、競猜、彩票游戲， 以及數千個博彩平臺App。 關于本次集中下架， AppStore官方聲明稱， 下架是為了減少App Store欺詐行為， 配合政府部門對非法在線賭博活動的整治要求。 此后， 商店將不再允許個人開發者提交博彩類應用， 只接受有牌照的商業賬號在App Store提交博彩類應用。

參考來源：

https://tech.sina.com.cn

廣州一大廈437人上班時被抓， 網售保健品實施詐騙

2018年8月8日上午， 廣州市公安局天河區分局召開新聞發布會， 發布會上警方通報了一宗特大電信網絡詐騙案。

案發地為天河區車陂西路的一棟商務大廈辦公室內， 該辦公室裝滿監控視頻， 門衛巡守森嚴， 員工上下班時需經過唯一的通道才能搭乘電梯， 這個“神秘”的公司引起了天河警方的注意。 經過一個半月的梳理和準備， 警方發現該大廈內藏著四個銷售“保健品”的公司， 實施網絡電信詐騙行為。 4月17日早上， 該團伙的幾名頭目分別在家中被抓， 隨后天河警方沖進大廈迅速控制該公司窩點， 整棟大廈437名涉案人員全部落網， 抓捕場面非常震撼， 隨后警方還搗毀了2個倉庫， 整個抓捕行動一共抓獲涉案人員462人， 涉案金額超過千萬。

參考來源:

https://www.anquanke.com/post/id/151139

360發現NXP芯片漏洞：國內廠商首次獲得芯片巨頭致謝

近日， 360無線電安全研究院獨角獸團隊因發現并報告芯片高危漏洞， 獲得了全球知名半導體制造公司NXP（恩智浦）的公開致謝。 致謝信中， NXP對360安全研究人員負責任的漏洞報告及協作進行了充分的肯定及感謝。 這是國內安全企業在芯片行業首次獲得世界芯片廠商重量級致謝。 該高危芯片漏洞可能影響到數億嵌入式及IOT產品：一方面， 產品可能會面臨著被克隆的危險， 知識產權被盜竊；另一方面， 聯網的IOT設備， 還有可能被植入惡意代碼， 設備被黑客操控。

參考來源:

https://www.cnbeta.com/articles/tech/755581.htm

每天轉3條信息日賺27元？警方破獲特大網絡詐騙案

據新華社報道， 近日貴州銅仁警方就破獲了一起以“轉發旅游推廣信息領取日薪”為誘餌的詐騙案。 報道稱， 專案組調查發現，

該犯罪團伙虛構了一個名為“恒運達傳媒”的公司， 并利用多個微信賬號在朋友圈發布招聘兼職信息， 每天只要轉發3條旅游推廣信息便可日賺27元。 犯罪團伙的主要任務是每天建一個微信群， 負責招聘新的人員， 幫他們辦理入職并收取押金， 最后再把押金轉給主管所提供的銀行賬戶。 當群里達到100人， 該主管就快速把群解散， 微信、電話等聯系方式全部失聯。 這起案件涉及受害人4000多人， 金額200多萬元。 近日， 警方赴安徽、海南、廣東等地抓獲8名犯罪嫌疑人。 目前， 8名犯罪嫌疑人已被刑事拘留。

參考來源：

https://www.ithome.com/html/it/375787.htm

印度以斷網威脅要求蘋果手機安裝反垃圾信息APP

蘋果與印度政府最新爭執的核心是反垃圾信息APP。 印度電信管理局 (TRAI) 試圖利用該應用程序來解決普遍性的垃圾郵件和滋擾電話問題，

它要求所有手機廠商都安裝該 app。 安卓應用商店自 2016 年起就提供該 app， 但蘋果認為 TRAI 的應用程序“違反了 App Store 的隱私政策”。 蘋果在致監管機構的一封信中表示， 新版 iOS 將允許運行該應用程序的許多功能， 但不會允許全自動垃圾信息過濾， 因為該功能可能為第三方追蹤蘋果用戶打開方便之門。 TRAI 上個月通知印度各家電信運營商， 如果有設備不支持政府核可的反垃圾訊息應用程序， 正式撤銷這些設備入網許可之前有六個月的告知期。 蘋果致函印度監管機構， 對 TRAI 的通告提案作出回應， 在信中要求刪除斷網條款。 TRAI 主席 R.S. Sharma 表示， 不能靠寫一封信就取消或挑戰 TRAI 的通告。

參考來源：

https://www.solidot.org/story?sid=57513

谷歌工程總監：用戶不該操心網絡安全科技巨頭需付出更多努力

在周三于拉斯維加斯舉行的黑帽網絡安全會議上，“谷歌安全公主”Parisa Tabriz 發表了主題演講，期間討論了與網絡安裝狀況有關的問題。其主旨是，在線安全不應該是用戶關注的重點所在，所以科技巨頭們需要作出更多的努力。人們在日常生活中，一直被網絡攻擊的陰霾所籠罩，比如黑客會以電子郵件、信用卡、甚至政治為目標，由此帶來了許多安全顧慮。她在周二接受采訪時稱：所謂安全，應該是技術巨頭們可以在網絡上輕松保護每個人。其為谷歌設立的終極目標是—— 讓安全成為第二天性，而不是你必須積極考慮實現的目標 —— 顯然，這取決于互聯網的“建筑師”們。

參考來源：

https://www.secrss.com/articles/4452

本文資訊內容來源于互聯網，版權歸作者所有，如有侵權，請留言告知，我們將盡快處理。

關于安全幫

參考來源：

https://www.solidot.org/story?sid=57513

谷歌工程總監：用戶不該操心網絡安全科技巨頭需付出更多努力

在周三于拉斯維加斯舉行的黑帽網絡安全會議上，“谷歌安全公主”Parisa Tabriz 發表了主題演講，期間討論了與網絡安裝狀況有關的問題。其主旨是，在線安全不應該是用戶關注的重點所在，所以科技巨頭們需要作出更多的努力。人們在日常生活中，一直被網絡攻擊的陰霾所籠罩，比如黑客會以電子郵件、信用卡、甚至政治為目標，由此帶來了許多安全顧慮。她在周二接受采訪時稱：所謂安全，應該是技術巨頭們可以在網絡上輕松保護每個人。其為谷歌設立的終極目標是—— 讓安全成為第二天性，而不是你必須積極考慮實現的目標 —— 顯然，這取決于互聯網的“建筑師”們。

參考來源：

https://www.secrss.com/articles/4452

本文資訊內容來源于互聯網，版權歸作者所有，如有侵權，請留言告知，我們將盡快處理。

關于安全幫