悬镜安全丨第四十五期 全球一周安全情报（0902-0906）

绝代码农

       纵观全球态势，感知安全天下。悬镜安全精心筛选过全球一周安全大事，带你聚焦安全热点。

1
网络安全一揽子新政将密集落地
记者从国务院新闻办28日举办的新闻发布会上获悉，相关部门正在围绕数据安全管理、关键信息基础设施安全保护、支持网络安全技术产业发展等方面密集酝酿新政，并着力培育一批具有国际竞争力的网络安全企业。
中央网信办副主任、国家网信办副主任刘烈宏表示，当前网络安全威胁和风险日益增多，地下黑产、电信网络诈骗等各类违法犯罪活动时有发生，数据安全和侵犯个人隐私问题日益凸显。
目前我国正在加快网络安全相关政策布局。《中国产业互联网安全发展研究报告》显示，截至2018年，国家22部委出台法律法规近200部，促进网络安全发展。预计两年内，中国网络安全将形成千亿市场。工信部日前表示将进一步优化产业政策环境，加快出台促进网络安全产业发展的指导意见，扎实推进国家网络安全产业园区建设。
刘烈宏透露，下一步将重点从加强数据安全管理和个人信息保护、强化关键信息基础设施的保护、培育扶持网络安全技术产业做大做强、抓好网络安全人才培养等方面开展网络安全工作。具体举措包括：加快出台数据安全管理办法、个人信息出境安全评估办法等相关法规制度和标准规范。加快出台关键信息基础设施安全保护条例，强化网络安全态势感知，监测预警和应急处置能力建设。加强网络安全技术产业的规划和整体布局，完善支持网络安全技术产业发展的政策措施，培育一批具有国际竞争力的网络安全企业。实施好一流网络安全学院建设示范项目，加快建设国家网络安全人才与创新基地。
针对个人信息保护，更大力度监管举措将落地。据悉，目前，数据安全管理办法、个人信息出境安全评估办法已经完成公开征求意见；相关部门正组织制定移动互联网应用程序收集个人信息基本规范等标准草案；中央网信办等四部门联合开展的APP违法违规收集使用个人信息专项治理行动已向100多家问题较严重的APP运营者发送了整改通知，督促其整改。（记者郭倩）
原文链接地址：https://dwz.cn/ZkFUckab
2
IDC：预计2019年中国网络安全市场
总支出将达到73.5亿美元
《IDC全球半年度网络安全支出指南，2018H2》显示，IDC预测，2019年全球网络安全相关硬件、软件、服务投资将达到1066.3亿美元，同比增长9.40%。2019年中国网络安全市场总体支出将达到73.5亿美元，2019-2023年预测期内的年复合年均增长率为25.1%，增速领跑全球，到2023年，中国网络安全市场规模将增长至179.0亿美元。
3
只需一条短信，***者可远程访问你的所有电子邮件
只需基于短信的网络钓鱼***，就可以轻易地欺骗数十亿Android用户更改设备的关键网络设置。
每当手机中插入新SIM，首次连接到蜂窝网络时，运营商服务会自动配置或发送包含连接到数据服务所需的网络特定设置的消息。在进行手动安装时，是否有注意到这些消息（技术上称为OMA CP消息）包含了哪些配置呢？

某安全团队研究人员说，实际上不受信任的安装配置可能会使你的数据隐私受到威胁，并允许远程***监视用户的数据通信。因为安装不受信任的设置可能会使你的数据隐私受到威胁，允许远程***者监视你的数据通信。
根据Check Point分享的一份新报告，一些设备制造商（包括三星，华为，LG和索尼）实施的弱认证配置消息可以让远程***欺骗用户用恶意***者更新他们的设备设置-受控代理服务器。
反过来，这可能允许***者轻松拦截目标设备通过其数据载体服务（包括Web浏览器和内置电子邮件客户端）进行某些网络连接。
研究人员在2019年3月向受影响的Android手机供应商报告了他们的调查结果。三星和LG分别在5月和7月的安全维护版本中解决了这个问题。        华为计划在下一代Mate系列或P系列智能手机中解决这个问题，而索尼拒绝承认这个问题，并声称他们的手机设备遵循OMA CP规范。        即使在获得补丁后，研究人员也建议用户不要盲目信任来自移动运营商的消息或互联网上提供的APN设置，声称可以帮助用户解决数据载体服务中的故障排除问题。
原文链接地址：http://uee.me/aYHS3
4
漏洞预警丨Fastjson远程拒绝服务漏洞
Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞，Fastjson 1.2.60版本以下存在字符串解析异常，可导致远程拒绝服务***。

***者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务***，可导致服务器宕机。
原文链接地址：https://dwz.cn/I97ppEAG
5
诈骗者利用深度伪造模仿CEO声音
借此转账骗走24.3万美元
据外媒报道，现在已经很难区分出来利用深度伪造技术制作的假文本、假视频。现在，这种情况似乎又延伸到了假语音。获悉，近期发生的一起语音欺诈案件--又称vishing（voice phishing语音钓鱼简称）让一家公司损失了24.3万美元。
据了解，今年3月，犯罪分子利用商业可用的语音生成AI软件模仿了一位来自拥有一家英国能源公司的德国母公司的老板。然后他们骗这家能源公司的首席执行官让他在一个小时内将资金汇给一家匈牙利供应商，另外还保证这笔资金会立即得到报销。
报道称，当这位CEO听到熟悉的、带有轻微德国口音的声音之后并没有对此产生怀疑。
然而事实上，这笔汇款不仅没有得到报销而且骗子们还继续冒充这位德国老板要求另一笔紧急汇款。不过这次，这位英国CEO拒绝付款了。
获悉，这位英国CEO转给所谓的匈牙利供应商的这笔钱最终被转移到了墨西哥及其他地方。当局目前并未确定此次网络犯罪背后的罪犯身份。
不难看出，这种基于AI的网络***仅仅是企业和组织在未来可能面临的主要难题的开始。随着模仿声音工具技术的不断改进，犯罪分子利用这些工具牟利的可能性也会不断增加。
根据设计反欺诈语音软件的网络安全公司Pindrop在去年发布的报告显示，从2013年到2017年，语音欺诈案件增加了350%，其中每638个电话中就有1个是人工合成的。
由此可见，基于AI的工具的兴起既有优点也有缺点。一方面，它为技术的探索和创造提供了空间，而另一方面，它为犯罪、欺骗以及欺诈提供了可能性。
原文链接地址：https://dwz.cn/B71feMhO
6
Android 0Day收购价高达250万美金
近日，漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价，发现自2015年公司成立以来，安卓0day漏洞价格首次高于iOS漏洞价格。

此外，Zerodium将这次变动发布在推特上。其中，还提及了在当前的市场上iMessage和WhatsApp的零点击漏洞价格有所上升，而iOS的一次点击漏洞价格有所下降。
安卓和iOS的RCE + LPE非持久性零点击漏洞之前收购价是100万美元，而如今则上涨到150万美元。Zerodium发布了新的漏洞列表，其中，安卓持久性全链零点击漏洞价格达到250万美元，而iOS漏洞则为50万美元。
参考链接来自：http://uee.me/aYHUk
【免责声明】本文仅代表作者本人观点，与本网站无关。本网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。