资安一周（0620~0626）Google更新Android安全机制，Digital Key 1.0标准出炉了！,,Google△Pla

原标题：资安一周（0620~0626）Google更新Android安全机制，Digital Key 1.0标准出炉了！

图片来源: Android△Developers 6/20~6/26一定要看的资安新闻Google更新Android安全机制，离线也能验证程式真伪Google于6月19日宣布，将在APK（Android程式）的标头添增安全性的元资料（metadata），以用来验证该APK...

图片来源:

Android△Developers

6/20~6/26一定要看的资安新闻Google更新Android安全机制，离线也能验证程式真伪

Google于6月19日宣布，将在APK（Android程式）的标头添增安全性的元资料（metadata），以用来验证该APK是否来自Google△Play，这样一来，就算是在装置离线的状态下，也能在以其它方式分享Android程式时验证程式的真伪。

Google△Play产品经理James△Bender解释，采取此一作法的原因之一是协助开发人员触及更多用户，特别是在那些数据费用昂贵或连线能力有限的国家，这些国家的用户经常以P2P模式来分享程式。更多内容

?

Digital△Key△1.0标准出炉了! 手机就是你的车钥匙

《汽车连结协会》Car△Connectivity△Consortium（CCC）于6月20日发表了Digital△Key△1.0版，这是CCC首个汽车数位钥匙的标准化解决方案，驾驶人只要将数位钥匙下载到智慧装置上，就能用来将汽车开锁。

CCC目前已凝聚了逾70家业者，除了汽车制造商GM、BMW、Honda、Audi、Volkswagon、Toyota与Mazda之外，也有众多的科技业者也是CCC的成员，涵盖苹果、三星、Panasonic、小米科技、HTC与LG等，还有许多汽车改装业者，宣称已囊括全球7成的汽车市场与6成的智能手机市场。更多内容

?

脸书邮件系统臭虫，误将app开发者分析资料外泄给外部测试人员

脸书（Facebook）坦承因为电子邮件系统瑕疵，不慎将app开发商专属的资料传送给了不相关的测试人员。

近期Techcrunch接获一家app开发商反映，他们在脸书分析工具（Facebook△Analytics）的每周电子邮件简报被传送给公司以外的人士。电子邮件中包含公司app开发相关的敏感资讯，包括每周平均用户、点阅流量和新用户等等。更多内容

?

不当配置的Firebase资料库让逾3,000行动程式的用户资料外泄

行动程式资安业者Appthority最近指出，有3,046款使用Firebase服务的行动程式因不当配置而让程式的用户资讯曝光，总计有113GB、超过1亿笔资料可供公开存取，包括明文的使用者帐号与密码及GPS位置资讯等。

Firebase为一网络及行动程式的开发平台，它提供云端传讯、通知、资料库、分析功能，还有许多后端API，在2014年被Google买下，除了受到许多Android开发者的青睐之外，也是最受欢迎的行动程式资料储存平台之一。更多内容

?

赛门铁克：一骇客集团专门锁定美国与东南亚卫星、电信与国防展开攻击

资安业者赛门铁克（Symantec）近期揭露一位为Thrip的骇客集团，该集团使用中国境内的3台电脑骇进美国与东南亚的卫星通讯业者、电信业者与国防承包商，目的是为了拦截通讯。且Thrip还采用了不容易被侦测的“离地攻击”（living△off△the△land）攻击手法，以藏踪匿迹并遮掩身份。

根据赛门铁克的追踪，Thrip攻击最令人担忧的应是它锁定了一家卫星通讯业者，且对该业者的操作细节特别感兴趣，企图感染执行卫星监控暨控制软件的电脑，令人怀疑骇客的目的不只是为了拦截通讯，可能还包括摧毁卫星通讯。另一个攻击目标则是涉及地理空间成像与绘制的组织，骇客也对其操作端有浓厚兴趣。更多内容

?

美最高法院：警方需要搜索令才能搜集用户位置的手机资料

美国最高法院近日判决做出了支援数位隐私的判决，警方必须有搜索令才能搜集手机里的地点资讯。

这是最高法院针对美国政府vs△Carpenter一案做出的判决，也推翻了上诉巡回法院的结论，可望成为未来警方搜索办案争议的重大判例。更多内容

?

特斯拉控告前员工为报复而骇入公司系统泄密

特斯拉（Tesla）6月20日控告一位前员工撰写软件骇入该公司产线及公司电脑，取得大量机密资料后外泄给外部人士及媒体。

CNBC首先报道这则消息。被告的是一位叫Martin△Tripp的员工。根据起诉文件，Tripp在2017年10月加入特斯拉旗下电池制造厂Gigafactory担任制程技师，可以看到与特斯拉电池模组制程相关的高度机密资讯。在特斯拉才着手调查案情时，Tripp已经承认撰写软件骇入该公司制造作业系统（manufacturing△operating△system），并将数个GB的资料传送给第三方公司，外泄的资料包括十多张机密照片及关于特斯拉生产系统的视频。更多内容

?

僵尸网络Satori又作乱，这次瞄准D-Link家用路由器

接连入侵各厂牌无线路由器的僵尸网络Satori本月又在作乱。安全厂商NetLab△360发现，这次受害者是D-Link及另一家中国业者产品。

Satori是Mirai的变种，由中国安全业者Qihoo△NetLab△360研究中心首先在2017年11月发现并命名。同年12月Satori在短短2周之间感染10万台IoT装置，其中包括将近9万台华为一款家用路由器。今年2月，Satori又挑上韩国Dasan△Networks一款家用路由器，入侵漏洞控制4万台装置。随后于5月间Dasan△Networks又有GPON路由器两项漏洞遭到包括Satori等5只恶意程式感染，数量至少24万台。更多内容

?

Google△Home、Chromecast漏洞恐泄露用户位置

安全研究人员发现，Google△Home、Chromecast出现一项验证漏洞，可能泄露装置所在位置资讯。Google已经承诺将在7月更新中修补该漏洞。

Tripwire研究人员Craig△Young指出，这漏洞出在从本地网络上的HTTP伺服器向Google△Home、Chromecast等装置发出指令时不需要任何验证机制。因此，只要过DNS重新绑定（rebinding）攻击，使远端指令冒充本地指令发向这些装置，像是查询邻近的Wi-Fi子网域。更多内容

?

微软悄悄移除Windows△7对老旧CPU的支援

如果你的电脑跑的还是Pentium△III处理器，那你已无法安装Windows△7的每月安全更新了。或许基于安全因素，对于不支援SIMD△Extension△2 (SSE2)的旧款PC△CPU，Windows△7已经悄悄不再支援。

这项消息是由ComputerWorld首先报道。微软三月间释出代号为KB4088875的安全更新，提出数项警告中，其中包含更新版安装不支援SIMD△(Streaming△Single△Instructions△Multiple△Data) Extension△2 (SSE2)技术的电脑，会出现“暂停”的错误讯息。微软要求使用者升级电脑，使CPU支援SSE2，否则就得虚拟执行这些电脑。更多内容

橙山网（Csnd.net）简评：Google△Play产品经理James△Bender解释，采取此一作法的原因之一是协助开发人员触及更多用户，特别是在那些数据费用昂贵或连线能力有限的国家，这些国家的用户经常以P2P模式来分享程式。更