下載量超過一億的流行應用被發現含有惡意模組

俄羅斯防毒軟體卡巴斯基報告，一個 Google Play 商店下載量超過一億的流行應用 CamScanner（或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs）被發現含有惡意模組。

CamScanner 是一個合法應用，在大部分時間裡沒有惡意功能，它靠廣告和應用內購買獲取收入。但在某個時間情況變了，CamScanner 最近釋出的版本包含了含有惡意模組的廣告庫。

卡巴斯基將該模組稱為 Trojan-Dropper.AndroidOS.Necro.n。類似的模組此前見於中國造智慧手機預裝的惡意程式中。該模組定期從開發者指定的伺服器上下載加密程式碼，在裝置上解密然後執行。

部分 CamScanner 使用者已經注意到了該應用的可疑行為，他們在應用頁面留言對其他使用者發出警告。

來源：solidot.org

更多資訊

DNS-over-HTTPS 的下一代是 DNS ON BLOCKCHAIN

DNS-over-HTTPS（簡稱DoH）是一種通過安全加密的HTTPS協議解析DNS請求的協議。該方法的目標是通過防止通過中間人操縱DNS資料來防止竊聽並增加安全性來增加使用者隱私。

來源：開源中國
詳情連結：https://www.dbsec.cn/blog/article/4989.html 

安全研究人員警告 WS-Discovery 協議被被用於大規模 DDoS 攻擊

早在今年五月，外媒就已經報導過 WS-Discovery 協議被濫用於發起 DDoS 攻擊。為了防止被更多別有用心者利用，研究人員只能相對剋制地不披露更多細節。然而最近一個月，濫用 WS-Discovery 協議發起的大規模 DDoS 攻擊已經愈演愈烈，頻度幾乎達到了一週一次。作為一種多播協議，該協議原本用於在本地網路上“發現”通過特定協議或介面進行通訊的附近其它裝置。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/4990.html 

2018 年的漏洞仍未徹底修復：黑客仍能幾秒內破解特斯拉 Model S

破解一輛特斯拉 Model S 需要多長時間？在 2018年安全團隊 COSIC 就曾演示過在短短几秒內完成破解！這主要利用了特斯拉  Model S 中 PKES（無鑰匙進入系統）與無線鑰匙的認證過程中存在的安全問題，從而讓黑客可以在幾秒內複製汽車鑰匙將汽車偷走。隨後特斯拉立即做出反應解決了這個問題並轉換到新的遙控車鑰匙。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/4991.html 

發現美國海軍網站的敏感資訊洩露和 SQL 注入漏洞 

最近，作者通過 HackerOne 的美國國防部漏洞眾測專案（Hack The Pentagon），發現了美國海軍某網站的敏感資訊洩露和 SQL 注入兩個高危嚴重漏洞，漏洞非常容易發現且安全風險極高，以下是相關分享。

來源：FreeBuf.COM
詳情連結：https://www.dbsec.cn/blog/article/4992.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視