1月3日，星期二，您好！中科汇能与您分享信息安全快讯：

日前，Google Home智能音箱中的一个漏洞允许安装一个后门帐户，该帐户可用于远程控制它，并通过访问麦克风馈送将其变成一个窥探设备。

据悉，一位安全研究员在试验Google Home 迷你扬声器时，发现使用Google Home应用程序添加的新帐户可以通过云API向其远程发送命令，随后通过Nmap扫描，找到Google Home本地HTTP API端口，并设置了一个代理来捕获加密的HTTPS流量，进而抢夺用户授权令牌。

位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称，该院近期发生了一起网络勒索攻击事件，近27万名患者信息遭到泄露。

一项内部调查显示，攻击者获得了对 LCMHS 网络的未授权访问权限，并窃取了敏感文件。这些文件包含患者信息，如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。

Hive 勒索软件声称对此次攻击负责，还发布了据称在破坏 LCMHS 系统后被盗的文件，但目前还无法确认这些文件是否真实。

据日本媒体报道，日本警察厅已成功解密由LockBit勒索软件组织加密的文件，帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。

 LockBit 是2022 年最多产的勒索软件团伙，在全球范围内进行了数百次已确认的攻击，但现在日本警察厅似乎找到了消除威胁的方法。

据悉，日本警察厅已经开始着手与其他国家调查机构分享其解密方法。

LastPass 今年 11 月发生的安全事件持续发酵。继安全专家对官方公告提出 14 点疑问之后，友商1Password 也加入拆台行列。

在 LastPass 公告中表示破解用户主密码需要数百万年时间，此前安全专家质疑表示破解常规用户主密码只需要 2 个月时间。而现在友商 1Password 再次拆台，表示破解常规主密码只需要 100 美元。

大多数用户的现实生活中的主密码不是随机的，对于密码破解者来说他们也知道这一点。如果破解只是英文和数字的密码（例如 Fido8my2Sox）要明显简单很多，而如果破解“2b||!2b.titq”、“[email protected]*7eL”自然需要很久。但是普通用户不会使用这样复杂、难以记忆的密码作为主密码。

近期，浙江省网信办依据《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规规定，依法查处“诺言”等 173 款违法违规 App。

经查，173 款 App 存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题，依法责令限期 50 日完成整改，逾期未完成整改的，依法予以下架处置。

违法违规 App 名单包括有赞精选、网易邮箱、顺风车、叮嗒出行、同花顺投资账本、企鹅共享、网易严选、网易云音乐、LOOK 直播、有货、网易帐号管家、杭州地铁、方太幸福家等。

谷歌已同意支付总计2950万美元，以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪做法提起的两起不同的诉讼。

这家搜索和广告巨头需要向华盛顿特区支付 950 万美元，向印第安纳州支付 2000 万美元，此前各州起诉该公司指控该公司在未经用户明确同意的情况下跟踪用户的位置。

这些诉讼是为了回应早前的披露，尽管关闭了位置记录选项，但这家互联网公司继续通过名为Web和App Activity的设置跟踪用户在Android和iOS上的行踪。

WordPress网站正成为一种以前未知的Linux恶意软件的目标，该恶意软件利用二十多个插件和主题中的缺陷来破坏易受攻击的系统。

如果网站使用此类附加组件的过时版本，缺乏关键修复，目标网页就会注入恶意JavaScript，当用户点击受攻击页面的任何区域时，他们会被重定向到其他网站。

这些攻击涉及将可能安装在WordPress网站上的19个不同插件和主题中的已知安全漏洞列表武器化，使用它来部署可以针对特定网站的植入物，以进一步扩展网络。

LockBit勒索软件团伙正式为对病童医院（SickKids）的攻击道歉，并为医院发布了免费的解密器。

众所周知，该组织在其附属组织中扮演着禁止攻击医疗机构的角色。其政策禁止对可能导致个人死亡的组织系统进行加密。

这次攻击影响了医院的多个网络系统，但据医疗机构称，它并没有影响患者护理。BleepingComputer证实，该组织发布的解密器声称是Linux / VMware ESXi解密器。

里斯本港的网站在成为Lockbit集团声称的勒索软件攻击目标几天后仍然关闭。

该港口的网站遭到网络攻击，为了应对安全漏洞，管理员将其关闭。

LockBit勒索软件组织声称对这次攻击负责，声称手里拥有所有财务报告、审计、预算。合同，有关货物的信息。包含船员所有信息的船舶日志。客户的个人数据。所有端口文档。所有邮件通信。所有合同等等。

并要求里斯本港 2023 年 1 月 18 日前于他们取得联系，不然将公布数据。

近期，谷歌Chrome浏览器即将引入一项新的安全措施：阻止下载 HTTP 链接的文件。

据报道，在“Block insecure downloads”实验Flag生效之后，如果用户尝试通过不安全的传输方式（例如 HTTP），或通过不安全的重定向下载一个文件，页面将显示一个”被阻止”的消息。预计该项功能会在明年3月推出的Chrome 111版本中正式推出。