官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,人脸识别再曝安全漏洞,15分钟解锁19款安卓手机;sudo被曝隐藏了十年的堆溢出漏洞;PC微信扫描浏览器Cookies,腾讯回应;工信部通报2021年首批157款侵害用户权益行为APP名单。想要了解详情,来看本周的BUF大事件吧!
观看视频
内容梗概
人脸识别再曝安全漏洞,15分钟解锁19款安卓手机
人脸识别技术在智能手机上已经是标配,今天的我们刷脸解锁、刷脸支付就像吃饭喝水一样自然。最近,来自清华的 RealAI团队向我们展示了一项简单的攻击技术,只需一副定制的“眼镜”,就可以秒秒钟破解手机的面部识别系统。所需的工具也很常见:一台打印机、一张A4纸、一副眼镜框。通过AI算法绘制特殊花纹,打印下来裁剪成眼镜的形状,贴在眼镜框上,15分钟内,除了一款iPhone 11,成功解锁了其余所有19部安卓机型。安全研究员提醒:如果有黑客恶意开源这一算法的话,会给人脸识别技术带来全新的安全挑战。
不用密码就能获取root权限?sudo被曝新漏洞
近日,Qualys研究小组发现了sudo中一个隐藏了十年的堆溢出漏洞(CVE-2021-3156,命名:Baron Samedit),包括Linux在内的几乎所有Unix主流操作系统都受到影响。利用这个漏洞,任何本地用户无需身份验证(密码),也能获得root权限。也就是说,攻击者完全可以利用这个漏洞,直接接管主机系统!考虑到该漏洞的攻击面很广,Qualys建议所有用户立即为这个漏洞应用补丁或升级到sudo 1.9.5p2以上版本。
PC微信扫描浏览器Cookies,腾讯:目前无法重现问题
上周我们报道了PC版QQ读取用户浏览记录的新闻,近期有用户发帖称,自己使用火绒安全添加QQ扫描浏览器cookies的拦截规则后,却意外拦截到微信PC版扫描cookies行为。而且WeChat.exe每次启动时都会尝试扫描电脑上所有使用Chromium内核的浏览器注册表。腾讯技术人员在原帖中回复:通过该用户提供的路径多次尝试,都未能重现问题,初步怀疑可能与用户的环境相关或浏览器内核(chromium 53)的漏洞有关。
工信部通报2021年首批157款侵害用户权益行为APP
1月22日,工信部发布《关于侵害用户权益行为的APP通报(2021年第1批,总第10批)》,通报了今年首批157款侵害用户权益行为的APP。这次的通报名单中,腾讯动漫、芒果TV、360清理大师、QQ同步助手等人们常用的APP赫然在列。依据《网络安全法》《电信条例》等法律法规要求,督促上述APP在1月29日前完成整改落实工作。