資安一周（0620~0626）Google更新Android安全機制，Digital Key 1.0標準出爐了！

6/20~6/26一定要看的資安新聞

Google更新Android安全機制，離線也能驗證程式真偽

Google於6月19日宣布，將在APK（Android程式）的標頭添增安全性的元資料（metadata），以用來驗證該APK是否來自Google Play，這樣一來，就算是在裝置離線的狀態下，也能在以其它方式分享Android程式時驗證程式的真偽。

Google Play產品經理James Bender解釋，採取此一作法的原因之一是協助開發人員觸及更多用戶，特別是在那些數據費用昂貴或連線能力有限的國家，這些國家的用戶經常以P2P模式來分享程式。更多內容

Digital Key 1.0標準出爐了! 手機就是你的車鑰匙

《汽車連結協會》Car Connectivity Consortium（CCC）於6月20日發表了Digital Key 1.0版，這是CCC首個汽車數位鑰匙的標準化解決方案，駕駛人只要將數位鑰匙下載到智慧裝置上，就能用來將汽車開鎖。

CCC目前已凝聚了逾70家業者，除了汽車製造商GM、BMW、Honda、Audi、Volkswagon、Toyota與Mazda之外，也有眾多的科技業者也是CCC的成員，涵蓋蘋果、三星、Panasonic、小米科技、HTC與LG等，還有許多汽車改裝業者，宣稱已囊括全球7成的汽車市場與6成的智慧型手機市場。更多內容

臉書郵件系統臭蟲，誤將app開發者分析資料外洩給外部測試人員

臉書（Facebook）坦承因為電子郵件系統瑕疵，不慎將app開發商專屬的資料傳送給了不相關的測試人員。

近期Techcrunch接獲一家app開發商反映，他們在臉書分析工具（Facebook Analytics）的每周電子郵件簡報被傳送給公司以外的人士。電子郵件中包含公司app開發相關的敏感資訊，包括每周平均用戶、點閱流量和新用戶等等。更多內容

不當配置的Firebase資料庫讓逾3,000行動程式的用戶資料外洩

行動程式資安業者Appthority最近指出，有3,046款使用Firebase服務的行動程式因不當配置而讓程式的用戶資訊曝光，總計有113GB、超過1億筆資料可供公開存取，包括明文的使用者帳號與密碼及GPS位置資訊等。

Firebase為一網路及行動程式的開發平臺，它提供雲端傳訊、通知、資料庫、分析功能，還有許多後端API，在2014年被Google買下，除了受到許多Android開發者的青睞之外，也是最受歡迎的行動程式資料儲存平臺之一。更多內容

賽門鐵克：一駭客集團專門鎖定美國與東南亞衛星、電信與國防展開攻擊

資安業者賽門鐵克（Symantec）近期揭露一名為Thrip的駭客集團，該集團使用中國境內的3臺電腦駭進美國與東南亞的衛星通訊業者、電信業者與國防承包商，目的是為了攔截通訊。且Thrip還採用了不容易被偵測的「離地攻擊」（living off the land）攻擊手法，以藏蹤匿跡並遮掩身分。

根據賽門鐵克的追蹤，Thrip攻擊最令人擔憂的應是它鎖定了一家衛星通訊業者，且對該業者的操作細節特別感興趣，企圖感染執行衛星監控暨控制軟體的電腦，令人懷疑駭客的目的不只是為了攔截通訊，可能還包括摧毀衛星通訊。另一個攻擊目標則是涉及地理空間成像與繪製的組織，駭客亦對其操作端有濃厚興趣。更多內容

美最高法院：警方需要搜索令才能蒐集用戶位置的手機資料

美國最高法院近日判決做出了支援數位隱私的判決，警方必須有搜索令才能蒐集手機裏的地點資訊。

這是最高法院針對美國政府vs Carpenter一案做出的判決，也推翻了上訴巡迴法院的結論，可望成為未來警方搜索辦案爭議的重大判例。更多內容

特斯拉控告前員工為報復而駭入公司系統洩密

特斯拉（Tesla）6月20日控告一名前員工撰寫軟體駭入該公司產線及公司電腦，取得大量機密資料後外洩給外部人士及媒體。

CNBC首先報導這則消息。被告的是一名叫Martin Tripp的員工。根據起訴文件，Tripp在2017年10月加入特斯拉旗下電池製造廠Gigafactory擔任製程技師，可以看到與特斯拉電池模組製程相關的高度機密資訊。在特斯拉才著手調查案情時，Tripp已經承認撰寫軟體駭入該公司製造作業系統（manufacturing operating system），並將數個GB的資料傳送給第三方公司，外洩的資料包括十多張機密照片及關於特斯拉生產系統的影片。更多內容

殭屍網路Satori又作亂，這次瞄準D-Link家用路由器

接連入侵各廠牌無線路由器的殭屍網路Satori本月又在作亂。安全廠商NetLab 360發現，這次受害者是D-Link及另一家中國業者產品。

Satori是Mirai的變種，由中國安全業者Qihoo NetLab 360研究中心首先在2017年11月發現並命名。同年12月Satori在短短2周之間感染10萬臺IoT裝置，其中包括將近9萬臺華為一款家用路由器。今年2月，Satori又挑上南韓Dasan Networks一款家用路由器，入侵漏洞控制4萬臺裝置。隨後於5月間Dasan Networks又有GPON路由器兩項漏洞遭到包括Satori等5隻惡意程式感染，數量至少24萬臺。更多內容

Google Home、Chromecast漏洞恐洩露用戶位置

安全研究人員發現，Google Home、Chromecast出現一項驗證漏洞，可能洩露裝置所在位置資訊。Google已經承諾將在7月更新中修補該漏洞。

Tripwire研究人員Craig Young指出，這漏洞出在從本地網路上的HTTP伺服器向Google Home、Chromecast等裝置發出指令時不需要任何驗證機制。因此，只要過DNS重新綁定（rebinding）攻擊，使遠端指令冒充本地指令發向這些裝置，像是查詢鄰近的Wi-Fi子網域。更多內容

微軟悄悄移除Windows 7對老舊CPU的支援

如果你的電腦跑的還是Pentium III處理器，那你已無法安裝Windows 7的每月安全更新了。或許基於安全因素，對於不支援SIMD Extension 2 (SSE2)的舊款PC CPU，Windows 7已經悄悄不再支援。

這項消息是由ComputerWorld首先報導。微軟三月間釋出代號為KB4088875的安全更新，提出數項警告中，其中包含更新版安裝不支援SIMD (Streaming Single Instructions Multiple Data) Extension 2 (SSE2)技術的電腦，會出現「暫停」的錯誤訊息。微軟要求使用者升級電腦，使CPU支援SSE2，否則就得虛擬執行這些電腦。更多內容