网信办查处网易云音乐等在内的173 款违法违规 App

1月3日，星期二，您好！中科汇能与您分享信息安全快讯：

谷歌智能音箱曝后门，可允许黑客窥探对话

日前，Google Home智能音箱中的一个漏洞允许安装一个后门帐户，该帐户可用于远程控制它，并通过访问麦克风馈送将其变成一个窥探设备。

据悉，一位安全研究员在试验Google Home 迷你扬声器时，发现使用Google Home应用程序添加的新帐户可以通过云API向其远程发送命令，随后通过Nmap扫描，找到Google Home本地HTTP API端口，并设置了一个代理来捕获加密的HTTPS流量，进而抢夺用户授权令牌。

美国路易斯安那州医院遭勒索攻击，27万名患者信息泄露

位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称，该院近期发生了一起网络勒索攻击事件，近27万名患者信息遭到泄露。

一项内部调查显示，攻击者获得了对 LCMHS 网络的未授权访问权限，并窃取了敏感文件。这些文件包含患者信息，如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。

Hive 勒索软件声称对此次攻击负责，还发布了据称在破坏 LCMHS 系统后被盗的文件，但目前还无法确认这些文件是否真实。

LockBit被破解！日本警方已帮助3家企业恢复数据

据日本媒体报道，日本警察厅已成功解密由LockBit勒索软件组织加密的文件，帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。

LockBit 是2022 年最多产的勒索软件团伙，在全球范围内进行了数百次已确认的攻击，但现在日本警察厅似乎找到了消除威胁的方法。

据悉，日本警察厅已经开始着手与其他国家调查机构分享其解密方法。

LastPass 安全事件持续发酵，破解常规主密码只需 100 美元

LastPass 今年 11 月发生的安全事件持续发酵。继安全专家对官方公告提出 14 点疑问之后，友商1Password 也加入拆台行列。

在 LastPass 公告中表示破解用户主密码需要数百万年时间，此前安全专家质疑表示破解常规用户主密码只需要 2 个月时间。而现在友商 1Password 再次拆台，表示破解常规主密码只需要 100 美元。

大多数用户的现实生活中的主密码不是随机的，对于密码破解者来说他们也知道这一点。如果破解只是英文和数字的密码（例如 Fido8my2Sox）要明显简单很多，而如果破解“2b||!2b.titq”、“zm-@MvY7*7eL”自然需要很久。但是普通用户不会使用这样复杂、难以记忆的密码作为主密码。

网信办查处网易云音乐等在内的173 款违法违规 App

近期，浙江省网信办依据《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规规定，依法查处“诺言”等 173 款违法违规 App。

经查，173 款 App 存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题，依法责令限期 50 日完成整改，逾期未完成整改的，依法予以下架处置。

违法违规 App 名单包括有赞精选、网易邮箱、顺风车、叮嗒出行、同花顺投资账本、企鹅共享、网易严选、网易云音乐、LOOK 直播、有货、网易帐号管家、杭州地铁、方太幸福家等。

谷歌将支付2950万美元解决用户位置跟踪诉讼

谷歌已同意支付总计2950万美元，以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪做法提起的两起不同的诉讼。

这家搜索和广告巨头需要向华盛顿特区支付 950 万美元，向印第安纳州支付 2000 万美元，此前各州起诉该公司指控该公司在未经用户明确同意的情况下跟踪用户的位置。

这些诉讼是为了回应早前的披露，尽管关闭了位置记录选项，但这家互联网公司继续通过名为Web和App Activity的设置跟踪用户在Android和iOS上的行踪。

WordPress安全警报：新的Linux恶意软件利用了二十多个CMS漏洞

WordPress网站正成为一种以前未知的Linux恶意软件的目标，该恶意软件利用二十多个插件和主题中的缺陷来破坏易受攻击的系统。

如果网站使用此类附加组件的过时版本，缺乏关键修复，目标网页就会注入恶意JavaScript，当用户点击受攻击页面的任何区域时，他们会被重定向到其他网站。

这些攻击涉及将可能安装在WordPress网站上的19个不同插件和主题中的已知安全漏洞列表武器化，使用它来部署可以针对特定网站的植入物，以进一步扩展网络。