FreeBuf 周报 | 特斯拉汽车被越狱；58集团被曝倒卖学生简历 - 新鲜讯息

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 美国“雌雄大盗”认罪，曾窃取价值数十亿美元比特币

据美国司法部网站近期公开的消息，震惊“币圈”的2016年Bitfinex加密货币证券交易所盗窃案主犯——一对来自美国纽约的年轻夫妇近期正式承认其罪行，二人一共窃取了近12万枚比特币。

2. 研究人员发现特斯拉汽车能被越狱，可免费解锁付费功能

柏林工业大学的研究人员开发出一种新技术，可以破解特斯拉近期推出所有车型上使用的基于 AMD 的信息娱乐系统，并使其运行包括付费项目在内的任何软件。

3. 新型声学攻击通过键盘击键窃取数据，准确率高达 95%

来自英国大学的一组研究人员训练了一种深度学习模型，该模型可利用麦克风记录并分析键盘击键的声音，以此来窃取目标设备中的数据，准确率高达 95%。

4. 出于网络安全考虑，印度启用本土操作系统”玛雅“取代Windows

据《印度教徒报》报道，印度将放弃微软系统，选择新的操作系统和端点检测与保护系统。

5. 为打击漏洞利用，谷歌将每周更新Chrome安全补丁

谷歌宣布，从Chrome浏览器116版本开始，其安全更新频率将从过去的每两周一次压缩为每周一次，以解决攻击者通过补丁更新的时间间隔，利用N Day和0 Day漏洞进行攻击活动。

安全事件

1. 谷歌：安卓恶意软件通过版本控制潜藏在Google Play商店

谷歌云安全团队近日表示，恶意行为者在躲过Google Play商店的审查流程和安全控制后，会使用一种被称为版本控制的常见策略，在Android设备上植入恶意软件。

2. 英国选举委员会泄露选民信息

2014 年至 2022 年间，英国选举委员会遭遇网络攻击，泄露大量选民的个人信息，目前委员会已经通知英国信息专员办公室。

3. AMD Zen CPU皆中招，新型Inception攻击能从中泄露敏感数据

苏黎世联邦理工学院的研究人员发现了一种新型瞬态执行攻击，能在所有型号的 AMD Zen CPU上执行特定命令并泄露敏感数据。

4. EoL-Zyxel 路由器五年前的漏洞仍在被利用

Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天发动数千次网络攻击活动。

5. 网传58集团“倒卖”毕业生简历信息

近日，国内多家媒体相继发文称，前 58 员工透露集团内部借助招聘名义，倒卖大量学生简历。

一周好文共读

1. “黑化”的AI | 盘点十大新型 AI 网络攻击类型

AI技术不仅可用于维护网络安全，还可能为有心之人用以AI网络攻击。AI网络攻击引发了人们对隐私、安全和伦理问题的日益关注。AI攻击不仅仅是黑客利用AI技术进行犯罪活动，还包括其他潜在的威胁，如误导性信息、社会工程等。本文盘点了目前最火热的十大AI新型网络攻击方式。

2. 攻防演练 | 测试网站登录页面方法大全

在HVV或渗透测试时遇到站点只有一个登录接口的情况下，如何获取权限并进一步渗透？下面根据本人实战经验，分享常用的网站登录框渗透攻防方法。

3. 浅析白盒白名单SQL注入绕过利用

看到标题的第一反应，大家可能感觉本文讲的是一些老套数，比如select/*xasdasdsa*/等等垃圾字符绕过，在平时代码审计项目中，遇到了很多白名单过滤，现实情况就是，根本不允许使用特定语句和方法，比如一些存在注入的代码中，明明有注入但是碰到了白名单过滤。洞就送在眼前了，只需要变通一下，就可以成为一个新的洞了。

省心工具

1. Firefly：一款针对Web应用程序的黑盒模糊测试工具

Firefly是一款针对Web应用程序的黑盒模糊测试工具，Firefly是一个高级工具，该工具不仅仅是一个标准的资产扫描与发现工具，而且还提供了大量的内置检测方法来检测目标行为。在该工具的帮助下，广大研究人员能够轻松针对目标Web应用程序执行黑盒模糊测试。

2. Wanderer：一款功能强大的进程注入枚举工具

Wanderer是一款功能强大的进程注入枚举工具，该工具基于C#开发，代码完全开源，可以帮助广大研究人员收集与正在运行的目标进程相关的信息。支持收集的信息包括完整性级别、AMSI是否作为加载模块存在、目标进程是以64位或32位运行的、以及当前进程的去特权级别。这些数据信息在研究人员尝试构建Payload并实现进程注入时，将会提供非常大的帮助。