安全帮每日资讯：开发者移除11个Ruby库中18个带后门版本；我国二维码应用已占全球九成以上 为最大的应用国家

安全帮每日资讯

开发者移除11个 Ruby 库中 18 个带有后门的版本

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。

参考来源：

https://www.cnbeta.com/articles/tech/882323.htm

我国二维码应用已占全球九成以上为最大的应用国家

日前，2019国际二维码产业发展大会在广东佛山举行。中国支付清算协会报告指出，扫码支付是我国用户最常使用的移动支付方式。专家表示，从产业链角度看，二维码最起码是万亿级的产业。中国的二维码应用已经占全球九成以上，是二维码最大的应用国家。同时，业内和专家呼吁加快实现二维码产业标准化。据悉，大会期间，来自中国、法国、德国等14个国家的机构一致同意，正式成立国际二维码产业合作组织筹备委员会。

参考来源：

https://tech.sina.com.cn

Hickory智能门锁存在的多个漏洞

近期，Rapid7安全研究团队发现了Hickory蓝牙智能系列BlueTooth Enabled Deadbolt款式门锁存在多个安全漏洞，漏洞涉及其移动端APP应用和云托管的Web服务和MQTT协议。截至漏洞披露期限前，Hickory官方还未对这些漏洞作出认可，也未发布任何补丁或漏洞修复措施。

参考来源：

https://www.freebuf.com/vuls/211095.html

微软为Chromium Edge推出除虫赏金项目

微软已经为基于 Chromium 内核开发的新版 Microsoft Edge 浏览器，推出了一个全新的除虫赏金（bug bounty）项目。如果提交的安全漏洞报告的质量足够高，该公司将给出高达 3 万美金（2.14 万+ RMB）的奖励。微软正在将其浏览器切换到开源的 Chromium 引擎，这意味着新版 Edge 不仅能够为 Windows 用户带来惊喜，还可以登陆 macOS 等平台。该项目仅面向 Windows / macOS 平台上的 Beta 和 Dev 版本（Canary 分支并未包含在内）。

参考来源：

https://www.cnbeta.com/articles/tech/882469.htm

白帽黑客发现Instagram帐户接管问题获得10,000美元奖励

一位研究人员表示，在找到一个可能被利用来破解Instagram帐户的关键漏洞之后，他又从Facebook获得了10,000美元。印度白帽黑客Laxman Muthiyah在查看 Instagram 的移动设备密码恢复系统时发现了该问题，用户在手机上收到六位数字的验证码后，他们必须在 10分钟内输入该验证码才可以更改密码。根据Muthiyah的说法，在请求密码重置验证码时，请求中包含由 Instagram 应用程序为每个设备随机生成的ID，此设备ID还用于检查六位验证码的有效性, 相同的设备 ID 可用于请求多个用户帐户的验证码。这意味着，如果有足够多的请求，攻击者将能够获取正确的验证码。因此，攻击者应该请求100万用户的验证码以100％的成功率完成攻击。

参考来源：

https://nosec.org/home/detail/2903.html

Hostinger数据泄露影响了近1400万客户

主机提供商Hostinger宣布，在最近发生的数据泄露事件允许未授权访问客户端数据库后，该公司重置了1400万客户的登录密码。事件发生在8月23日，第三方能够访问用户名，用户hash密码，电子邮件，名字和IP地址。Hostinger在一篇博客文章中提供了有关该事件的更多细节，称未经授权的一方访问了他们的一个服务器，然后能够获得对客户信息的进一步访问。这是可以实现的，因为服务器具有授权令牌，允许访问和权限提升到用于查询客户帐户、电话号码、家庭住址和公司地址等信息的RESTfulAPI。

参考来源：

https://nosec.org/home/detail/2899.html

澳大利亚计划在紧急情况下屏蔽托管有恐怖主义材料的网站域名

澳大利亚官员透露，该国计划在紧急情况下屏蔽托管有恐怖主义材料的网站域名。在新西兰发生导致 50 多人死亡并在社交媒体实况直播的清真寺枪击案之后，澳大利亚和新西兰都特别担心网上极端主义内容的风险。澳大利亚计划开发新的基础设施以便于未来发生此类事件之后快速做出反应。澳大利亚 eSafety 专员将在个案的基础上决定屏蔽的域名，将与行业合作在袭击期间快速屏蔽极端内容的访问。澳大利亚将建立一个全天候 24/7 的危机协调中心去监视极端暴力内容或恐怖主义材料。这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。

参考来源：

http://hackernews.cc/archives/27134