阿里百度腾讯等网盘“无差别速率”测试；破解价值 200 万美元的加密货币钱包

↓推荐关注↓

0、破解价值 200 万美元的加密货币钱包

2018 年初，Dan Reich 与朋友购买了一批 Theta 代币，后来他们迫于无奈将所有的币都转移到 Trezor One 硬件钱包，并设置了一个 PIN 码。到年底，Reich 决定兑现，但朋友却把写着 PIN 码的纸弄丢了，而且数字也忘记了。他们尝试猜测，如果连续猜错 16 次，钱包会自动抹掉数据。在尝试了十二次之后，Reich 放弃了，他愿意承担损失——直到这些币的价格再次上涨。没有 PIN 码难以进入钱包——但这并非不可能。

在区块链上拥有加密货币的唯一方法是单独拥有与一块货币相关的私钥——但是管理秘钥是一大挑战。

他们在网上搜索，找到了三位硬件专家在 2018 年一次会议上的演讲，专家发现可以在不知道PIN 码的情况下访问 Trezor 钱包中的密钥。这些工程师拒绝帮助他们，但这给了 Reich 希望。

他们在瑞士找到了一位投资人，投资人声称有同事可在法国实验室里破解钱包。但有一个问题：Reich 不能知道他们的名字，也不能去这个实验室。他必须把钱包交给投资人，后者再交给在法国的同事。这是一个疯狂的想法，充满了风险，Reich 和他的朋友非常绝望。在准备前往瑞士前他们发现了一个更好的选择：美国硬件黑客 Joe Grand。

1、淘汰 Cookie，谷歌将推出新的「隐私沙箱」技术 Topics

谷歌计划在明年年底前淘汰 Cookie，这对数字广告业来说，可能是一个巨大的转变。近日，谷歌表示，在遭到广告商和监管机构的反对之后，现决定放弃之前的“隐私沙箱”技术，转而推出新的在线广告系统“Topics”，以此来阻止 Chrome 浏览器中的第三方追踪器（Cookie）。

「Topics」将解决隐私倡导者对 Floc 提出的一些担忧，防止更多隐蔽的追踪技术。谷歌表示，根据之前的计划，潜在的「队列」有数万个，而新的「Topics」系统的「队列」数量减少到不到几千个。

2、12 年历史的 Polkit 高危漏洞影响主要 Linux 发行版

安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞，允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit，已存在了 12 年之久。

从 2009 年起，Polkit 包含了一个内存破坏（memory-corruption）漏洞，利用漏洞比较简单，甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。

安全研究人员是在去年 11 月发现该漏洞的，在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码，但发布了一则漏洞利用视频。

3、现阶段Log4Shell漏洞未被大规模利用 但风波会持续数年

反恶意软件公司 Sophos 在最新博文中对 Log4Shell 漏洞发表了评论，虽然现阶段并没有出现用户担心的大规模漏洞利用情况，但是深埋在许多数字应用和产品中的 Log4Shell 漏洞很可能会在未来几年内成为被利用的目标。

Sophos 认为，攻击者大规模利用 Log4Shell 的直接威胁被避免了，因为该漏洞的严重性使数字和安全社区团结起来，激励人们采取行动。这一点在 2000 年的千年虫事件中就已经体现出来了，在本次 Log4Shell 事件似乎也起到了很大的作用。

一旦 Log4Shell 漏洞的细节变得清晰，世界上最大和最重要的云服务、软件包和企业就会采取行动，在安全社区的共享威胁情报和实际指导的支持下远离危险。

4、阿里百度腾讯等网盘“无差别速率”测试

《人民邮电》报联合第三方研究机构，对百度、腾讯、阿里云等 8 家企业“无差别速率”网盘应用展开实测。结果显示普通用户下载速率得到明显改善，但在服务和体验上依然有提升空间，如百度网盘青春版产品仅支持手机端接入，360 安全云盘试用版允许上传文件最大不超过 200MB 等。

综合整理：技术最前线（ID：TopITNews）

参考：程序员的那些事、开源中国、solidot、cnBeta、腾讯科技、快科技等

- EOF -

觉得这些资讯有帮助？请转发给更多人

推荐关注 技术最前线，看 IT 要闻

点赞和在看就是最大的支持❤️