谷歌本周发布安全更新，称解决了Chrome浏览器中的十几个漏洞，包括今年的第五个Chrome零日漏洞（CVE-2022-2856）。谷歌没有分享有关该漏洞的技术细节，以防止在野外进一步利用。

据外媒报道，研究人员发现了一种以前未记录的Android滴管——BugDrop，旨在绕过将在下一个版本的Google OS中实现的安全功能。从 Android 13 开始，谷歌将阻止无障碍 API 访问从官方应用商店之外安装的应用。但是，BugDrop 试图通过基于会话的安装过程部署恶意负载来绕过此安全措施。目前该功能仍在开发中。

日前，CS:GO（反恐精英：全球攻势）全球最大的皮肤交易平台之一CS.MONEY遭到了不明黑客的攻击。据称，攻击者恶意获取了用于 Steam 授权的 Mobile Authenticator (MA) 文件的访问权限，控制了负责皮肤交易服务的机器人账户进行了近1000笔交易，从托管皮肤交易的玩家那里窃取了2万件游戏皮肤，总价值约为600万美元左右。

据外媒报道，Nozomi Networks的研究人员在Black Hat 2022期间披露了影响UWB（超宽带）RTLS（实时定位系统）的多个漏洞，黑客能够利用漏洞进行中间人攻击并操纵标签地理位置数据。除此之外，攻击者还可以窃听跟踪资产和人员位置，以进行跟踪侦察或定位有价值的物品。RTLS 技术广泛用于工业环境、公共交通、医疗保健和智慧城市应用，篡改危险区域的限制或人们在这些环境中的位置可能会对他们的健康和安全产生可怕的后果。

8月16日，数据安全厂商薮猫科技宣布完成 A 轮融资，本轮融资由源码资本领投，红华繁星网安天使基金及老股东云九资本跟投。据称，本轮融资用于加大公司在研发创新、人才建设和市场拓展的投入，持续深耕数据安全领域的技术与实践，为企业用户提供下一代数据安全解决方案。     原文链接

据外媒消息，DigitalOcea公司警告，最近的MailChimp（邮件营销平台）安全漏洞暴露了一些客户的电子邮件地址，少数客户已经收到了未经授权的密码重置。调查显示，黑客使用被盗的客户电子邮件地址通过执行密码重置来访问DigitalOcean帐户。MailChimp表示，正在努力恢复帐户并调查这一事件。

据外媒消息，阿根廷网络安全公司研究人员在Realtek的开源eCos操作系统SDK中发现漏洞（CVE-2022-27255），远程攻击者可以利用它来破坏各种制造商易受攻击的设备。研究人员表示此漏洞可能对路由器的影响最大，围绕Realtek的SDK构建一些物联网设备也可能受到影响，估计有数百万设备受影响。

据报道，前段时间，宝马宣布将为今后的新车推出远程付费升级服务，包括座椅加热、自适应巡航等功能。近日，国外一些改装厂和黑客就向宝马订阅制提出宣战，黑客表示他们将攻克宝马的付费订阅系统，让用户免费使用该功能。

据外媒报道，工业安全公司 Claroty的网络安全研究人员发现了一种新颖的攻击技术，将可编程逻辑控制器（PLC）武器化，以在工程工作站中获得初始立足点，并入侵操作技术（OT）网络。影响罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO 和艾默生的工程工作站软件。

据外媒报道，一次网络攻击扰乱了南斯塔福德郡水务公司的IT运营，据了解，该公司每天为160万消费者提供饮用水。勒索软件团伙声称声称从该公司窃取了5TB的数据，并表示能够影响供水的运营和安全。目前该公司发表声明确认受到安全漏洞攻击，但表示此次攻击并未影响供水的运营和安全。

据外媒报道，在本月初 Twilio 云通信公司遭受的数据泄露事件中，接近 1,900 名 Signal 用户的电话号码被暴露。Twilio为Signal提供电话号码验证服务，攻击者于8月4日入侵了其网络。目前，该通信公司证实客户的数据被暴露。

据外媒报道，近日俄罗斯Shuckworm组织针对乌克兰目标发起了新的攻击。研究人员在受害者机器上观察到Pterodo 后门和Giddome 后门。这些后门允许攻击者录制音频、获取屏幕截图、记录击键、下载并执行额外的“.exe”和“.dll”有效负载。目前尚不清楚这些是实际的文件类型，还是攻击者使用这些文件名作为播种混乱的手段。

据外媒报道，8月13日，阿根廷科尔多瓦司法机构遭到“Play”勒索软件攻击，此次攻击影响了司法机构的 IT 系统及其数据库，导致司法机构IT系统及其在线门户关闭。

据外媒报道， Mac 安全专家帕特里克·沃德尔（Patrick Wardle）近日发现macOS 端 Zoom 应用程序的漏洞，利用该漏洞可掌控整个系统权限，本周五在拉斯维加斯召开的 Def Con 黑客大会上，Wardle详细介绍了该漏洞细节。之前 Zoom 已经修复了的部分 BUG，但是还存留一个尚未修复、依然可以影响 macOS 系统的漏洞。

据外媒报道，一名研究人员Felix Krause针对Meta 旗下Instagram的一项分析发现，Instagram通过 App 内浏览器跟踪用户网络活动，用户点击应用程序内的链接，Instagram 可以监控他们的所有交互、文本选择，甚至是文本输入。这种做法违反了苹果 App Tracking Transparency (ATT) 政策。ATT 要求所有应用程序在跨其他公司拥有的应用程序和网站跟踪它们之前征求用户同意。

据外媒报道，健康信息网络安全协调中心 (HC3)发现了针对医疗保健提供商的恶意网络钓鱼活动。这些电子邮件具有以 Evernote 为主题的诱饵，可诱使收件人下载木马文件，该木马文件会生成登录提示以窃取凭据。该活动针对美国的几家医疗保健提供者。

据外媒报道，微软破坏了与俄罗斯相关的APT 组织SEABORGIUM针对北约国家进行的黑客行动，SEABORGIUM是一家总部位于俄罗斯的黑客组织，主要针对北约国家，活动涉及持续的网络钓鱼和数据盗窃，入侵以及与间谍活动相关的黑客和泄漏活动。

oid-location-data-collection ?traffic_source=Connatix 据外媒报道，上周五，谷歌在与澳大利亚竞争监管机构进行旷日持久的法律斗争后，同意支付6000万美元的罚款。去年4月，澳大利亚联邦法院发现Google违反了消费者法律，误导一些当地用户认为该公司没有通过Android操作系统的移动设备收集有关他们位置的个人数据。

据外媒报道，Cleafy 对 SOVA v5 的早期版本进行了采样发现，最新的5.0版本增加了勒索软件模块。 SOVA恶意软件现在针对200多个银行，加密货币交易所和数字钱包应用程序，试图从中窃取敏感的用户数据和cookie。根据 Cleafy 的说法， SOVA v5 已准备好进行大规模部署，因此建议所有 Android 用户保持警惕。

据外媒报道，Cyble的安全漏洞猎人扫描了网络上没有密码的面向互联网的VNC实例，并发现了9，000多台可访问的服务器。服务器无需身份验证即可访问和使用，从而使黑客轻松访问内部网络。大多数暴露的实例位于中国和瑞典，而美国、西班牙和巴西紧随其后。建议VNC管理员永远不要将服务器直接暴露给互联网，如果它们必须远程访问，至少将它们放在VPN后面以保护对服务器的访问。