火絨安全周報：IOS系統彈窗真假難辨 WPA2漏洞影響幾乎所有WiFi設備

1、小心了，別被偽造的 iOS 系統彈窗騙走 Apple ID

開發者 Felix Krause 發表博客稱 ，iOS 開發者要想創建 Apple ID 登陸窗口是非常容易的，不到 30 行代碼就可實現，而這一漏洞可能會被不法分子利用。這種仿冒的彈出窗口極具迷惑性，與 iOS 系統真正的窗口非常相似，僅通過外觀根本無法察覺出來。目前Felix Krause 已經將這個問題反饋給蘋果。

如何分辨真假：

只需要在窗口頁面按下 home 鍵，如果回到了主頁面，則表示之前的窗口是偽造的。真正的系統彈出窗口優先順序非常高，點擊 home 鍵是無法令其消失的。

火絨工程師同時建議大家，為自己的賬號開啟雙重認證，以進一步保護 Apple ID。

來源：小心了，別被偽造的 iOS 系統彈窗騙走 Apple ID

2、WPA2 安全協議被爆多個高危漏洞 幾乎涉及所有WiFi設備

近日，安全研究人員 Mathy Vanhoef在WPA2協議中發現多個安全漏洞，黑客通過KRACK攻擊可以藉助漏洞截獲電腦和無線路由器之間的網路流量。由於WPA2協議是幾乎所有路由器的默認安全加密方式，幾乎所有 WiFi 設備都會受到影響。需要注意的是，改變WiFi密碼無法預防此次攻擊，建議大家及時更新WiFi設備的補丁。國標WAPI無線認證暫不受該漏洞影響。

來源：WPA2安全協議驚現高危漏洞，幾乎涉及所有WiFi設備（附固件升級列表） - FreeBuf.COM | 關注黑客與極客

3、凱悅酒店集團客戶信息遭到泄露 中國受影響最嚴重

凱悅酒店集團近期證實，旗下 41 家酒店的支付系統已遭黑客入侵，美國、中國、墨西哥等 11 個國家的客戶數據遭到泄露。其中，中國受影響情況最為嚴重，有近一半受影響的酒店位於中國境內。客戶信息泄露內容包括持卡人姓名、卡號、到期時間以及內部驗證碼。

來源：凱悅酒店集團支付系統再遭黑客入侵，旗下 41 家酒店客戶信息在線泄露

4、熱門網站秘密利用訪客電腦挖礦 受影響用戶達5億

安全公司 Adguard 近期發表報告稱，超過 220 家熱門網站曾從Coinhive獲得挖掘加密貨幣的JS腳本，並在用戶電腦上試驗採礦，從而獲取巨額收益。網站無需花費太多資金就能進行此類行為，網頁內嵌入JS代碼後，只要用戶訪問網站，挖礦程序就會在用戶電腦中運行，佔據大量系統資源。據悉，目前共有 5 億用戶在不知情的情況下運行JS腳本、挖掘加密貨幣。

來源：逾 5 億用戶電腦曾執行網站 JS 採礦腳本，秘密挖掘加密貨幣

5、漏洞預警：WordPress存在一系列安全漏洞

2017年10月19日，WordPress 官方發布了一項安全更新，WordPress已經更新到4.8.2版本，修復了一系列漏洞。官方建議WordPress用戶儘快更新到最新版本。

受影響的版本：

WordPress 4.8.1及其之前版本

火絨工程師各用戶儘快更新自己的軟體版本，以防造成不必要的安全問題。

來源： 漏洞預警：WordPress存在一系列安全漏洞 - 嘶吼 RoarTalk - 回歸最本質的信息安全,互聯網安全新媒體,4hou.com