下载量超过一亿的流行应用被发现含有恶意模块

俄罗斯杀毒软件卡巴斯基报告，一个 Google Play 商店下载量超过一亿的流行应用 CamScanner（或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs）被发现含有恶意模块。

CamScanner 是一个合法应用，在大部分时间里没有恶意功能，它靠广告和应用内购买获取收入。但在某个时间情况变了，CamScanner 最近释出的版本包含了含有恶意模块的广告库。

卡巴斯基将该模块称为 Trojan-Dropper.AndroidOS.Necro.n。类似的模块此前见于中国造智能手机预装的恶意程序中。该模块定期从开发者指定的服务器上下载加密代码，在设备上解密然后执行。

部分 CamScanner 用户已经注意到了该应用的可疑行为，他们在应用页面留言对其他用户发出警告。

来源：solidot.org

更多资讯

DNS-over-HTTPS 的下一代是 DNS ON BLOCKCHAIN

DNS-over-HTTPS（简称DoH）是一种通过安全加密的HTTPS协议解析DNS请求的协议。该方法的目标是通过防止通过中间人操纵DNS数据来防止窃听并增加安全性来增加用户隐私。

来源：开源中国

详情链接：https://www.dbsec.cn/blog/article/4989.html

安全研究人员警告 WS-Discovery 协议被被用于大规模 DDoS 攻击

早在今年五月，外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用，研究人员只能相对克制地不披露更多细节。然而最近一个月，滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈，频度几乎达到了一周一次。作为一种多播协议，该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。

来源：cnBeta.COM

详情链接：https://www.dbsec.cn/blog/article/4990.html

2018 年的漏洞仍未彻底修复：黑客仍能几秒内破解特斯拉 Model S

破解一辆特斯拉 Model S 需要多长时间？在 2018年安全团队 COSIC 就曾演示过在短短几秒内完成破解！这主要利用了特斯拉  Model S 中 PKES（无钥匙进入系统）与无线钥匙的认证过程中存在的安全问题，从而让黑客可以在几秒内复制汽车钥匙将汽车偷走。随后特斯拉立即做出反应解决了这个问题并转换到新的遥控车钥匙。

来源：cnBeta.COM

详情链接：https://www.dbsec.cn/blog/article/4991.html

发现美国海军网站的敏感信息泄露和 SQL 注入漏洞 

最近，作者通过 HackerOne 的美国国防部漏洞众测项目（Hack The Pentagon），发现了美国海军某网站的敏感信息泄露和 SQL 注入两个高危严重漏洞，漏洞非常容易发现且安全风险极高，以下是相关分享。

来源：FreeBuf.COM

详情链接：https://www.dbsec.cn/blog/article/4992.html

（信息来源于网络，安华金和搜集整理）