【安全热点周报】第166期：毫米波干扰导致特斯拉自动驾驶汽车雷达失灵

毫米波干扰导致特斯拉自动驾驶汽车雷达失灵

10月24日，在上海浦东举办的2020国际安全极客大赛（Geek Pwn 2020）上，独立极客吴潍浠通过网络破解成功干扰特斯拉汽车的毫米波雷达，导致处在自动驾驶状态的特斯拉汽车雷达失灵撞上测试墙体。在现场见证了特斯拉自动驾驶雷达被破解的全程后，华为首席云安全生态官万涛表示，“在此之前，利用毫米波进行破解的成本很高，仅仅是制作干扰设备就需要花费十几万美元，相当于好几辆特斯拉。成本很高的网络破解会被认为是一种实验室研究，不会在现实中发生。但在这次挑战中，选手仅花费几千元人民币就制作出了“雷达干扰枪”。破解成本的降低，可能会使相关问题上升为一个真实的公共威胁。”毫米波是目前自动驾驶领域最可靠的手段，汽车厂商、设备厂商对此高度重视。据大赛主办方透露，该漏洞已被提交至特斯拉，由于技术原因，目前漏洞仍在修复中。

原文链接：

https://www.secrss.com/articles/26504

ENISA发布《2020ENISA威胁态势报告》，该报告提供了有关2019年1月至2020年4月期间网络威胁演变的见解，对识别和评估这一期间的主要网络威胁，具有重要意义。此外，该报告还提供了以分析期间为表征的威胁详细信息，并重点介绍了由COVID-19主导的数字环境转型带来的2020年威胁格局的重大变化。

https://securityaffairs.co/wordpress/109847/reports/enisa-threat-landscape-report-2020.html

诺基亚发布最新威胁报告《Threat Intelligence Report》，报告称，目前物联网设备感染率达到了 33%高于2019 年的16%。报告显示，受影响最大的物联网设备是那些用于给公众互联网分配IP地址的常规设备。随着2021年将在全球范围内部署更多5G网络，恶意行为者有了更充足的机会去利用物联网设备中的漏洞。该报告的发布，对物联网设备的安全性提出了更高要求。

https://www.cnbeta.com/articles/tech/1044083.htm

App公证是苹果公司今年早些时候正式推出的一项最新的安全保护措施。在本周发布的一份报告中，Mac安全软件制造商Intego的首席安全分析师称，“我们发现了六个冒充Flash安装程序的新应用程序通过了公证。这些应用安装后，将自动下载并安装OSX /MacOffers广告软件。“这是苹果公证程序自今年上线六个月以来第二次被绕过。目前，这六个传递恶意应用程序的软件已被取消公证。

https://www.zdnet.com/article/apple-notarizes-six-malicious-apps-posing-as-flash-installers/

10月24日，在上海举行的GeekPwn 2020新基建安全大赛上，白帽黑客攻破4G基站，成功获得LTE通信设备控制权限。选手利用设备层漏洞对多个品牌LTE基站展开渗透攻击，达到劫持和篡改用户访问网页信息、发送短信、甚至篡改流量、短信内容等目的，恶意行为者可利用相关漏洞对受害者实施欺诈行为。“未知攻，焉知防”新基建的加速推进，更加需要筑牢安全的底座。

https://www.4hou.com/posts/3OW9

据外媒报道，当地时间周四，欧盟对俄罗斯陆军下属的军事情报机构GRU及其两名军官Dmitry Badin和Igor Kostyu kov进行了制裁，认为其参与了2015年入侵德国议会网络事件。这是欧盟今年对俄罗斯黑客实施的第二波制裁，欧盟称“该网络攻击以议会的信息系统作为目标，攻击事件影响了议会数天的运作，大量数据被窃取，多名议员以及总理默克尔的电子邮件账户均受到影响。”

https://www.cnbeta.com/articles/tech/1044145.htm

近日，PDF文档服务Nitro PDF被曝光发生大规模数据泄露，包括Google、Apple、Microsoft在内的超1万家企业受影响。网络安全情报公司Cyble透露，一个威胁者正在出售他们声称从Nitro Software的云服务中窃取的用户和文档数据库。该数据库表包含7000万条含敏感数据的用户记录，通过对比数据库中存在的Nitro账户的已知电子邮件地址，安全媒体已经确认被盗用户数据库的真实性。

https://www.aqniu.com/threat-alert/70928.html