• Formidable 项目开发人员驳斥：MITRE 发的这个CVE漏洞纯属“碰瓷”

美国智库及军方人士认为，俄罗斯目前在乌克兰的电子战行动可能是美军未来作战的一次预演。在未来的作战场景中，美军遇到的对手能截获并干扰通信，切断无人机的链路并致盲所有雷达和传感器。研究俄罗斯的美国军事分析专家考夫曼表示，“电子战几乎是战场上最难辨识的对象。俄军在战事初期似乎未能利用好电子战能力，但现在他们能对无人机实施干扰并使其失效。”根据开源情报，乌克兰军队摧毁了俄军包括“克拉苏哈”在内的多型电子战系统，不过俄军仍能对乌军的通信及侦察无人机的GPS实施干扰。俄军对其电子战系统有效作用范围内的所有乌方系统均实施了干扰，极大阻碍了乌军行动。这样的行动也提示美军，不可能像过去那样轻松作战了。

• 针对解释性语言包管理器的供应链攻击研究

包管理器已经成为现代软件开发过程的重要组成部分，它们允许开发人重用第三方代码、共享自己开发的代码、最小化他们的代码库，并简化构建过程。然而，在最近的报告中显示，包管理器已经被攻击者滥用来分发恶意软件，给开发人员和最终用户带来重大的安全风险。安全研究员已经发现了这种攻击，并提出了一些解决方案来解决类似问题。Zimmerman 等人系统的研究了609个已知的安全问题，揭示了Npm生态中存在巨大的安全风险。另一方面， BreakApp 可以隔离不可行的包，来防御对证书的窃取和敏感数据的访问，但是还是不能阻止挖矿程序和后门。此外，还有很多解决方案，假设存在信任关系，并侧重于查找包中的错误，而不是恶意包。更糟糕的是，一些攻击是非常邪恶的，他们会利用社会工程学来伪装自己，首先发布一个“有用的”包，然后等待目标来使用它，然后再进行更新，植入恶意代码。

• 被指相册分类功能非法收集使用人脸数据，谷歌付一亿美元和解

近日，美国伊利诺伊州库克县巡回法院（CIRCUIT COURT OF COOK COUNTY, ILLINOIS，下称“法院”）宣布，谷歌就此前非法收集和存储伊利诺伊州居民的个人生物特征数据与多位集体诉讼原告达成和解协议，决定向受到影响的居民支付共计一亿美元的和解金，预计最多赔付每人400美元。该州居民需在9月24日前填写表格提出索赔申请。2015年5月，谷歌上线“相册分类”功能，该功能可通过识别照片内人物的面部特征，利用算法分析和模型创建判断不同人脸的相似度，将拥有相似人脸的照片归为一组，用户还能为各个人脸分组添加姓名备注，以便“轻松找到自己或亲人的旧照片与回忆”。不过，谷歌并未就其中的信息收集行为向用户进行告知。这一功能引起了用户对生物特征数据安全的担忧。和解协议显示，2016年3月起，伊利诺伊州用户针对相册分类功能对谷歌提起集体诉讼，指控谷歌在未获取用户书面同意的情况下非法收集、存储、使用用户生物特征数据，并认为此举违反了伊利诺伊州于2008年颁布的《生物特征信息隐私法》。

• 工信部召开2022年信息通信行业防范治理电信网络诈骗电视电话会议

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮