加密漏洞影响大量蓝牙设备；电子邮件攻击急剧上升，邮件安全风险增

稻花香里说丰年，听取蛙声一片。

各位 Buffer 早上好，今天是 2018 年 7 月 26 日星期四，农历六月十四。今天份的 BUF早餐内容有：加密漏洞影响大量蓝牙实现，主流厂商设备都受影响；电子邮件网络攻击急剧上升，邮件安全风险增大； 谷歌引入物理密钥后，8.5 万雇员都没有再被成功钓鱼；黑客在虚假 HTTP 错误页面中隐藏登陆页面，获取 webshell 用于攻击；APP  注销难引官媒关注，人民日报点评称要保障信息安全。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

加密漏洞影响大量蓝牙实现，主流厂商设备都受影响

近日，大量蓝牙设备和系统被曝存在严重加密漏洞 CVE-2018-5383，漏洞主要是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。这会导致配对减弱并导致远程攻击者获取设备使用的加密密钥，并恢复“安全”蓝牙连接中的两个设备之间发送的数据。

目前，苹果、博通、英特尔、高通等多家硬件厂商都确认其蓝牙实现和操作系统驱动都受到影响，苹果、博通和英特尔已经发布了修复补丁。[来源：bleepingcomputer]

电子邮件网络攻击急剧上升，邮件安全风险增大

网络安全公司 Mimecast 近期发布了《2018 邮件安全现状》报告，报告显示，攻击者持续针对终端用户发起邮件攻击，邮件攻击数量急剧上升。在报告的受访者中，将近 40% 的 C 端用户都认为自己所在公司的 CEO 是公司安全的薄弱环节；31% 的 C 端用户都曾通过邮件不慎将敏感数据发送给无关人员。

此外，2017 年有 92% 的勒索软件都是通过邮件分发，造成了较大危害。90% 的组织都表示邮件钓鱼攻击数量有所增长。但是，只有 11% 的企业不断培训员工识别网络攻击，而52% 的企业每年只组织一次培训。Mimecast CEO 表示，电子邮件攻击持续增长，除了常规的防御之外，企业还需要采取其他应对措施来确保安全。[来源：infosecurity]

谷歌引入物理密钥后，8.5 万雇员都没有再被成功钓鱼

安全博客 KrebsOnSecurity 报道，Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码，此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼。物理安全密钥是廉价的 USB 设备，可作为双重认证（2FA）的替代。当用户登录时，既需要提供密码，还需要提供移动设备等物理安全密钥。

Google 发言人称，物理安全密钥是访问 Google 所有帐户的基础，自推行物理安全密钥以来，公司内雇员没有再报告过账号被接管的问题。[来源：krebsonsecurity】

黑客在虚假 HTTP 错误页面中隐藏登陆页面，获取 webshell 用于攻击

安全研究人员发现，黑客在伪造的 HTTP 错误页面中隐藏登录表单、获取 webshell 访问权限用于攻击的行为近期有所增加。这些页面假装出现 HTTP 错误，例如 404 Not Found 或 Forbidden，但实际上却是登录页面，允许攻击者访问 webshell 以在服务器上发出命令。