4G/5G 漏洞曝光：可拦截电话和追踪位置；ofo 被法院冻结近 1 亿元

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、三个 4G/5G 漏洞曝光：可拦截电话和追踪用户位置

多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞，可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示，这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护，并对窃听手机行为提供了更妥善的保护措施，但研究人员表示新型攻击方式可以绕过这些措施。

该论文的共同作者之一Syed Rafiul Hussain向外媒TechCrunch透露：“任何对蜂窝寻呼协议有所了解的人都可以发起此类攻击。”Hussain，以及来自于普渡大学的Ninghui Li和Elisa Bertino，来自爱荷华大学的Mitziu Echeverria和Omar Chowdhury，计划于本周二在圣地亚哥的网络和分布式系统安全研讨会上展示他们的发现。

根据论文描述，这三个漏洞分别为Torpedo、Piercer和IMSI-Cracking攻击。其中最为严重的就是Torpedo，它利用了蜂窝寻呼协议（paging protocol，运营商用于来电或者短信之前通知手机）的弱点，在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议，从而让攻击者追踪受害者的位置。研究人员说，知道受害者的寻呼时机还可以让攻击者劫持寻呼通道，并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。

而基于Torpedo漏洞，攻击者还可以推进另外2个漏洞。研究人员表示Piercer允许攻击者在4G网络上确定国际移动用户身份（IMSI），而另外一个漏洞名为IMSI-Cracking攻击，它可以在4G和5G网络中暴力攻击IMSI号码，而IMSI号码都是加密状态的。

Hussain表示美国四大电信运营商（AT＆T，Verizon、Sprint和T-Mobile）均存在Torpedo漏洞，攻击者只需要花200美元购买一台无线电通讯设备就能发起攻击。一位不愿透露姓名的内部人士表示，美国的一家运营商已经遭受到了Piercer漏洞的攻击。

1、小米盒子 3 内核代码已开源，坐等刷机包？

日前，有网友发现小米盒子3的内核代码已经开源，并上传至 GitHub 代码托管平台。小米盒子3内核代码的 GitHub 仓库信息显示，其采用的系统为 Android O 系统，该系统要比小米盒子3的预装系统要新。

访问：

https://github.com/MiCode/MiBox_Kernel_OpenSource/tree/once-o-oss

小米盒子3搭载主频 2.0GHz 的 64 位 Amlogic S905 Cortex-A53 四核处理器，Mali-450 GPU，内置 1GB DDR3 运行内存以及 4GB eMMC5.0 高速闪存，支持蓝牙 4.1 及双频 WiFi，支持 4K 输出分辨率，预装 Android 5.0 系统。随后小米又推出了小米盒子3增强版，小米盒子3增强版机身使用 PC+ABS 材质，重 190g。

其4G的存储空间一直被很多用户所诟病，不过内核代码开源之后，大家可以对小米盒子3进行定制修改，以满足自己的需求。

2、ICANN 呼吁全面推进部署 DNSSEC

网络域名管理者互联网名称与数字地址分配机构（ICANN）近日发布警告称，DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统（DNS）来监督管理全球的互联网通信地址，系统将用户在浏览器中输入的地址转换成为唯一的数字地址，从而让用户访问对应的网站。不过ICANN本周五发布公告称，DNS基础设施正成为“恶意活动”的攻击目标。

针对此类DNS攻击，ICANN呼吁全面部署“域名系统安全扩展”（DNSSEC）。DNSSEC是一种对数据进行数字“签名”的有效技术，可以阻止受害者重定向至恶意网站。通过部署DNSSEC，可以有效阻止“中间人”攻击方式。通过这种攻击方式，欺诈者可以将受害者重定向至精心制作的虚假网站，并诱骗他们提供登录凭证、付款信息以及其他个人信息。

虽然ICANN承认他们提出的解决方案（包括全面部署DESSEC）无法解决所有互联网的安全问题，但应该可以有效降低网络安全风险。不过目前DESSEC的部署情况并不乐观，财富1000强企业中DNSSEC的使用量低至3％。虽然这个数字现在增加到20％，但距离全面部署仍有很长的路要走。

【业界资讯】

0、ofo 被法院冻结近 1 亿元，1500 多万人苦等押金

ofo小黄车再遭打击，本来就窘迫的资金雪上加霜。根据天眼查数据，天津科林自行车有限公司与北京拜克洛克科技有限公司(ofo关联公司)买卖合同纠纷一审民事裁定书显示，法院冻结拜克洛克银行存款145万元或查封其他等额财产。天津科林于2018年1月20日向天津市滨海新区人民法院申请财产保全，请求冻结拜克洛克的银行存款145万元或查封其他等额财产。

法院裁定，立即开始执行。这已经是ofo第三次被冻结资金了，累计金额超过9500万元。

2018年12月28日，法院冻结被告东峡大通(北京)管理咨询有限公司(ofo运营方)在招商银行的账号存款1370多万元。

今年2月20日，北京市第一中级人民法院判决东峡大通付给天津飞鸽7271万元及违约金779万元，同时天津飞鸽申请冻结东峡大通8082万元财产。

同时在这起案件中，东峡大通向上海凤凰支付7191.61万元，并同意将被冻结的2804.05万元支付给上海凤凰，剩余款项分期支付。

对于广大ofo用户来说，更关心的还是押金能不能退回来。

根据网友评论，目前ofo退押金排队已经超过1500万位，而且多数人的进展十分缓慢，甚至还有很多人的排位不但没有向前进，反而还向后退了。

1、明星微博转发破 1 亿次，微博官方回应：调整上限为 100 万

近日，央视等媒体报道了部分微博明星账号转发数据异常的消息，其中最夸张的是某明星转发数达到了1亿次，微博总用户数也才刚刚超过3亿个，换句话说，每3名用户中就有1个用户转发了这条微博，明显不合常理。2月24日，@微博管理员 微博账号发布了《关于某些微博转发数据异常偏高问题的说明》文章，公开回应了这些报道，表示微博也深受“流量造假”的危害。

回应原文如下：

关于某些微博转发数据异常偏高问题的说明

微博已经注意到，央视等媒体所报道的明星账号微博转发数据异常偏高问题。针对报道中所反映的明星账号“流量造假”的问题，为回应关切和疑问，作出如下说明：

1、针对央视报道所反映出同一类问题，微博在2月3日已经调整了对微博转发、评论计数显示方式。调整后，微博转发、评论计数显示上限均为100万，即转发、评论实际数量超过100万时，相应的转发、评论数量均显示为100万+。该调整及调整目的在1月8日也已公告。

2、以上计数显示方式调整的目的，就是打破唯数据观、唯流量观所带来的“囚徒困境”式攀比，为了将粉丝群体从这种恶性“竞赛”中解脱出来。

3、除了转发评论显示方式调整外，微博的热搜、明星势力榜、热门话题榜等榜单产品一直坚持用户的多次重复行为不能计数的规则和策略。

4、明星账号数据异常偏高的背后，是流量“竞赛”已经蜕变为互联网黑产对整个产品和社会的侵蚀。在这种“竞赛”中，微博作为平台不仅收获不到正常的用户和流量，反而要承担由此带来的风险，微博是完全不愿意见到这种“竞赛”继续下去，并且也做出了相关的产品调整。

5、刷数据主要表现为刷转发、刷评论，目前这种已经脱离常识的数据也都并非由真人粉丝完成，而主要是借助各种可以登录多个微博账号的“外挂”软件完成，而“外挂”的开发运营者，则依靠登录账号的数量赚取利润。

6、为了使转发评论数据能够“欺骗”微博平台的作弊系统，“外挂”所承载的账号来源已经从批量注册的机器账号“进化”到了盗取用户的正常账号，甚至蓝v机构账号。

7、针对以上现象中可能存在违法犯罪行为，从去年开始微博已经多次向公安机关提供所掌握的证据材料进行报案。

微博作为用户数量众多的社交媒体平台，始终愿意承担企业的主体责任和运营平台的社会责任，但是在面对无所不用其极的互联网黑产时，也需要相关执法机构的帮助，仰赖法律规则的完善。

2、谷歌助手专用按键将进入一系列新手机：包括小米和 LG

据美国科技媒体CNET报道，谷歌上周日在MWC展会上宣布，部分厂商的新手机将配备Google Assistant的实体专用按键，用户按下这种按键就能使用谷歌的数字助手。 谷歌表示，配备专用Google Assistant按键的新手机包括LG的G8 ThinQ和K40、诺基亚的3.2和4.2，还有小米9和MIX 3 5G版。同时，TCL和vivo的新手机，包括V15 Pro，也将配备这一按键。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「好看」呗~