漏洞不是在應用程序中，而是在應用程序使用的底層框架 Electron 中。

作者/來源： 安華金和

因其跨平台能力，Electron 開發平台是許多應用的關鍵組成部分。基於 JavaScript 和 Node.js 的 Electron 被用於 Skype、WhatsApp 和 Slack 等流行消息應用，甚至被用於微軟的 Visual Studio Code 開發工具。但 Electron 也會帶來安全隱患，容易修改植入後門。

安全研究員 Pavel Tsakalidis 演示了一個 Python 開發的工具 BEEMKA，允許解壓 Electron ASAR 存檔文件，並將新代碼注入到 JavaScript 庫和內置 Chrome 瀏覽器擴展。

漏洞不是在應用程序中，而是在應用程序使用的底層框架 Electron 中。Tsakalidis 稱他聯絡了 Electron 但沒有得到回應。

來源：solidot.org

更多資訊

網傳 Steam 有安全漏洞 玩家電腦可能會被當成礦機根據 reddit 網友的爆料，安全研究員 Vasily Kravets 近日發現了 Steam 的重大安全漏洞。據悉，一些不法分子甚至可以利用該漏洞將玩家的 PC 變成礦機。消息一出，立即引發了很多網友的關注。

來源：3DMGame

詳情鏈接： https://www.dbsec.cn/blog/article/4882.html

你與 Siri 的對話可能從來都不是秘密在大眾印象中，蘋果在保護用戶隱私方面享有良好聲譽，但有時它對用戶數據的實際控制是薄弱的、不透明的或不存在的。具有諷刺意味的是，在用戶數據方面，蘋果有一套更好的默認技術和策略。但 Siri 的錄音被保存在蘋果伺服器上是一個顯著的問題，隨著蘋果越來越多的業務轉向服務，它需要更好地處理這個問題。

來源：威鋒網

詳情鏈接： https://www.dbsec.cn/blog/article/4883.html

蘋果將向漏洞研究者提供百萬美元獎金：創企業界紀錄北京時間8月9日早間消息，據路透社報道，蘋果將向網路安全研究人員提供高達100萬美元的資金，以鼓勵他們尋找iPhone手機的缺陷，這也成為一家企業為防範黑客而提供的最高獎勵。

來源：新浪科技

詳情鏈接： https://www.dbsec.cn/blog/article/4884.html

App 收集個人信息將有「國標」：用戶不同意就不得對外共享App 提供服務需要調取用戶哪些信息？現在有規範可依了。8 月 8 日，全國信息安全標準化技術委員會發布關於開展國家標準《信息安全技術移動互聯網應用（App）收集個人信息基本規範（草案）》徵求意見工作的通知。

來源：澎湃新聞

詳情鏈接： https://www.dbsec.cn/blog/article/4885.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！