关注丨一周信息安全新闻简报

北京时间9 月27 日，美国外卖服务 DoorDash 周四宣布，一项安全漏洞暴露了该公司大约 490 万客户、商家和送货员的个人数据。

这家总部位于旧金山的公司在一份声明中说，此次泄露的信息可能包括大约 10 万名送货工人的驾驶执照号码，其他数据可能包括“姓名、电子邮件地址、交货地址、订单历史记录、电话号码”等。

该公司还在声明说，一些消费者支付卡的最后四位数字也可能被暴露出来，但其中没有包含足够的数据来进行欺诈性收费。送货员和商家的银行帐号最后四位数可能已被他人访问。但该公司表示，该信息不足以进行欺诈性提款。

许多人担心全新深层伪造技术出现，让人很难分辨音频、视频和图像真假。现在，谷歌希望更轻松帮助人们地知道这些东西是真实的还是伪造的，并为检测音频、视频和图像真伪做出贡献。谷歌表示，尽管许多假冒视频和图像本来是幽默的，但它们有可能对个人和社会造成危害。

谷歌认为这些问题非常严重，并已经发布了一个合成语音数据集，支持开发相关软件，以检测音频真假。谷歌表示，150 多家研究机构和行业组织下载了该数据集。同样的数据集现在也可以供公众使用。

谷歌与 Jigsaw 合作推出了一个全新可视化深度虚假数据集。新的数据集已被集成到相关基准测试软件当中，这将将有助于识别伪造的视频。现在用户可以在FaceForensics Github 页面上下载这个数据集。

发现“Checkm8”漏洞的安全研究人员一直在继续工作，并在周五披露了新的进展：在漏的辅助下，演示了iPhone X的越狱状态，而且 iOS 版本为13.1.1。根据“ axi0mX”的最新报告，在运行 iOS 13.1.1 的 iPhone X 上，越狱仅用了几秒钟。

由于漏洞利用程序位于引导 ROM 中，因此操作系统版本与漏洞利用程序实际上并不相关，因为在设备引导入 iOS部分之前的安全链就已断开。

和以前一样，该漏洞利用程序仍然需要与计算机连接，重新启动后，越狱状态即告失效，iOS 的安全体系将拒绝加载越狱期间安装的任何系统修改，并还原安全启动链。

Google 安全团队 Project Zero 的研究人员近日披露了一个活跃的 Android 漏洞，该漏洞影响了一些受欢迎的设备，其中包括 Pixel 2, 华为 P20 Pro 和红米 Note 5 等。

Project Zero 发表的帖子显示该漏洞是在上周被发现的，当时攻击者正在利用它完全控制 Android 设备。帖子还指出，要利用此漏洞无需或只需最小自定义的 Root 权限即可。

团队还列出了一些受影响的运行 Android 8.x 或更高版本的设备：

搭载 Android 9 或 Android 10 preview 的 Pixel 1, 1 XL, 2 和 2 XL（Pixel 3 和 3a 设备不受攻击）

华为 P20

红米 5A

红米 Note 5

小米 A1

Oppo A3

Moto Z3

Oreo LG 手机

三星 Galaxy S7, S8, S9

……

对此，Google 表示即将发布的 Android 10 月安全更新将修复该漏洞，并已通知 Android 合作伙伴推送更新，安全补丁可在 Android Common Kernel 上获取。

近日，Facebook 旗下即时通讯工具 WhatsApp 修复了一个安全漏洞，此前通过该漏洞，黑客可以用恶意 GIF 动图入侵该软件。

当用户在他们的图库中打开一个恶意 GIF 动图时，就可能触发黑客攻击。GIF 被打开后，Whatsapp 软件里面的内容可能会被盗用，包括用户个人信息、聊天记录等。

据悉，手机系统为 Android 8.1 和 Android 9 的设备容易遭受此类攻击。