2018 年 3 月 23 日周五上午 9 点，苹果工程师 Walter Huang 驾驶特斯拉 Model X 汽车在加州 101 公路和 85 公路岔口发生致命车祸，撞上了分隔岛，车祸发生时汽车启用了自动驾驶（或辅助驾驶）功能。本周 Huang 家人提起的过失致死诉讼进入了审讯阶段。诉讼称，Huang 有理由相信特斯拉汽车的自动驾驶系统比人类驾驶更安全，特斯拉及其 CEO 马斯克（Elon Musk）曾反复谈论该系统的强大之处，虽然事实上特斯拉的自动驾驶和其它汽车配备的辅助驾驶功能基本无区别。美国国家运输安全委员会的调查显示，在发生致命车祸前，Huang 曾多次经历相同的故障，自动驾驶多次突然转向分隔岛，但每次 Huang 都及时恢复对汽车的控制。他曾用中文和朋友谈论了其遭遇。但 3 月 23 日他没能及时控制汽车。特斯拉声称他当时正在 iPhone 手机上玩世嘉的策略游戏《全战三国》。该手机有用于故障排除的增强日志功能。苹果帮助恢复了手机上的部分日志，证实他经常在通勤期间玩《全战三国》，事故发生当天游戏也激活了，但最后 17 分钟没有与《三国》相关的日志记录。诉讼指控特斯拉造成了过失死亡，并对销售有缺陷的产品负有责任。特斯拉则声称 Huang 误用了汽车的自动驾驶功能。

2023 年 5 月 和 6 月，黑客组织 Storm-0558 使用微软 2016 年密钥签名的身份令牌入侵了全球 22 个组织逾 500 人的 Microsoft Exchange Online 邮箱，访问了多名美国政府官员的电邮账号，其中包括商务部长 Gina Raimondo，驻华大使 R. Nicholas Burns 和国会议员 Don Bacon。美国网络安全审查委员会公布的调查报告认为，这次入侵是微软的错误导致的，是完全可以避免的，本不应该发生。委员会认为，微软在安全上做出不够充分，需要进行一次彻底改革。

Google Chrome 使用的 V8 JS 引擎宣布其内存沙盒不再视为实验性。开发者通过官方博客解释了其沙盒的工作原理：内存安全仍然是一个相关问题，过去三年所有发现的 Chrome 利用都始于一个渲染进程的内存损坏漏洞。其中六成的漏洞位于 V8 引擎中。但问题是 V8 的漏洞很少是经典的内存损坏错误如释放后使用和越界访问，因此现有的内存安全解决方案大部分不适用于 V8，比如切换到内存安全语言 Rust。V8 沙盒旨在隔离其堆内存，因此内存损坏错误不会传播到进程内存的其它部分。

XZ 后门事件后，开源项目出于谨慎考虑开始重新评估对 XZ 的依赖。最新采取行动的是 Fwupd Linux 固件项目，它用 Zstd 压缩取代了 XZ。Fwupd 此前使用 XZ 压缩 XML 负荷加速网络下载节省 CDN 资源。出于对 XZ 项目的担忧，它现在改用了 Zstd。结果显示，Zstd 不仅更值得信任，而且其产生的压缩元数据比 XZ 小 3%，解压缩数据还更快。

Shawn the R0ck 写道：2024年3月29日，一份关于在自由软件社区备受争议的开源项目 xz 软件包被上游源代码中的后门所污染的报告在 oss-security 邮件列表中曝光。这个后门影响到了 liblzma 库，它是 xz 软件包的一部分，在第一份报告发布后有多了很多跟进的研究，内容主要如下，1） 这个后门完整地存在于发布的 xz 源码包中(5.6.0 和 5.6.1 版本)，但上游 git 仓库中存在伪装为测试数据，但并未插入 liblzma 中的载荷，而打包前单独加入源码包中的唤醒代码（它们不存在于 git 仓库中，因此从 git 仓库，或由 github 生成的源码包编译的 liblzma 中不会有后门）会将载荷注入到构建过程中。2） 注入的代码修改 Makefile 以包含恶意文件，这些文件在构建过程中被执行,导致进一步的有效载荷注入。3） 这个有效载荷针对的是使用 gcc 和 GNU 链接器的 x86-64 GNU/Linux 系统,并且是 Debian 或 RPM 软件包构建的一部分。4） 恶意代码针对 OpenSSH 服务器进行劫持以实现远程代码执行，但显著降低了登录速度。它通过劫持和修改 liblzma 库中的某些函数来实现这一点，其载荷是间接加载到 sshd 中的。sshd 实现了对 systemd-notify 的支持，liblzma 被加载是因为它是 libsystemd 的其他部分所依赖的，systemd 的复杂度再次成为了实际上的安全隐患。5） 建议立即升级任何可能受影响的系统，因为这些被污染的版本还未广泛被 GNU/Linux 发行版集成。6） 提供了一个脚本来检测系统是否可能受到影响。7）后门投毒者关闭了 LANDLOCK 沙箱，这个已经被主要维护者修复。开源社区诸多用户都对于 systemd 饱受争议的复杂性以及其生态渗透到 GNU/Linux 系统之深本有意见，借愚人节之机满足读者的阴谋论叙事的诉求：幕后黑手其实是 M$，意在摧毁 GNU/Linux 生态，首先，他们秘密收买了 Lennart Poettering，让他开发了 systemd。Lennart 在 M$ 的授意下,将 systemd 逐步渗透到 GNU/Linux 发行版中,为后续行动铺路，2022年3月，M$ 认为可以执行下一步计划了就排出了 Jia Tan 团队跟 xz-utils 社区进行交涉，Lennart Poettering 的任务也宣告结束，2022年6月，M$ 公开召回（雇佣）Lennart，此后 M$ 筹划了 2023 年开始支持 openssh 的 systemd 生态进而让 Jia TAN 去掌控整个 GNU/Linux 生态，只是没想到被一个执着于性能且追求计算美学的工程师破坏了原本完美的计划，M$立马命令Github关闭了相关的帐号以毁灭证据，幸运的是这个蔚蓝色的星球的赛博网络里有时空穿梭机，这让github的重要信息得以保留。

xz 后门作者 JiaT75 (Jia Tan) 使用了拼音名字，但并不意味着他或他们就是华裔，可能不过是一个伪装。在长达三年时间内，Jia Tan 不可能一直不露出任何马脚。他的英文邮件和母语英语者一样出色，Git 时间戳是可以修改的，但他或他们可能会在某个时间忘记修改，导致时间戳出现可疑的变动，比如工作时间从 UTC+08 切换到 UTC+02 和 UTC+03。对其 Git 时间戳的分析显示，Jia Tan 可能生活在东欧。他或他们被发现在中国官方假期如中秋、清明、农历新年期间都工作，但在东欧的假期比如圣诞节和新年期间则从不工作。

xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战，当别有用心的人热情提供帮助，你真的难以分辨对方是真心还是假意。对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示，这位维护者早就筋疲力尽了，他承认如果有 bug 会去修，但开发新功能基本上不可能了。这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化，Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色，甚至让其接手维护。对于不断抱怨和提出要求的用户，他强调这是一个无薪水的业余项目。在“用户”不断的要求之下，Jia Tan 成为了项目的共同维护者。

Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门，后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1，后门版本尚未进入 Linux 发行版的生产版本，因此影响范围有限，主要影响的是测试版本的 Debian 和 Red Hat 发行版，以及 Arch 和 openSUSE 等。攻击者被认为处心积虑，潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号，之后积极参与了 xz-utils 的开发，获取信任之后成为了该项目的维护者之一。过去几个月，JiaT75 开始非常巧妙的悄悄加入恶意代码，“分阶段通过添加测试用例数据为掩盖放入了恶意代码，并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本，在库中添加了劫持某 OpenSSL 函数的功能，添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者，以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug，会导致崩溃等，此人随后与 Linux 开发者们频繁联络通信，试图修复问题，并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。

Google Play 官方应用商店有逾 15 款免费 VPN 应用被发现使用恶意 SDK 将 Android 设备变成住宅代理服务器，可被用于隐藏恶意活动。用户可选择自愿注册住宅代理获取收入等回报，但有部分 Android 设备是在不知情下被秘密安装了住宅代理。安全公司 HUMAN 的 Satori 团队发布报告，列出了 Google Play 上 28 个秘密将 Android 设备变成代理服务器的应用。28 个应用有 17 个冒充为免费 VPN，其中包括 Lite VPN、Byte Blade VPN、Fast Fly VPN、Fast Fox VPN、Fast Line VPN、Oko VPN、Swift Shield VPN、Turbo Track VPN、VPN Ultra 等等。

安全公司 Lumen Labs 披露，约 4 万个家用和办公室路由器被纳入 TheMoon 僵尸网络，在用户不知情下被用于注册 Faceless 代理服务，该服务旨在匿名化网络罪犯的非法在线活动，因此主要在网络犯罪论坛上出售。TheMoon 的历史可追溯到 2014 年，早期只感染 Linksys E1000 系列路由器，最近扩大到华硕 WRT, Vivotek Network Cameras 和 D-Link。安全研究人员报告，TheMoon 本月初在 72 小时内增加了 6 千台华硕路由器，显示了它的活跃度和强大。

研究人员披露了针对 AMD Zen 2 和 Zen 3 平台的 RowHammer 比特翻转攻击 ZenHammer。RowHammer 攻击指的是应用反复访问 DDR 内存芯片的特定区域导致比特翻转。比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。研究人员表示，尽管部署了缓解措施，他们仍然能针对 Zen 2 和 Zen 3 系统上的 DDR4 触发 Rowhammer 比特翻转。研究人员还使用 ZenHammer 攻击首次演示了对 DDR5 的 RowHammer 比特翻转。研究人员认为 Error Correction Codes(ECC)内存无法提供对 RowHammer 攻击的完整防御，只是增加了利用难度。研究人员在 2024 年 2 月 26 日通知了 AMD，应其要求到 2024 年 3 月 25 日才公开披露该漏洞。

Google 旗下的安全公司 Mandiant 发表报告认为，黑客组织 UNC5174 是 F5 BIG-IP Traffic Management User Interface 远程代码执行漏洞 CVE-2023-46747 和 ConnectWise ScreenConnect 路径遍历漏洞 CVE-2024-1709 的幕后黑手，这两个漏洞的危险评分分别高达 9.8/10 和 10/10。攻击者在获得受害者组织的初步网络访问权限之后，会选择高价值的目标出售。最奇怪的事情是，在被感染的系统中创建后门之后他们会给被利用的漏洞打上补丁。此举可能是防止其他黑客组织利用相同的漏洞入侵系统。

科罗拉多州立大学研究人员发现，美国商用卡车使用的 Electronic Logging Devices(ELDs)存在安全漏洞，可被用于控制卡车，甚至在卡车之间传播蠕虫。他们的论文发表在 2024 Network and Distributed System Security Symposium 研讨会上。研究人员没有披露受影响的 ELD 品牌或型号，表示只有几十种不同的 ELD 型号在商用卡车上使用。美国联邦政府要求重型卡车配备 ELD，跟踪驾驶时间，记录发动机运行、车辆运动和行驶距离等数据，但没有要求内置经过测试的安全控制装置。研究人员称，攻击者可通过蓝牙或 Wi-Fi 连接访问 ELD 去控制卡车，比如强迫卡车靠边停车。其中最令人担忧的情景是对卡车 ELD 的蠕虫攻击：蠕虫通过被感染设备的 Wi-Fi 功能搜索附近其它容易受攻击的 ELD。找到匹配的 ELD 后，蠕虫使用默认凭据建立连接，将恶意代码传播到新 ELD，覆盖现有固件，然后重复这一过程。美国目前有逾 1400 万辆中型和重型卡车。

2022 年，一群安全研究人员被邀请入侵拉斯维加斯的酒店客房。时隔一年半之后，研究人员公布了他们的工作成果：入侵者可以在数秒内打开全球 300 万间酒店客房中的任意一间。他们的酒店钥匙卡入侵技术被称为 Unsaflok，针对的是瑞士锁具制造商 Dormakaba 销售的基于 RFID 的 Saflok 钥匙卡锁。Saflok 系统被安装在全球 131 个国家的 300 万房门上。安全研究人员首先从目标酒店获取钥匙卡——如预订房间——然后用 300 美元的 RFID 读写设备读取卡上的特定代码，最后写入两张自己的钥匙卡。此后只需在锁上轻敲两张卡，第一张卡会重写锁的特定数据，第二张卡会打开它。Dormakaba 公司表示过去一年和世界各地的酒店合作修正或更换容易受攻击的门锁。目前只有 36% 的 Saflok 锁已经更新，完全修正或更换可能需要数年时间。

上周，在热门射击游戏《Apex Legends》的电竞锦标赛期间，黑客设法让两名知名游戏主播在游戏中开挂。遭到入侵的主播在直播中惊讶的大喊被黑了被黑了。赛事主办方被迫无限期推迟比赛。发动攻击的黑客自称是 Destroyer2009 和 R4andom，其中 Destroyer2009 接受采访时表示只是为了好玩，旨在迫使开发商修复游戏漏洞。他拒绝披露漏洞细节，称在完全修复和一切恢复正常前不会公布漏洞信息，表示漏洞与服务器无关，他没有攻击游戏主播的计算机，一切都是在游戏程序中完成的。

富士通证实其部分计算机系统感染了恶意程序，攻击者可能还窃取到了部分客户信息。富士通称在检测到恶意程序之后，它立即切断了与被感染计算机的网络连接，部署了更好的监视工具，加强安全措施。富士通表示它开始通知信息可能被盗的客户。该公司没有披露更多信息。

卡巴斯基安全研究人员发现有攻击者在百度投放广告传播恶意版的文本编辑器 Notepad++ 和笔记应用 vnote。研究人员指出，如果用户点击广告进入传播恶意版 Notepad++ 的网站，会立即注意到不一致的地方：网址包含了 vnote 而不是 Notepad++，提供下载的应用是中国开发者改造过的 Notepad--（分支）。网站提供的 Windows、Linux、macOS 三个版本中只有 Linux 和 macOS 版本包含了恶意代码。vnote 的钓鱼网站则试图模仿官网。如果用户安装了恶意版的 Notepad--，它会试图安装一个后门程序，该后门程序应该是来自于开源程序 Geacon。

帮助用户从近 200 个人肉搜索网站删除个人信息的数据隐私公司 Onerep.com 其创始人被发现创办了数十家人肉搜索公司。Onerep 的服务价格个人每月 8.33 美元，家庭每月 15 美元。该公司的创始人兼 CEO 是来自白俄罗斯明斯克的 Dimitri Shelest。调查显示，他实际上是一家白俄罗斯人肉搜索公司 Nuwber.com 的创始人，他的邮箱被用于注册了至少 179 个域名，其中至少几十家公司的业务针对的是阿根廷、巴西、加拿大、丹麦、法国、德国、香港、以色列、意大利、日本、拉脱维亚和墨西哥等国家和地区公民的人肉搜索。

Google 宣布对 Chrome 浏览器的安全浏览保护功能（Safe Browsing）进行重大改变，将用户访问的网址与服务器端的恶意网站列表进行实时比对。此前 Chrome 是每小时向本地下载一个已知的恶意网站列表，现在改为实时检查，不再需要每小时更新列表，正如 Google 指出恶意网站的平均生存时间只有 10 分钟。搜索巨人称，这种服务器端的实时检查相比本地列表能多发现四分之一的钓鱼攻击。Google 首先向桌面和 iOS 版本推送新的系统，在本月晚些时候向 Android 版推送该功能。

Tor 项目正式推出了模拟 HTTPS 流量的新网桥 WebTunnel。网桥是不公开的 Tor 中继。WebTunnel 通过模拟 HTTPS 流量增加屏蔽 Tor 连接的难度。审查者不可能完全屏蔽 HTTPS 连接，因为这会导致绝大部分服务无法访问。Tor 项目称，WebTunnel 的工作原理是将负载（Payload）连接包装成类 WebSocket HTTPS 连接，在网络观察者眼里就像普通的 HTTPS (WebSocket) 连接。使用 WebTunnel 网桥需要用户去获取相关网桥地址，手动添加到 Tor 浏览器中。WebTunnel 网桥数量还不多，目前无法在伊朗部分地区使用，在其它国家能正常工作。