行业快报归档 - 第3页共6页

一名白帽黑客因发现 Tesla Model 3 中软件的 XSS 漏洞而获得一万美元的奖励

Tesla Motors Logo:

图 1. from: https://commons.wikimedia.org/wiki/File:Tesla_Motors.svg

这位白帽黑客名叫 Sam Curry. Curry 发现的这个跨站脚本攻击漏洞 (XSS) 可以被用来非授权地获取车辆信息，例如车辆的 VIN, 速度，温度，是否锁定，胎压，警报，时区等信息。Curry 在自己的 Tesla 汽车上利用 XSS Hunter 的攻击载荷对该漏洞进行了攻击，获取到了如下信息：

VIN: 5YJ3E13374KF2313373
Car Type: 3 P74D
Birthday: Mon Mar 11 16:31:37 2019
Car Version: develop-2019.20.1-203-991337d
Car Computer: ice
SOE / USOE: 48.9, 48.9 %
SOC: 54.2 %
Ideal energy remaining: 37.2 kWh
Range: 151.7 mi
Odometer: 4813.7 miles
Gear: D
Speed: 81 mph
Local Time: Wed Jun 19 15:09:06 2019
UTC Offset: -21600
Timezone: Mountain Daylight Time
BMS State: DRIVE
12V Battery Voltage: 13.881 V
12V Battery Current: 0.13 A
Locked?: true
UI Mode: comfort
Language: English
Service Alert: 0X0
https://samcurry.net/cracking-my-windshield-and-earning-10000-on-the-tesla-bug-bounty-program/

Tesla Model 3:

图 2. 由Carlquinn – 自己的作品，CC BY-SA 4.0，https://commons.wikimedia.org/w/index.php?curid=65368295

Curry 随后把该漏洞报告给了 Tesla 的漏洞奖金程序，在大约 12 小时之后，Tesla 即推出了针对该漏洞的热更新。Tesla 认为这是一个严重漏洞，并在两周之后向 Curry 支付了 $10, 000 的漏洞奖金。

Track THIS: 伪装你在浏览器中的网络身份

Track THIS 是 Mozilla 和 mschf 工作室合作提供的一个工具。Track THIS 直接翻译过来就是 “追踪这个” 的意思。

我们知道，广告商会追踪 Web 浏览器用户的浏览行为，然后根据获取到的数据描绘用户画像，从而有针对性的投放广告。Track THIS 的目的就是通过打开 100 个特定类型的标签，混淆 Web 浏览器用户的浏览行为，从而隐藏用户的真实网络画像。

目前，Track THIS 提供了四种用户类型可供选择，分别是 HYPEBEAST (潮人)、FILTHY RICH (肮脏的有钱人)、DOOMSDAY (相信世界末日的人) 和 INFLUENCER (意见领袖)。如图 1：

HYPEBEAST

使用该模式将会使广告商认为你对街头服装 (streetwear), 专享鞋 (exclusive kicks) 和新潮音乐 (latest music) 感兴趣。很明显，当你在互联网上搜索最新的商品时，你就是文化的推动者 (clearly you’re a driver for culture as you scour the internet for the latest merch drop). 如图 2：

FILTHY RICH

在该模式下，除了喝酒少 (less booze) 并且拥有许多信用卡积分 (credit card points) 之外，广告商会认为你就是生活在邦德电影 (bond movie) 里的人物。你的生活里充满奢侈的品牌 (luxury brands), 豪华的轿车 (fancy cars) 和专属俱乐部 (exclusive clubs). 还有什么没有列举出来的事吗 (does anything else even matter?). 如图 3：

DOOMSDAY

在该模式下，广告商会认为你常常花时间去搜索补给品 (supplies), 评估掩体 (evaluating bunkers), 打印阴谋论 (printing out conspiracy theories), 然后用红线把它们钉在你家卧室的墙上。如图 4：

INFLUENCER

在该模式下，广告商会认为你会沉迷于 (obsess over) 护肤流程 (skincare routines), 全身疗法 (holistic remedies), 占星术 (astrology) 和冥想应用程序 (meditation apps), 然后把这些内容发布到你的 vlog 上来增加点赞和订阅。如图 5：

我没有对 Track THIS 混淆用户网络行为的效果做评估，Track THIS 的目的也不是阻止广告商投放广告。但是，在我看来，Track THIS 的确是一个保护 Web 浏览器的用户隐私，对抗无处不在的追踪的一个有趣尝试。

EOF

AMD Ryzen™ 3000 系列处理器正式发售

北京时间 2019 年 07 月 07 日，AMD 宣布第三代锐龙台式机 (桌面) 处理器全球同步上市，这是已经正式发售的消费级台式机处理器中首款采用 7 nm 工艺的处理器产品。AMD Ryzen™ 3000 系列处理器基于 “Zen2” 核心，该核心在之前的 “Zen” 基础上进行了一些更新。根据 AMD 官网的消息， “Zen2” 核心的主要优势如下：

时钟周期指令数提升高达 15 % (基于 AMD “Zen 2” CPU 的系统比基于 AMD “Zen” 的上一代系统得分高出约 15 % (采用 PECint®_base2006 估算));
3 级高速缓存容量翻倍 (高达 32MB);
浮点吞吐能力翻倍 (256 位);
OpCache 容量翻倍 (4K);
Infinity Fabric 带宽翻倍 (512 位);
全新的 TAGE 分支预测器.

部分 AMD Ryzen™ 3000 系列处理器的性能参数表：

名称	核心数/线程数	功耗 (Watts)	基频/超频 (GHz)	三级缓存 (MB)	PCIe 4.0 通道数
Ryzen 9 3950X	16 / 32	105	3.5 / 4.7	64	24
Ryzen 9 3900X	12 / 24	105	3.8 / 4.6	64	24
Ryzen 7 3800X	8 / 16	105	3.9 / 4.5	32	24
Ryzen 7 3700X	8 / 16	65	3.6 / 4.4	32	24
Ryzen 5 3600X	6 / 12	95	3.8 / 4.4	32	24
Ryzen 5 3600	6 / 12	65	3.6 / 4.2	32	24

表 1

EOF

VM Beetle Hits End Of Production Line

In July 10, 2019, the last Volkswagen Beetle rolls off the production line at Volkswagen’s plant in Puebla, Mexico. This means that the 81-year history of Beetle has officially come to an end.

The last final edition versions of the VM Beetle is headed for a museum after the Beetle end of production ceremony in Puebla, Mexico.

I found some pictures of Beetle on Wikipedia, and you can see them below.

Volkswagen Type 1 Beetle:

Volkswagen New Beetle:

图 2. 由 Vauxford – 自己的作品，CC BY-SA 4.0，https://commons.wikimedia.org/w/index.php?curid=73571642

Volkswagen Type 1 1302:

图 3. By Lothar Spurzem – Own work, CC BY-SA 2.0 de, https://commons.wikimedia.org/w/index.php?curid=40210670

1960 VW 1200 Cabriolet:

图 4. By Ralf Roletschek (talk) – Fahrradtechnik auf fahrradmonteur.de – Wissensmanagement mit Wikis – Own work, FAL, https://commons.wikimedia.org/w/index.php?curid=18264968

1956 Volkswagen Beetle:

图 5. By Stahlkocher – Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=1907942

1973 1303/Super Beetle:

图 6. By IFCAR – Own work, Public Domain, https://commons.wikimedia.org/w/index.php?curid=5747446

1969 Brazilian 1300 Sedan (Fusca):

图 7. By JasonVogel – Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=18391482

EOF

Microsoft’s New Account Activity Policy: Your Microsoft Account Will Be Deleted If Remains Unused For More Than Two Years

On July 01, 2019, Microsoft updated its support page, in which the company said if your account have been remained unused for more than two years, your Microsoft account will be deleted without issuing any warning. The new account policy will be effective from August 30, 2019.

However, there are a few exceptions to this new policy for Microsoft account, you can read these exceptions below:

★Purchases. If you have used your Microsoft account to purchase, or to redeem or access a purchase of, a current Microsoft product or service, your Microsoft account will remain active and Microsoft will not close your account due to inactivity. Note, this does not apply to gift cards, certifications or subscription-based purchases or services.
★Subscriptions. Your Microsoft account will continue to remain active for so long as you have an active Microsoft subscription associated with your Microsoft account. Following the expiration or termination of the subscription, you must sign in to your Microsoft account at least once in a two-year period to keep your account active.
★Publishing to the Microsoft Store. If you have used your Microsoft account to publish applications or games (including game DLCs) to the Microsoft Store or to register for a Microsoft Partner Center account, your Microsoft account will remain active and Microsoft will not close your account due to inactivity.
★Certifications. If you earn a certification from Microsoft using your Microsoft account, your Microsoft account will remain active and Microsoft will not close your account due to inactivity.
★Account Balance. Your Microsoft account will continue to remain active for so long as you have an unspent balance in your Microsoft account (e.g. from a Microsoft gift card or a credit from Microsoft). If you live in a jurisdiction where gift cards are considered “unclaimed property,” Microsoft will, pursuant to local law, escheat the unspent balance associated with your Microsoft gift card.
★Accounts Payable. Your Microsoft account will continue to remain active for so long as there is an amount owed to you by Microsoft associated with your Microsoft account (e.g. amounts due to you from Microsoft Payment Central).
★Family Accounts. If you have an inactive Microsoft account that has granted consent for an active Microsoft account belonging to a minor, Microsoft will not close your Microsoft account due to your inactivity. Your inactive Microsoft account will be kept open by Microsoft until the minor’s account (i) is deemed inactive and closed by Microsoft, (ii) is closed by you, or (iii) transitions into a standard Microsoft account when the minor reaches the requisite age of majority in their region.
★Legal Requirements or as otherwise provided by Microsoft. Notwithstanding the foregoing, Microsoft reserves the right to maintain your account status as active, or not to close an inactive account, as required by applicable law or regulation, or as otherwise provided by Microsoft to you.
Source: https://support.microsoft.com/en-in/help/4511051/microsoft-account-activity-policy

CentOS 8 或将于近期发布

2019 年 09 月 19 日更新：官方消息：CentOS 8 计划于 09 月 24 日发布

2019 年 09 月 15 日更新：CentOS 8 的发布时间被推迟

2019 年 08 月 15 日更新： CentOS 8 的开发工作基本全部完成，只待择日发布！

2019 年 08 月 09 日更新：CentOS 8 构建工作已经接近尾声，最近几日或将发布

根据 CentOS Wiki 中关于 CentOS 8 的当前进度时间表，CentOS 8 的大部分工作已经完成或即将完成构建工作，据此我们可以推测，CentOS 8 或将于未来一到两个月之内正式公开发行。

截至世界标准时间 (‎‎UTC) 2019 年 07 月 07 日下午 2 时， CentOS Wiki 网站上公布的 CentOS 8 的进度如表 1 所示：

Item	Started	Ended	Status
Sources pushed to CentOS Git	2019-05-07	2019-05-08	DONE
Source code evaluation	2019-05-07	YYYY-MM-DD	DONE
New Build System Setup	2019-05-07	2019-05-08	DONE
Debranding patches added	2019-05-07	YYYY-MM-DD	Ongoing
Artwork Requested	2019-03-07	2019-05-07	DONE
Artwork Selections	2019-05-09	YYYY-MM-DD	Ongoing
Build Loop 0	2019-05-07	2019 mid June	DONE
Build Loop 1	2019 mid June	YYYY-MM-DD	DONE
Build Loop N	2019-06-20	2019-06-28	DONE
Installer work	2019-06-16	YYYY-MM-DD	Ongoing
QA work	2019-06-28	YYYY-MM-DD	Ongoing
RC work	YYYY-MM-DD	YYYY-MM-DD	Not started
Release work	YYYY-MM-DD	YYYY-MM-DD	Not started

表 1. 数据来源：https://wiki.centos.org/About/Building_8

Red Hat Enterprise Linux 8 已经于 2019 年 05 月 07 日正式发行，CentOS 8 的发行也已经指日可待。CentOS 8 是基于新版的 Fedora 构建的，引入了很多新特性，做了很多改变，这也意味着，从 Installer, Packages, Packaging, 到 Build Systems 等组成部件都需要做出大的改造才能和新的系统很好地配合工作。

接下来就让我们拭目以待，看看 CentOS 8 能带给我们哪些新体验吧 🙂

新版微软飞行模拟器发布：如同艺术作品

微软在当地时间 2019 年 06 月 11 日到 2019 年 06 月 13 日于洛杉矶会议中心 (Los Angeles Convention Center) 举办的微软 E3 大会上发布了新版 Microsoft Flight Simulator.

根据宣传画面，新版 Microsoft Flight Simulator 制作十分精美，画面细腻逼真，每一帧都如同一件艺术作品。

以下是来自 Microsoft Flight Simulator 官网的一些游戏画面。

Image From: Microsoft Flight Simulator, https://fsi.microsoftstudios.com/media/

第四代树莓派开始发售

Raspberry Pi 近日在其官网发文表示，第四代树莓派已经开始公开发售，起价 35 美元。

Raspberry Pi 4 几乎对每个组件都进行了升级，使得这个平台具备了如同个人电脑一样的性能。与此同时，第四代树莓派还保留了传统树莓派丰富的接口和可编程性。

Raspberry Pi 4 Model B 配置如下：

四核心 1.5GHz 的 64 位 ARM Cortex-A72 CPU（据说有 3 倍性能提升）；
1GB, 2GB, 或 4GB 的 LPDDR4 SD 闪存(SDRAM);
全速千兆以太网接口；
双波段 802.11ac 无线网卡；
蓝牙 5.0;
两个 USB 3.0 接口和两个 USB 2.0 接口；
支持双显示器，分辨率最高可达 4K;
搭载 VideoCore VI graphics, 支持 OpenGL ES 3.x;
使用 4Kp60 对 HEVC 视频进行硬件解码；
完全兼容 Raspberry Pi 早期产品。

Raspberry Pi 4 提供三种内存大小可选，分别是 1GB, 2GB 和 4GB, 根据不同的内存大小，Raspberry Pi 4 的售价分别为 35 美元，45 美元和 55 美元（这些价格都不包含税费和运费）。

图 1. Raspberry Pi 4, picture from https://www.raspberrypi.org/blog/raspberry-pi-4-on-sale-now-from-35/

声明：

本文消息来源：Raspberry Pi 4 on sale now from $35 – Raspberry Pi

如果本文表述或含义与本文消息来源中的表述或含义不一致，请以本文消息来源中的表述或含义为准，本文仅供参考。

无人机被击落后，美国向伊朗发动网络战

根据网络来源的消息，美国政府官员 06 月 22 日表示，美国网络战部队发动了针对伊朗军用计算机的网络攻击，这些计算机被用来控制伊朗的火箭和导弹发射。美国总统 Donald Trump 说，他已经授权了网络安全部队，命令他们对伊朗展开报复性的网络攻击以回应伊朗击落美国的无人侦察机。

伊朗外交部长 Javad Zarif 于 2019 年 06 月 20 日在 Twitter 发文表示，伊朗击落了一架以隐身模式从阿联酋起飞并进入了伊朗领空的美国无人机，之后还找到了该机的残骸：

RQ-4 全球鹰无人机：

图 2. By U.S. Air Force photo by Bobbi Zapka – http://www.af.mil/shared/media/photodb/photos/070301-F-9126Z-229.jpg, Public Domain, https://commons.wikimedia.org/w/index.php?curid=6711631

Facebook 与其合作者发布全球化加密货币 Libra

根据网络消息，美国当地时间 2019 年 06 月 18 日，由 Facebook 公司参与创建的全球加密货币 Libra 公开发布。与此同时，Facebook 还宣布成立 Libra 协会，该协会是一个独立的组织，其主要职责就是管理货币和标准。该协会将和监管机构一起，维护 Libra 的健康发展。Libra 协会的总部设在瑞士日内瓦。

在上个月刚刚召开的 F8 开发者大会上，Facebook 创始人兼 CEO, Mark Zuckerberg 曾说他希望让转账像发送一张照片一样简单：数字化，迅捷，免费和安全。而在去年（2018 年）的时候，Facebook 曾释放过要加入加密货币浪潮中的意愿。

加密货币 Libra 的目的是“让数十亿人用上货币。到目前为止，全球还有 17 亿成年人没有自己的银行账户，Libra 将使人们以更低的成本，更便捷地开展在线交易，这也可能吸引更多的用户使用社交网络。

Libra 并不是专属于 Facebook 的加密货币，Facebook 只是 Libra 协会的成员之一，这个协会目前还包括 MasterCard, Visa, PayPal, Uber, eBay, Vodafone 和 Mercy Corps 等在内的共计 28 个创始成员。在 2020 年 Libra 正式运行的时候，Facebook 希望 Libra 协会最终能拥有 100 个成员。

关于 Libra 的使用方法，也已经有了明确的规划。未来，在 Facebook 和 Instagram 这两个应用程序上将会有一个按钮，使人们可以像发送一个 GIFs 或者表情一样使用 Libra. 此外，用户也可以在一款独立的应用程序中使用 Libra.

那么，Libra 和现在正在全球范围内使用的，例如比特币这样的加密货币有什么区别呢？Libra 也是基于区块链的数字货币，这一点和其他货币并没有区别。但是和其他加密货币不同的是，Libra 将采用现实世界中的资产（例如中央银行发行的现金或者国债）来赋予其价值。此外，在初期，Libra 的区块链网络将由创始成员维护，但是在未来，Libra 的网络将演变为一个完全开放的系统。

更多关于 Libra 的信息可以参阅《Libra 中文版白皮书》

本文部分内容参考了下列文章：

QQ 邮箱漂流瓶功能将于 2019 年 06 月 24 日起停止服务

QQ 邮箱团队于 2019 年 04 月 23 日在 QQ 邮箱的漂流瓶页面以弹窗形式发布公告表示“因业务调整，‘QQ邮箱漂流瓶’功能将于2019年6月24日起终止服务”。

公告截图如下：

QQ 邮箱漂流瓶功能将于 2019 年 06 月 24 日起停止服务 — 图 1. 截图来自 mail.qq.com

据悉，QQ 邮箱漂流瓶功能于 2010 年 09 月 28 日正式上线。由于有部分用户使用漂流瓶功能（微信和 QQ 邮箱此前均有漂流瓶功能）发布违禁内容，微信和 QQ 邮箱于 2018 年 11 月 30 日暂时下线了漂流瓶功能。此次 QQ 邮箱漂流瓶功能停止服务可能也是因为利用漂流瓶传播的内容不太容易管理。

百度旅游发布公告称将于 2019 年 06 月 30 日全面停止服务

百度旅游近日在其官网 (lvyou.baidu.com) 发布公告称，由于业务调整，百度旅游将在 2019 年 06 月 30 日全面停止服务，用户可以在 2019 年 12 月 31 日之前导出自己的数据到同一个账号下的百度网盘中。

公告全文如下：

世界很大，愿您遇见更美好的风景
致所有百度旅游的用户们：
感谢大家长久以来的支持，很遗憾的通知您，由于业务调整，百度旅游将在2019年6月30日全面停止服务，即日起，请不要再尝试上传各种内容，以防造成无法挽回的数据丢失。
停运具体事项安排如下：
百度旅游将在2019年6月30日全面停止服务，届时除了此公告页以外，您将无法访问其他页面，也将无法使用其他任何功能。
即日起至2019年12月31日期间，您可点击下方授权按钮，申请导出您的游记及画册数据，此数据将于24小时内迁移至PC版百度网盘-更多-文章目录下，您可使用相同百度账号在网盘访问您的资料。
若在过程中遇到任何问题或需要以邮件形式导出，可发送邮件至ilvyou-help@baidu.com，我们将在10个工作日内给您答复。
对因此次调整给您带来的不便，我们深表歉意。愿您在将来的日子里，遇见更好的风景。
请务必在2019年12月31日之前对需要保存的游记和相册进行导出以防丢失。
lvyou.baidu.com 公告

Elon Musk: Just deleted my Twitter account

June 16, 2019, Elon Musk sent a tweet:

Just deleted my Twitter account
Twitter @elonmusk

Screenshot is shown in figure A:

In addition, he replaced his account profile picture with a black picture. Since he posted that tweet (say he will delete his Twitter account), he hasn’t updated anything, including replying to messages.

Maybe it’s true, maybe it’s just a joke. Who knows?

12:05, June 18, 2019, UTC update:

Musk updated his profile picture:

McAfeeMagic.com Under Denial of Service Attack (June 12, 2019)

安全公司 McAfee 创始人 John McAfee 于 2019 年 06 月 12 日在 Twitter 上发推表示，McAfeeMagic.com 使用的亚马逊 AWS 服务器遭遇了 “cloaked hoic DOS” 攻击，并且自己发自内心地感谢黑客的免费宣传：

John McAfee 说，亚马逊的 AWS 正在学习攻击流量的行为，攻击流量越大，网站恢复得越快：

2019 年 06 月 12 日下午 4 点 18 分，John McAfee 在 Twitter 上宣布 McAfeeMagic.com 已经恢复访问，截至本文发出时，McAfeeMagic.com 仍可以正常访问：

freeCodeCamp将文章从Medium迁移到独立网站freeCodeCamp News

freeCodeCamp 是一个帮助人们免费学习代码的平台，用户可以在该平台上免费观看视频，阅读文章，参与互动课程，这些都是免费且公开的。而且，freeCodeCamp 上还有遍布全世界的学习群组可以加入。

freeCodeCamp 没有广告，也没有付费模式，主要收入应该是来自用户捐赠。

freeCodeCamp 从 2015 年开始在 Medium 上面发布文章，并且至今已累计发布约 5000 篇文章。但是随着 Medium 转移到付费模式并且开始重点推荐付费文章，这使得 freeCodeCamp 在 Medium 上的免费文章的流量来源不再主要是 Medium 自身，而是 Google 和社交媒体。

由于 freeCodeCamp 不想把文章设置为付费文章，因此 freeCodeCamp 决定搭建自己的网站，并为此发布了一篇说明文章：

We just moved off of Medium and onto freeCodeCamp News. Here’s how you can use it

根据介绍，freeCodeCamp 应该是使用 Ghost 搭建的新平台 (open source Ghost blogging platform), 在过去的一年里，freeCodeCamp 也把文章都迁移到了新平台。

freeCodeCamp 的网站应该还在不断完善中，目前打开”https://www.freecodecamp.rocks/“显示的是下面这个界面：