【每日安全资讯】GoDaddy、苹果和Google错误签发了一百多万个63位序列号证书

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书，在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书，

工程师发现 64 位中必须有一个定值才能确保序列号是正整数，这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。

63位 和 64 位虽然只相差一位，但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的，实际上几乎不可能被恶意利用。但这不符合行业规定的要求。

Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书，不过到目前只有 7000 个证书还有效。

*来源：solidot.org

更多资讯

◈ 苹果AirPods遭破解：iOS配对动画以假乱真
从外观上，仔细观察耳机底部的充电触点处还是能发现比较明显的区别的，而且弹窗上也没有显示耳机用户的名称。不过既然最难的弹窗动画都解决了，继续搞定剩下的问题也是指日可待。

来源：我爱音频网
详情：http://t.cn/EMjl8zU

◈ Google Chrome 73稳定版发布：支持Dark模式 修复60处安全漏洞
包括GNU/Linux、Windows和macOS在内，谷歌面向所有支持平台发布了稳定版Chrome 73，并且已经向所有用户发送OTA更新。Chrome 73（v73.0.3683.75）引入了诸多新功能和改进，并修复了大量BUG提升了安全性能，从而让用户在安全的环境中更加愉快的上网冲浪。

来源：cnBeta.COM
详情：http://t.cn/EMjlr1S

◈ 警方破获大型流媒体账号盗卖案 澳大利亚一21岁男子被逮捕
尽管多人分享流媒体订阅服务账号的现象很是常见，但一些头脑过于灵光的人，却打起了这方面的歪脑筋。近日有外媒报道称，因涉嫌在网上销售大量偷盗得来的账户登陆材料，澳大利亚警方在本周二逮捕了一名 21 岁的男子，据说案值高达 30 万澳元（21.1 万美元）。涉案账号多达 100 万，涵盖 Netflix、Spotify、Hulu 等知名流媒体服务提供商。

来源：cnBeta.COM
详情：http://t.cn/EMjlDIq

◈ 征信App乱象难禁 存泄露个人隐私风险
第三方个人征信在生活场景中的普及应用，也催热了个人征信查询业务。但北京商报记者注意到，在央行明确无授权的情况下，仍有不少App明确标注直连官方征信中心。另有部分App在输入银行卡账号和密码时才能获得查询权限。分析人士认为，这类App很有可能收集个人信息后交易给非法机构，衍生出新的“买卖”，导致信息泄露

来源：新浪财经
详情：http://t.cn/EMjlsnZ

（信息来源于网络，安华金和搜集整理）