漏洞不是在应用程序中，而是在应用程序使用的底层框架 Electron 中。

作者/来源： 安华金和

因其跨平台能力，Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用，甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患，容易修改植入后门。

安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA，允许解压 Electron ASAR 存档文件，并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

漏洞不是在应用程序中，而是在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应。

来源：http://solidot.org

更多资讯

网传 Steam 有安全漏洞 玩家电脑可能会被当成矿机

根据 reddit 网友的爆料，安全研究员 Vasily Kravets 近日发现了 Steam 的重大安全漏洞。据悉，一些不法分子甚至可以利用该漏洞将玩家的 PC 变成矿机。消息一出，立即引发了很多网友的关注。

来源：3DMGame
详情链接： https://www.dbsec.cn/blog/article/4882.html

你与 Siri 的对话可能从来都不是秘密

在大众印象中，苹果在保护用户隐私方面享有良好声誉，但有时它对用户数据的实际控制是薄弱的、不透明的或不存在的。具有讽刺意味的是，在用户数据方面，苹果有一套更好的默认技术和策略。但 Siri 的录音被保存在苹果服务器上是一个显著的问题，随着苹果越来越多的业务转向服务，它需要更好地处理这个问题。

来源：威锋网
详情链接：https://www.dbsec.cn/blog/article/4883.html

苹果将向漏洞研究者提供百万美元奖金：创企业界纪录

北京时间8月9日早间消息，据路透社报道，苹果将向网络安全研究人员提供高达100万美元的资金，以鼓励他们寻找iPhone手机的缺陷，这也成为一家企业为防范黑客而提供的高奖励。

来源：新浪科技
详情链接：https://www.dbsec.cn/blog/article/4884.html

App 收集个人信息将有“国标”：用户不同意就不得对外共享

App 提供服务需要调取用户哪些信息？现在有规范可依了。8 月 8 日，信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》征求意见工作的通知。

来源：澎湃新闻
详情链接：https://www.dbsec.cn/blog/article/4885.html

（信息来源于网络，安华金和搜集整理）