近日一款名为“旅行青蛙”的游戏，在朋友圈中走红。这款游戏由日本一家游戏公司开发，目前在苹果iOS用户中，仅推出日文版本。截至1月23日，“旅行青蛙”已经成为苹果App商店免费下载排行榜的第一名。

这款游戏的操作简单，使用相应数目的三叶草换购食物、笔记本、睡袋、碗、灯笼等物品，并给自己的青蛙准备出门时包袱里的装备就可以。相应地，青蛙会在旅行过程中给玩家“寄来”明信片，回家后还会给玩家带回旅行地的土特产。

▲ 游戏界面截图

这款游戏中，通用的“货币”是三叶草，也是唯一可以充值购买的物品。正因为耗时长、节奏慢的特性，这款游戏一出现便备受追捧，被称为“佛系养蛙”游戏。

在一些攻略中，有玩家透露，三叶草数量越多，买到的道具越高级。在此期间，一些网售商家看到商机，趁机推出“外挂”服务，自称能让玩家获得数量丰厚的三叶草.

苹果客服称“外挂”或泄露个人ID

一名独立游戏开发者表示，“旅行青蛙”的“外挂”其实很简单，就是修改游戏数据。商家只需先充值购买到游戏中的“三叶草上限”，获取相应数据，即可将相应数据通过程序复制给买家。

苹果客服人员表示，除了造成手机数据、资料丢失等，这类修改游戏金币（三叶草）的操作，对用户来说存在一定安全风险，“有时候可能会泄露用户的个人隐私，或是操作中，被安装一些木马软件，使设备在后续的使用中出现障碍”。

客服人员举例指出，如果用户同意对方进行远程操作，可能存在被盗取苹果ID账号的风险，“商家很有可能借此将用户的手机锁起来，趁机勒索钱财”。他提醒称，尽量不要让不认识的人在用户的手机设备里安装或修改相应数据。

2.暴雪游戏爆严重漏洞，数百万电脑遭DNS攻击

外媒1月23日消息，谷歌黑客 Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞，导致数百万台电脑遭到 DNS Rebinding （DNS 重绑定）攻击，从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前，暴雪公司在其客户端版本5996中加入了部分缓解措施，并表示后续推出的补丁会采取更多稳定的主机白名单机制。

“ 魔兽世界 ”、“ 守望先锋 ”、“ 暗黑破坏神3 ”、“ 炉石传说 ” 和 “ 星际争霸 2 ” 等都是由暴雪娱乐公司制作的流行网络游戏。根据统计数据显示，暴雪公司每月的在线玩家数量达到 5 亿人次。

漏洞信息

若玩家要用浏览器在线玩暴雪游戏，需在自己电脑系统中安装一个名为 “ Blizzard Update Agent ”的客户端程序，然后该应用程序会在1120端口上通过 HTTP 协议运行 JSON-RPC 服务器，以便执行“ 命令安装、卸载、设置更改、更新和其他维护相关的选项 ” 等操作。

Ormandy 发现 Blizzard Update Agent 程序极易受到 DNS Rebinding 攻击。 因为 DNS Rebinding 允许任何网站充当外部服务器和本地主机之间的桥梁，这意味着任意网站都可以向 Blizzard Update Agent 程序发送特权命令。

Ormandy 最初于去年 12 月向暴雪公司报告了该漏洞，不过在几次沟通之后，暴雪公司停止了对 Ormandy 的邮件回应，并秘密地在客户端版本 5996 中加入了部分缓解措施。暴雪公司的解决方案似乎是查询客户端命令行，获取 exename 的 32 位 FNV-1a 哈希值，然后检查它是否在黑名单中。然而， Ormandy 建议暴雪公司将其主机名列入白名单。

在 Ormandy 披露了该漏洞之后，暴雪公司声称相关补丁正在研发部署之中，并承诺会采取更多稳定的主机白名单机制来修复该漏洞。

3.希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM（中间人）攻击威胁

外媒 1 月 23 日消息，安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但不幸的是，仍有一些问题尚未解决。

安全专家 Sood 介绍，GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务，允许用户远程管理设备及其内容，并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器，要求用户在路由器上启用端口转发，以便连接到 web 服务。

跨站脚本（XSS）和中间人（MitM）攻击

安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3， 而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击（包括 DROWN 和 POODLE 攻击）。

此外，Sood 还在 seagateshare.com 网站上发现了一个 XSS，攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码，欺骗受害者点击特制链接。

目前希捷只修复了 XSS 漏洞，似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。

4.英国当局高度依赖 Windows 7， 迁移到 10 需要很长时间

Windows 7 微软官方支持将于 2020 年 1 月 14 日到期，系统必须升级到更新的版本才能继续获得更新和安全补丁。就英国当局而言，17% 的管理者甚至没有计划迁移到 Windows 10。这些数字是 Cloudhouse 根据信息自由法（ FOIA ）从英国总共 317 个当地议会统计而成。

根据统计数据，只有 1% 的议会实际完成了对 Windows 10 的升级，在回复请求的管理者中有 40% 表示无法将旧版本的应用迁移到新版本的 Windows，这是他们推迟升级的主要原因。

应用程序兼容性问题是当年 Windows XP 迁移到 Windows 7 的公司必须面对的最大缺陷之一，因为当转换到更新的操作系统时，管理者不仅仅需要安装另一个 Windows 版本。另外，作为 Windows XP 到 Windows 7 / 8.1 转换的一部分，硬件升级也是必需的，但是在从 Windows 7 升级到 Windows 10 时，情况并非如此。

但是，更新硬件可以从 Windows 10 功能中受益，包括可以保护数据的安全措施等等。不少于 35% 的市议会表示，迁移到一个较新的 Windows 版本通常需要两年左右，这意味着他们应该尽快开始过渡到 Windows 10，以便在 Windows 7 支持结束时完成迁移。另一方面，40% 的受访者表示他们预计级将在一年内完成迁移。

Windows 7 是目前世界上排名第一的桌面操作系统，市场份额超过 40%，其次是 Windows 10，占 32%。

成都群晖NAS体验中心