硬核观察 #1123 无人察觉：窃取密码的 Linux 木马已偷偷下载 3 年

无人察觉：窃取密码的 Linux 木马已偷偷下载 3 年

安全研究人员报告，一个下载网站间隔性地向 Linux 用户提供恶意软件，盗取密码和其他敏感信息长达三年多，直到最后销声匿迹。该网站提供了一个名为 “免费下载管理器“ 的 Linux 软件。从 2020 年开始，该网站有时会将用户重定向到另外一个恶意域名，提供该应用的恶意版本，它会在目标设备上安装后门。该后门会窃取包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及云服务凭证等信息。这个恶意重定向于 2022 年结束，原因不明。

消息来源：Ars Technica🔗 arstechnica.com

老王点评：与 Windows 相比，Linux 恶意软件很少被发现，这往往让人们更加掉以轻心，现在检查一下你的 Linux 桌面，或许为时不晚。

谷歌称它的搜索引擎是最好的

在周二开庭的谷歌反垄断诉讼案上，司法部和来自美国各州和地区的 52 位总检察长指控谷歌支付数十亿美元，以换取被设置为手机和网络浏览器的默认搜索引擎，从而非法维持其垄断地位。法官称，谷歌至少在 2010 年就已成为垄断企业，如今控制着超过 89% 的在线搜索市场。谷歌的律师表示，人们选择谷歌作为浏览器和智能手机的默认搜索引擎“是因为谷歌为他们带来了价值，而不是因为他们不得不使用谷歌”。并举例，微软在 Windows 上的默认搜索引擎是必应，但用户切换到谷歌是因为它是搜索市场上更好的产品。而且，谷歌的律师表示，Safari 和 Firefox 通过默认搜索引擎交易换取收入分成，帮助了它们的创新。

消息来源：彭博社🔗 www.bloomberg.com

老王点评：谷歌是不是最好的，和它是不是非法维持垄断没有关系。让我们看看这起新时代的 IT 巨头垄断案将如何走向。

OpenSSL 1.1.1 已经走到了生命的尽头

OpenSSL 1.1.1 最初于 2018 年作为开源安全通信库的长期支持版本发布。当时，其背后的团队宣称，该版本将至少支持五年，也就是到今年。要想继续获得 OpenSSL 的支持，就必须升级到 OpenSSL 3.0 LTS 或最新的 3.1 版本。但迁移到更高版本的 OpenSSL 会带来风险和危险，一些依赖 OpenSSL 的服务可能会对更新反应迟钝，尤其是那些硬编码 OpenSSL 服务的物联网组件。实际上，企业宁可花钱让 OpenSSL 维护者和作者继续使用发霉的旧代码，比如，可以购买一份针对企业的价值 5 万美元的年度支持合同。

消息来源：The Register🔗 www.theregister.com

老王点评：作为一个安全基础组件，这么干净利索的停止服务支持，总是有些不负责任。

昨日观察

关注 Linux 中国，每日硬核点评