分类: 今日推送

加州新法允许互联网用户删个性数据 影响有多大

12月21日消息,据《财富》网站报道,到2020年,许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律,将要求企业告诉消费者它们收集了消费者哪些数据,而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏,因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据,这些广告的效果就会下滑。 例如,由于在线广告不再像以前那样个性化,沃尔玛可能会错过一些销售机会。与此同时,谷歌面临着失去一大部分收入的风险,因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿,其影响可能是巨大的。但只有在明年1月1日新法律生效后,人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》(GDPR)类似法律,但利用该法律维权的人数并不很多,因此加州这部法律究竟会带来怎样影响,目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示:“这对数千、数十万还是数百万的人来说是件大事?我们还不知道。” 然而,对于受到这部隐私保护法律影响的企业来说,遵守规则的负担是非常现实的。例如,这部法律要求,企业要求消费者提供数据或消费者要求删除自己的数据,企业要给消费者提供两种方式,如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称,加州的企业将不得不额外支出550亿美元的前期成本,包括法律咨询和更改系统等,就单个企业而言,其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律,但美国大多数大公司都在加州做生意,因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声,一些大公司,如微软,以及一些小公司,包括波士顿的互联网服务提供商Starry,已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称,到目前为止,只有少数客户要求删除他们的数据,还有几十人写信给公司,感谢给了他们这样做的选择。 其他人,如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称,这部法律将使成千上万的小型企业陷入困境,比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是,那些拥有至少5万用户数据的公司——例如,收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示:“大企业有能力解决这个问题,但对于小企业来说,这是一个极端沉重的负担,而小企业是美国经济的支柱。” 因此,克里斯·梅预测,美国许多中小企业可能不会遵守这部法律,因为他们认为自己不会受到惩罚,或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期,加州司法部将于7月1日开始执行这项法律。克里斯·梅表示,小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示:“我们被赋予了执行这部法律的责任,所以我们要做的就是尽我们所能与消费者和企业合作,确保他们遵守这部法律。” 然而,这可能不是最后的结论,因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了,但戴恩表示,美国商会的这次推动不同于以往,因为该组织希望保留加州法律的广泛原则,尤其是要求和删除大部分个人数据的权利,同时更多地保护中小企业。 在美国国会,民主党和共和党罕见地就通过这样一部法律达成了一致,尽管两党对哪个部门应该执行这项法律,以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法,但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为,美国对隐私的态度已经发生了巨大变化,可能会在2020年总统大选之前通过一项法律。 克里说:“随着越来越多的国会议员将更多时间花在网络上,并担心数据隐私对他们的后代带来影响,情况已发生变化。”   (稿源:网易科技,封面源自网络。)

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

以为“订单询价”是财神到了,结果却是一个陷阱……

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱,在附件中提供精心构造的利用Office漏洞(CVE-2017-8570)攻击的文档,存在漏洞的电脑上打开文档,会立刻触发漏洞下载NetWire RAT木马,中毒电脑即被远程控制,最终导致商业机密被盗。 NetWire是一种活跃多年的,公开的远程访问木马(RAT),该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译,并且通过添加大量无关指令隐藏恶意代码。为了对抗分析,NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后,会添加自身到系统启动项,搜集系统信息上传至服务器,然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞(CVE-2017-8570)影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开),其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码,该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击,微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后,会自动释放文档中被插入的Package对象到%temp%目录,Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行,Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png,保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种,该木马至少从2012年开始就被犯罪分子和APT组织使用,是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的,并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中,然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中,使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date,在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时,使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动,这使得父进程充当子进程的调试器,导致其他调试器无法附加到子进程,从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据,在线程上下文中修改OEP值,提取NetWire的真实恶意代码并覆盖子进程中的现有代码,接着在子进程中执行该代码。 NetWire创建了一个日志文件夹,用于存储从受害者系统收集的信息的日志文件,日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容,记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信,搜集计算机基本信息,包括当前登录的用户名,计算机名称,Windows版本信息,当前活动的应用程序标题,计算机的当前时间,计算机的IP地址等信息发送至控制服务器,然后等待服务器返回的指令,进行以下操作: 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件,或执行现有的本地文件。 3、执行以下操作:退出NetWire进程,关闭C&C服务器的套接字,从系统注册表中的Home键读取值,重置或删除指定的注册表键,删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息,获取指定文件夹中的文件信息,通过指定的文件类型获取文件信息,创建指定的目录和文件,将内容写入指定的文件,删除、重定位特定文件,以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件:360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外,还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件(%AppData%\Updater)包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备,可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570,参考微软官方公告: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 3、建议升级Office系列软件到最新版本,对陌生文件中的宏代码坚决不启用;版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接: https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

新奥尔良市政厅遭遇网络攻击 政府宣布关闭网站

据外媒报道,当地时间周五,美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉,该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象,但大量涌入的电子邮件意味着该市的系统暂时关闭。 到下午晚些时候,该市还没有发现任何密码被破解或数据在攻击中丢失的迹象,不过大量涌入的可疑电子邮件意味着该市的系统将要暂时处于离线状态。 目前还不清楚该城市系统将要离线多长时间。路易斯安那州警方、国民警卫队、FBI 和特勤局的专家都加入了调查工作中。与此同时,官员们表示,重要的公共安全服务仍会继续运行,市政厅办公室将依靠纸笔继续开展业务。 对于此次攻击的确切性质和范围还不清楚,但似乎是在当地时间12月14日上午5点左右开始。当时,市政府官员首次注意到他们的网络上存在可疑活动。8点左右,员工上班时接到可疑活动的报告。随后,官员们决定上午11点以后关闭政府系统。   (稿源:cnBeta,封面源自网络。)

黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人

据外媒报道,有人黑进了美国密西西比一户人家的环形安全摄像头,并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体,她在自己女儿房间里安装了摄像头,这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道,我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后,当时她正在出差,她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到,Alyssa非常紧张地站在自己的房间里,黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里,”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗?”黑客说道。 之后,这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此,这款摄像头厂商Ring在提供给媒体的声明中指出,黑客并不是通过数据泄露或破坏Ring的安全获取信息的,相反,这个人可能利用了这户人家账户的安全性。 根据声明,Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施,我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户(而不是共享登录凭证)、使用高安全性密码并定期更换密码。” Ashley表示,她还没有在她的设备上设置双重认证。   (稿源:cnBeta,封面源自网络。)

微软宣布在卡塔尔开设新的云数据中心区域

在今天发布的新闻稿中,微软宣布即将在卡塔尔开设新的云数据中心区域。伴随着本次扩展,微软在全球20个国家和地区的云区域规模数量已经达到55个。卡塔尔的新云数据中心区域预估将于2021年投入使用,首先从Azure开始,Office 365, Dynamics 365和Power Platform将会后续开放。 这个新数据中心区域的成立,能够让卡塔尔的公共和私营企业访问更可靠、更具弹性的云服务。卡塔尔运输和通信部长Jassim Saif Ahmed Al-Sulaiti表示:“与微软的合作是加速卡塔尔政府数字化转型的重要一环,是推动《卡塔尔国家愿景2030》发展计划的重要动力。” 微软当时表示,此次扩张的部分原因是该地区客户不断扩大的IT需求,如括阿联酋航空公司(UAE Airlines)。此外,它还响应了一些客户的“数据存储”需求,这些客户由于隐私和数据保护问题而不能在国外托管敏感服务。这些数据中心将支持微软Azure用户、Office 365、Dynamic 365和其他一些服务。微软当时还称,这两座数据中心将为海湾合作委员会国家和其他一些国际市场服务。 分析人士称,微软这些举措是受到了亚马逊AWS云服务的刺激。AWS之前宣布了在巴林建立数据中心的计划,预计今年初推出并提供在线服务。 谷相比之下,歌目前尚未在云计算服务市场相对较小的中东地区建立数据中心,但预计未来几年该地区云计算业务将以27%的速度增长。   (稿源:cnBeta,封面源自网络。)

微软再次向 Windows 10 用户提供了错误的更新

十月份我们曾报道过,微软向所有Windows 10用户发布了一个Autopilot设备更新补丁,随后在公司意识到自己的错误后撤消了更新。而今天,微软再次重复了同样的错误,他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 – Windows 用户在论坛上报告说,此更新已发布到 Windows 10的消费者版本。当用户检查更新时,会立即显示此更新,并且即使成功安装后也会反复提供。 微软已经确认该错误,并且发布撤消了该更新的消息: 此更新可通过Windows Update获得。但是,我们删除了它,因为它的提供方式不正确。当组织为Windows Autopilot部署注册或配置设备时,设备安装程序会自动将Windows Autopilot更新到最新版本。而对正常Windows 10设备提供的Windows Autopilot更新实际上是无效的。如果系统为您提供了此更新并且当前设备并没有部署Autopilot的前提下,则安装此更新不会有影响,换句话说,Windows Autopilot更新不应提供给Windows 10 的消费者版本。 尽管微软表示此更新不会对用户PC产生负面影响,但是您依然可以选择卸载该补丁。 (稿源:cnBeta,封面源自网络。)

TrueDialog 的数据库泄露数千万条 SMS 短信

TrueDialog是一家为企业和高等教育机构提供业务的SMS提供商,其数据库被曝出泄露了数百万条SMS消息。 数据库中包含的大多数SMS信息是由企业发送给潜在客户的。 TrueDialog 专注于提供几种不同的SMS程序,包括群发短信, 营销短信,紧急警报,教育方案等。 该公司目前与990多家手机运营商合作,拥有超过50亿用户。 vpnMentor表示:“除了私人短信,我们的团队还发现了数以百万计的帐户的用户名、密码、个人验证信息以及客户数据。” “由于没有保护好数据库,TrueDialog损害了美国数百万人的安全和隐私。” 该公司的数据库不受保护,数据以纯文本格式存储,由Microsoft Azure托管,并在Oracle Marketing Cloud上运行。 研究人员称此数据库包含10亿个条目,来自1亿多美国公民,并且根据他们此前的分析,这些数据将近有604 GB。 vpnMentor试图向TrueDialog 报告他们的发现,但他们从未收到回复。该数据库于11月19日被发现,专家于11月28日向TrueDialog提交了报告,并于随后对数据库展开维护。 “此次数据泄露事件将会影响到亿万用户。这些信息可能会被出售给营销商和垃圾邮件推送。” vpnMentor 称,“TrueDialod 竞争对手可以看到其后端工作原理,并且使得他们复制TrueDialog成功的业务模型或由此改进自己的业务模式。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

iOS 13 最初版本漏洞百出,于是iOS 14 测试流程变了

网易科技讯 11月23日消息,据国外媒体报道,据知情人士透露,在最新版的iPhone和iPad操作系统接连出现一大堆漏洞之后,苹果公司正在改革其软件测试方式。 在与公司软件开发人员举行的最近一次内部“启动”会议上,苹果软件主管克雷格·费德里吉(Craig Federighi)和斯泰西·利希克(Stacey Lysik)等副手们宣布了软件测试方面的变化。新方法要求苹果开发团队确保未来软件更新的测试版,也就是所谓的“每日构建(Daily build)”,在默认情况下禁用未完成或有缺陷的所有功能。然后,测试人员可以通过一个称为Flags的全新内部流程和设置菜单有选择地启用这些特性或功能,从而能够将每个单独添加特性会对系统产生何种影响相互隔离开来。 今年9月,当苹果公司的iOS 13操作系统与iPhone 11系列智能手机同时发布时,iPhone用户和应用程序开发者发现了一连串的软件故障:应用程序崩溃或启动缓慢;手机信号参差不齐;应用程序出现了用户界面错误,比如消息、系统搜索都出现问题,电子邮件也存在加载问题。而通过iCloud共享文件夹以及将音乐流媒体传输到多组AirPods上等新功能要么被推迟,要么仍未实现。毫不客气的说,这次操作系统升级是是苹果历史上最麻烦、最粗糙的。 “iOS 13在继续摧毁我的士气,”知名开发者马尔科·阿蒙德(Marco Arment)在Twitter上写道。“我也是,”购物清单应用AnyList联合创始人杰森·马尔(Jason Marr)说,“在iOS 13上,苹果的表现的确是对开发者和用户的不尊重。” 这些问题表明,iPhone已经变得有多复杂,而且用户很容易对一家以软硬件顺畅整合而著称的公司感到失望。对苹果公司来说,每年跟随最新款iPhone定时发布软件更新,是增加系统新功能、防止用户转向主要竞争对手Android的关键途径。更新后的操作系统还为开发者提供了更多的应用程序开发工具,从而为苹果的应用商店带来了更多收入。 苹果发言人特鲁迪·穆勒(Trudy Muller)拒绝置评。 新的开发过程将有助于提高早期内部iOS操作系统版本的可用性,或者用苹果的话说,(不同功能)更加“易于相处”。在iOS 14开发之前,有些团队每天都会添加一些还没有经过充分测试的功能,而其他团队则每周都会对现有功能进行修改。“每天的开发过程就像一整份食谱,但很多厨师都在添加配料,”一位了解开发过程的人士表示。 测试软件在开发不同阶段的变化是如此之多,以至于这些设备常常变得难以运行。由于这个原因,一些“测试人员会在一团糟的情况下将系统跑上几天,所以他们根本不会真正清楚哪些功能会对系统产生何种作用。”该人士说。在这种情况下,由于苹果工程师很难测试出操作系统对许多新添加功能的反应,从而导致iOS 13频频出现某些问题,因此也无法达到测试目标。 苹果公司内部测试是所谓的“白手套”测试,用1到100的等级来衡量和排名其软件整体质量。有问题的软件版本得分可能在60分左右,而更稳定的软件可能在80分以上。iOS 13的得分低于之前更完善的iOS 12操作系统。在开发过程中,苹果团队还为软件产品的功能特性分别设置了绿色、黄色和红色的代码,以显示这种功能特性在开发过程中的质量。相应的优先级从0到5,其中0是关键问题,5是次要问题,用于确定单个软件错误的严重性。 新策略已经被应用到代号为“Azul”的iOS 14系统开发中,该系统将于明年发布。苹果还考虑将iOS 14的一些功能推迟到2021年发布,在公司内部这一更新被称为“Azul +1”,也可能会以iOS 15公开发布,这也让公司有更多时间关注操作系统性能。不过,熟悉苹果计划的人士表示,预计iOS 14在新功能的广度上将与iOS 13不相上下。 测试策略的转移将适用于所有苹果的操作系统,包括iPadOS、watchOS、macOS和tvOS。最新的Mac电脑操作系统macOS Catalina也出现了一些问题,比如与许多应用程序不兼容,邮件中缺少信息。一些运行基于iOS操作系统的HomePod音箱在最近一次iOS 13更新后无法工作,导致苹果暂时停止升级。另一方面,最新的苹果电视和苹果手表系统更新则相对顺利。 苹果公司的高管们希望,从长远来看,全面改革后的测试方法将提高公司软件质量。但这并不是苹果工程师第一次听到管理层这么说。 去年,苹果曾推迟了iOS 12的几项功能发布,其中包括对CarPlay和iPad主屏幕的重新设计,专注于提高可靠性和整体性能。在2018年1月的一次全体会议上,费德里吉表示,公司对新功能的重视程度过高,应该优先向消费者提供他们想要的质量和稳定性。 随后,苹果成立了所谓的“老虎团队”来解决iOS特定部分的性能问题。该公司从整个软件部门调派工程师,专注于加快应用程序启动时间、改善网络连接和延长电池寿命等任务。当iOS 12操作系统于2018年秋季发布时,运行相当稳定,在头两个月内只进行了两次更新。 这种成功没有延续到今年的操作系统升级。iOS 13的最初版本漏洞百出,以至于苹果不得不匆忙发布了几个补丁。在iOS 13发布的头两个月里,已经进行了8次更新,是自2012年费德里吉接管苹果iOS软件工程部门以来最多的一次。该公司目前正在测试另一个新版本iOS 13.3,这本是要在明年春天进行的后续工作。 今年6月份苹果召开了2019年度全球开发者大会。大约在此一个月前,该公司的软件工程师就开始意识到,当时在公司内部被称为Yukon的iOS 13表现不如之前的版本。一些参与这个项目的人说系统开发是一个“烂摊子”。 今年8月,苹果工程师们意识到,几周后与新iPhone一起发布的iOS 13.0根本无法达到质量标准,于是决定放弃对其进行修补,专注于改进后续的第一次更新版本iOS 13.1。苹果私下里认为iOS 13.1是“真正的公开发布版本”,其质量水平与iOS 12相当。公司预计只有铁杆苹果粉丝才会在手机上安装iOS 13.0操作系统。 9月24日苹果发布了更新的iOS 13.1,这比既定时间提前了一周,也压缩了iOS 13.0作为苹果旗舰操作系统发布的时间。新iPhone与苹果软件紧密集成,因此从技术角度讲,不可能推出搭载iOS 12操作系统的iPhone 11系列智能手机。由于新款手机发布时iOS 13.1还没能及时准备好,苹果唯一的选择就是发布iOS 13.0,并尽快让所有人更新到iOS 13.1。 虽然iOS 13出现的问题确实让iPhone用户感到不安,但更新速度还是相当快。据苹果称,截至10月中旬,半数苹果设备用户都在运行iOS 13。这一升级速度仍远远领先于谷歌的Android。 iOS 13.1发布后,苹果的软件工程部门迅速转向iOS 13.2,其质量目标是优于iOS 12。这次更新后的抱怨比iOS 13操作系统的前几次更新都要少,但却仍有一个错误,系统会在不应该关闭的情况下关闭后台的应用程序。 苹果应用程序资深开发者史蒂夫·特劳顿-史密斯(Steve Troughton-Smith)在Twitter上写道:“iOS 13给人的感觉就像是一个超级混乱的版本,自iOS 8以来我们从未见过如此糟糕的情况。”   (稿源:网易科技,封面源自网络)

谷歌增加 Android 安全奖励计划奖金 最高将达 150 万美元

据外媒Neowin报道,谷歌的Android安全奖励计划(Android Security Rewards Program)自2015年开始实施,并已向发现移动操作系统漏洞的安全研究人员支付了数百万美元。如今,该公司正在扩大研究人员可获得的奖励,最引人注目的是一项新的奖励,其价值可能高达150万美元。 当然,这种奖励是针对特别具有挑战性的漏洞利用。谷歌表示将向研究人员支付100万美元,他们可以执行“具有持久性的全链远程代码执行漏洞,从而破坏Pixel设备上的Titan M安全元件”。Titan M芯片是在Pixel 3上首次引入的,根据来自Gartner的数据,该设备被认为具有比其他任何经过测试的设备更高的安全性。如果在Android的“特定开发人员预览版”上执行此漏洞,则赏金可以增加50%,这将使总奖励达到150万美元。 谷歌表示,在过去的12个月中,其总共支付了约150万美元的奖励,其中包括多项奖金。在此期间,最高的奖金达161337美元,参与研究的100多名研究人员的平均奖金是每个发现3800美元。 除了这一非常高的奖励等级之外,谷歌还推出了其他新等级,这些等级的奖励比以往更高。这些漏洞包括涉及数据泄露和锁屏绕过的漏洞利用,奖励最高可达到50万美元。   (稿源:cnBeta,封面源自网络)