标签: 苹果

iOS 应用程序有望从新提议的 Security.plist 标准中受益

本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。 (题图 via ZDNet) Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。 实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。 我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。 遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。 为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。 不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。 不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。   (稿源:cnBeta,封面源自网络。)

当iPhone用户滚动Facebook提要时,Facebook将秘密使用用户的相机

Facebook 又一个隐私问题曝光?iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时,由于存在一个bug,屏幕左侧会出现一个小细条用来摄像,这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现,但是iOS 12不受影响。 Maddux补充说,他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题,但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机(不是说它没有被使用),” Maddux说。 TNW的人员注意到,仅当用户授予Facebook应用程序对您的相机的访问权限时,才会出现此问题。 在撰写本文时,仍不清楚该问题是否是预期的行为,该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说,iOS应用程序开发人员可以利用该漏洞,通过启动用户的前置和后置摄像头,来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ,iPhone用户永远不会收到任何通知。 据专家分析,当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的  配置文件  以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

特朗普的网络安全顾问输入错误密码后 苹果员工将其 iPhone 恢复为出厂设置

据外媒Techspot报道,2017年在担任特朗普的网络安全顾问和律师仅26天后,苹果员工发现了在旧金山市区商店外等候的鲁迪·朱利安尼(Rudy Giuliani)。他之所以在这里,是因为在输入了十次错误的密码后,他的iPhone 6被锁定,这迫使苹果员工将手机恢复为出厂设置,通过iCloud备份对其进行重新设置。 在NBC News上周报道此事后,将他自己忘记iPhone密码的经历与美国联邦调查局(FBI)要求苹果解锁枪手使用的iPhone一事进行比较。 然而这并非朱利安尼经历过与技术事故有关的尴尬事件。大约一年前,他在推文中写道:“就在总统离开参加G-20之际,穆勒就提出了起诉。7月,他也曾在总统前往赫尔辛基之前起诉那些永远不会来到这里的俄罗斯人。”他发推文时忘记在句号后面加空格,从而不小心创建了一个指向G-20.in的超链接。恶作剧者购买了未注册的域名,并建立了反特朗普网站。 而朱利安尼则指责Twitter允许恶作剧者用令人不快的反总统信息“侵入”他的推文。   (稿源:cnBeta,封面源自网络。)

苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞

苹果已经修补了之前在iTunes和Windows版iCloud中被发现的Bonjour漏洞,以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在Windows中执行,看起来它是一个受信任的应用程序。精心设计的攻击者可以利用iTunes和Bonjour数字签名,绕过系统针对恶意软件的防护。 发现该漏洞的安全研究公司Morphisec表示,BitPaymer恶意软件正在使用攻击媒介感染系统。 不过,更新到iTunes 12.10.1的Windows系统不会再遭受此类攻击威胁。 目前尚不清楚该漏洞何时被引入,但苹果最近更新的适用于Windows的iTunes和iCloud已经能够阻止攻击。   (稿源:cnBeta,封面源自网络。)

iOS 13 现严重漏洞:添加信用卡后显示陌生人信息

据外媒报道,就在几天前刚刚发布的iOS 13尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统,但Reddit上的一些用户还发现了一个重要的安全漏洞。据用户Thanamite和createdbyeric披露,当用户将信用卡添加到他们的账户时,这个问题就会出现。 当添加信用卡信息后,用户会发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的。信息包括姓名、账单地址以及信用卡号码的最后四位数字,这让他们面临着严重的风险。 在发现这一漏洞后,用户createdbyeric联系了苹果,苹果迅速将问题升级到更高级别并承认问题的严重性。对于用户来说,打击当然希望这意味着修复将很快就会到来,而且很可能会在明天发布的iOS 13.1中到来。 实际上,iOS 13.1的发布提前了一周,似乎是为了解决iOS 13最初发布时的漏洞报告。相信这个新问题的出现应该会给苹果更多的理由尽快推出一个解决方案。   (稿源:cnBeta,封面源自网络。)

受已知漏洞影响:美国防部建议苹果用户跳过 iOS 13.0 版软件更新

苹果已经向符合要求的机型(iPhone 6S 及以上)推送了 iOS 13,带来了期待已久的黑暗模式和增强型隐私控制等新功能。苹果软件工程高级副总裁 Craig Federighi 表示:“iOS 为用户日常访问的 App 带来了新的特性,包括更丰富的照片和地图内容、增强的隐私防护、并且优化了性能。我们很高兴向客户提供今秋更新的内容,且迫不及待地想要他们对此展开体验”。 (题图 via MSPU) 此外,苹果将原定于 9 月 30 日的 iOS 13.1 更新,提前到了 9 月 24 日。原因是新 iPhone 预装的 iOS 13.0,已被许多评测人员批评充满了 bug 。 除了用户提交的崩溃、死机和随机重启报告,美国国防部也向 iOS 设备用户发出了警示,希望大家不要安装 iOS 13.0,以避免受到已知漏洞的影响,直到苹果推送完成了修复的 iOS 13.1 。   (稿源:cnBeta,封面源自网络。)

为调查非法武器 美政府令苹果谷歌提交万名用户数据

北京时间9月10日上午消息,据福布斯杂志网站报道,最近,美国政府希望苹果和谷歌提交使用枪支相关应用的用户数据,包括姓名、电话号码和其他身份识别数据。涉及的用户数量至少有1万名。 这样的举措前所未有:美国调查人员从未在任何一个案件中,要求苹果和谷歌提价及单个应用的用户个人信息;也从未公开任何一项命令,允许联邦政府要求硅谷巨头一次提交近万人的个人信息。 根据司法部(DOJ)在9月5日提交的法院命令申请,调查人员希望获取有关Obsidian 4应用上的用户信息。Obsidian 4是一个用来控制American Technologies Network Corp(ATN)制造的步枪瞄准器的工具。该应用允许枪支持有人从Android或iPhone设备上获取直播、录制视频并校准枪支瞄准器。Google Play上的Obsidian 4的信息页显示,该应用下载量已超过1万次。苹果未提供下载数据,因此我们尚不清楚有多少iPhone用户受此次政府新措施的影响。 隐私活动人士提醒称,若法院批准该请求,且苹果和谷歌也决定予以配合的话,数千名与犯罪无关的用户的个人数据将被调查。隐私国家的国家监督计划负责人埃丁·奥曼诺维奇(Edin Omanovic)表示,这将开创一个危险的先例,并擭取“大量无辜用户的个人数据”。 “这样的命令应该仅针对嫌疑犯且是具体化的——但这个命令两项都不符合,”奥曼诺维奇说。 截至文章发布时,苹果与谷歌均尚未回复评论请求。瞄准器制造商ATN也未予以回复。美国司法部也未回复评论请求。 美国移民与海关执法局(ICE)希望获得这些数据,来广泛调查可能的违反武器出口规定的行为。ICE目前正在调查ATN瞄准器的非法出口,但公司本身未接受调查。因此,调查人员希望找到一种快速的方法,确定应用使用的位置,因为这个信息很有可能暗示硬件被发往哪个位置。ICE调查的对象目前仍是个谜团,因为至今不管是ATN公司还是武器工具零售商都未曾被公诉。 若法院签发该命令,苹果和谷歌将需要提交从2017年8月1日起到目前为止下载过该瞄准器应用的用户姓名,电话号码和IP地址等等。 这一要求牵涉广泛,不仅是可能非法获得枪支的海外用户,包括美国境内使用该应用的用户也会被卷入调查。 尽管这项命令在美国前所未有,但非美国政府之前已尝试过类似的策略。福布斯此前报道过,曾有一政府要求苹果提交一个相关应用的5800万名用户的数据,以跟踪一个恐怖分子的基层组织。但苹果拒绝了提交数据的请求。   (稿源:,稿件以及封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:,稿件以及封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:,稿件以及封面源自网络。)