标签: 苹果

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

新浪科技讯 北京时间6月19日下午消息,一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“The Hacker News”注意到。 Regula指出,苹果的“快速查看”机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问。这个功能允许Mac用户快速地通过敲击空格键以预览上述提及信息。跟以来专门的应用不一样(比如预览PDF文件的Acrobat等),macOS可以使用OS技术“快速查看”文件。 “快速查看”的文件处理方式,这个问题在8年前就已经提到过。苹果的这个功能把缩略图缓存在未经加密的驱动其上,意味着源文件的碎片——哪怕是保存在加密存储器上的那些文件——也可能暴露在别有用心的人眼下。 “这意味着,所有你通过空格键(或用快速查看独立缓存过的)预览过的照片都作为缩略图,连同其存储路径,一并保存在该目录下,”Regula写道。 为验证其说法,Regula创建了一个概念证明,其中两个图像分别保存在两个独立的加密容器内,一个以VeraCrypt创建,另一个以macOS的加密HFS+/APES创建。研究员可以通过一个简单的指令找到这两个图像并他们各自的路径,反过来提供了原文件的微缩版本访问权限。 Wardle补充说,“快速查看”的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。他进一步指出,尽管“快速查看”漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或执法机构利用。 也就是说,苹果对这个问题进行修补其实相对容易。Wardle表示,苹果可以降级“快速查看”预览到位于外部加密容器上的文件,或者,也可以在卸载卷的时候清楚缩略图缓存。 在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除“快速预览”缓存。   稿源:新浪科技,封面源自网络;

苹果更新开发者准则:明确禁用 iPhone “挖”加密货币

新浪科技讯 北京时间6月12日早间消息,苹果公司已更新开发者准则,明确禁止“挖掘”比特币等加密数字货币。 新规称,应用不应迅速耗尽电池电量、产生过多热量、或给设备资源带来不必要的压力,而比特币“挖矿”活动中所有这些问题都会发生。苹果公司在其官网页面上写道:“应用(含应用内部显示的任何第三方广告)不得运行无关后台进程,如加密货币‘挖矿’等。” 单用一部iPhone或iPad成功“挖掘”比特币是不太可能的,因为“挖矿”非常耗电,而且需要很大的计算能力。但苹果公司此举将可预先阻止未来耗电量较小的数字货币在iOS设备上进行“挖掘”,也可阻止多台设备“池化”以达成“挖矿”目的。 苹果公司在其网站上开发者准则页面的“2.4 硬件兼容性”条目下写道:“应用设计需注意节能问题。应用不应迅速耗尽电池电量、产生过多热量、或给设备资源带来不必要的压力。应用(含应用内部显示的任何第三方广告)不得运行无关后台进程,如加密货币‘挖矿’等。” 科技博客网站Apple Insider周一率先报道了苹果公司对开发者准则的这种更新,但并未说明该公司在何时更新了这项政策。Apple Insider指出,苹果公司最初设定加密货币相关开发者准则是在2014年,此前该公司旗下应用商店以一个“未解决的问题”为由下架了Coinbase及其他加密货币应用。 iOS应用商店中有很多应用都自称能让用户利用个人设备“挖矿”,如“Crypto Coin Miner”和“Cryptocurrency Cloud Mining”等,其中后者称其能让用户“赚钱和获取加密货币,又无需大量投资或直接操作硬件或软件那么麻烦”。 比特币价格在上周末触及两个月新低,原因是一个相对较小的韩国加密货币交易所称其遭到黑客入侵。据CoinDesk数据显示,周一比特币价格在6726美元附近成交。   稿源:新浪科技,封面源自网络;

库克谈隐私问题:大多数人对隐私泄露一无所知

新浪科技讯 北京时间6月6日早间消息,苹果首席执行官蒂姆·库克于当地时间周一表示,对科技公司采取监管行为是“公平的”——尽管他可能不甚同意这种说法——因为用户隐私问题“已经完全失控”。 库克在接受美国有线电视新闻网(CNN)采访时说:“总体而言,对我来说,我不太喜欢(外界)监管。因为我认为自我监管是最好的。但当自我监管不起作用——在某些情况下不起作用时——你必须问问自己,还有什么样的监管形式才可能是好的。我认为,在当下这个时候,很多人能提出这样一个问题是非常公平合理的。” 他补充说:“我认为隐私问题已经完全失控。我认为大多数人都不知道到底是谁在跟踪他们,他们被跟踪了多少,以及有多少关于他们的详细数据被泄露了出去。” 就在库克发表评论之际,Facebook正因其处理用户数据的方式而受到抨击。这个社交网络巨头在4月份透露,其8700万用户的数据可能被共享给饱受争议的政治数据分析公司剑桥分析公司(Cambridge Analytica)。大西洋两岸的政界人士都呼吁Facebook能对这一丑闻作出回应,一些人还呼吁政府监管机构应对科技行业进行更多监管,以防止未来发生此类事件。 另外,苹果公司在最近的全球开发者大会(WWDC)上发布了其最新产品和全新功能。该公司于当地时间周一在大会上公布了最新版操作系统iOS 12的细节。苹果的市值在当天飙升,超过了之前的9400亿美元,创下历史新高——许多投资者预计,苹果公司的市值很快就会达到1万亿美元。   稿源:新浪科技,封面源自网络;

苹果公布 macOS Mojave 即将更新的隐私和安全保护特性详情

在WWDC期间,苹果在面向开发者的主题日活动Platforms State of the Union Event中,公布了更多关于将在 macOS Mojave中出现的隐私和安全保护特性的详情。首先,苹果将隐私保护手段扩展至相机、话筒及各类敏感用户数据-包括邮件数据、消息历史、Safari数据、时间机器备份、iTunes的设备、定位和连线、系统Cookies等等。 在macOS Majave中,应用所有的API和对资源的直接访问都会需要请求用户的准许,用户也能够直接通过系统偏好设置访问它们的安全偏好设定。 对于不通过Mac App Store分发安装的应用,除了需要者签名。苹果还将在新系统中引入Notarize的认证评估程序,旨在更快速地检测恶意软件,并且为苹果提供更加细致的认证撤销工具。公证化进程将让macOS Mojave能够保证第三方非App Store下载的mac应用能够经过苹果双重认证,并且不包含恶意代码。苹果还将要求所有的开发者签名Developer ID应用经过该过程才能进行安装。 苹果还介绍了最强的运行时保护机制,延申系统完整性保护措施,确保代码注入和其它恶意行为不会破坏系统完整性。macOS Mojave还将分别标记重复创建的密码、让用户能够创建更加独特的密码。此外Safari还将加入多重反追踪和隐私改进措施让浏览习惯保持隐秘。   稿源:cnBeta,封面源自网络;

苹果公司针对数据隐私发声:我们让数据追踪更困难

新浪科技讯 北京时间6月5日早间消息,今天,苹果公司发表了最强硬的声明,涉及隐私问题和Facebook等公司追踪用户一事。 苹果的软件工程负责人克雷格·费德里吉(Craig Federighi)说,该公司将使数据公司追踪个人用户的行为变得“更加困难”。他们的产品会发出警报,让客户逐一判断是否愿意让“聪明而无情”的数据公司跟踪个人信息。 “我们相信你的私人数据应该保密……因为在你的设备上可能有很多敏感数据,我们认为你应该控制让谁看到它,”费德里吉在苹果WWDC大会上如是说。 总而言之,苹果公司在言辞上对Facebook的行为进行了有策略的反击,同时介绍了一些新功能,允许用户拒绝三方数据收集器访问自己的数据。现在所面临的问题是,许多用户觉得弹出警报很麻烦,所以只是盲目地点击它们。   稿源:新浪科技,封面源自网络;

全美警局已普遍拥有破解 iPhone 的能力

来自 Motherboard 的报道称,目前全美范围内的当地警署以及联邦机构都可以很轻易的获取到解锁 iPhone 的专用工具,绕过加密手段轻松解锁嫌疑人的 iPhone,即使设备更新至最新版的操作系统也没有问题。尽管执法机关在公开场表示仍在寻找破解安装最新的 iOS 系统的较新的 iPhone 的方法,但这显然不是事实。 约翰霍普金斯信息安全学院的助理教授和密码专家 Matthew Green 向 Motherboard 透露,目前看来,即使州或者当地警署也能在各种情况下访问这些数据。这与 FBI 表示的无法访问这些 iPhone 的说法大相径庭。 执法机关使用的是一种被称作 GrayKey 的解密工具,据称可以在数小时内解锁 4 位 iPhone 密码,不过 6 位密码可能需要花上两三天时间。GrayKey 是由一家称作 Grayshift 的初创公司开发的,其创始人 Braden Thomas 是前苹果安全工程师,据称其在苹果五个专利中都有署名。 稿源:cnBeta,封面源自网络;

华尔街日报:Facebook隐私丑闻把苹果谷歌一块拖下水

近日,《华尔街日报》科技专栏作家克里斯托弗·米姆斯( Christopher Mims )周日撰文称,在用户隐私保护上,美国科技巨头过去几乎处于自由放任的监管环境中,自律意识淡薄,但是一切即将改变。虽然现在只有 Facebook 数据泄露丑闻被曝光,但是苹果、谷歌、亚马逊的“底子也不干净”,也会被一同纳入监管。 文章内容如下: 我们终于认识到了一个现实:我们不仅仅是 Facebook、谷歌等公司的“产品”。正如一位硅谷投资者所言,我们还是他们增长的助推剂。 至少,从我们的个人数据来讲是这样的。每周,我们似乎都能在美国和欧洲听到关于我们信息被盗、被泄露和利用的最新报道。同时,人们不断呼吁政府加强监管和消费者保护。 我们认识不够的是,苹果、亚马逊公司同时会受到多大程度的影响,不管是正面影响还是负面影响,因为他们必须与付费用户保持直接联系。(另一科技巨头微软公司在智能机革命过程中并未发挥重大影响力,也没有实现与其他公司类似的增长,但是也必须遵守未来出台的监管规定)。 过去 10 年,营收和市值的爆炸式增长足以令这四家公司傲视全球经济。但是,他们身处的自由放任的监管环境似乎真的即将结束。 Facebook 是导火索 Facebook 是造成科技巨头面临更严格监管的导火索:在政治圈里,公众人物的表态和近期调查显示,美国人突然对 Facebook 的“权力”感到更加担心。就在 6 个月前,这种担心还有些杞人忧天,但是现在却成了现实。密苏里州总检察长正要求 Facebook 披露哪些政治活动通过付费方式获得了用户个人数据,以及用户是否知道个人信息被分享。 在欧洲,严格的数据保护规定《通用数据保护条例》(GDPR)将在今年 5 月 25 日生效。《通用数据保护条例》加入了“有效而且具有劝诫作用”的罚款。根据违例程度的不同,包括不当处理个人数据,让儿童使用非适龄服务或查看不宜内容等,最高罚款可达到一家公司全球营收的 4%。按照 2017 年营收计算,Facebook 可能面临 16 亿美元罚款。 Facebook CEO 马克·扎克伯格( Mark Zuckerberg )近期表示,他的公司正在努力把《通用数据保护条例》适用范围扩大到每一名用户身上。他还表示,Facebook 等公司的自律必不可少,并支持对发布政治广告的互联网公司进行检查。在这一点上,Facebook 此前就已经承诺过。 苹果谷歌亚马逊受波及 谷歌的广告模式对数据的需求程度与 Facebook 不相上下,只是不收集我们的搜索历史和位置。谷歌旗下 YouTube 平台能够追踪用户的媒体喜好。自 2012 年以来,谷歌从其所有产品中收集我们的数据。 在与监管部门打交道上,谷歌更有经验。2013 年,谷歌与美国联邦贸易委员会就竞争争议达成和解。几个月来,谷歌一直在宣传他们在遵守《通用数据保护条例》上付出的努力。不过,和Facebook不同的是,谷歌并不打算把类似于《通用数据保护条例》的规定应用到所有国家,所以类似规定应该不会很快在美国实施。 亚马逊已经在运营一项年营收达到 28 亿美元的广告业务,通过收集数据投放目标广告。鉴于亚马逊的零售和广告生态系统几乎能够自给自足,所以它不必像对手那样对其许多行为展开大幅调整。不过,《通用数据保护条例》对亚马逊造成的负担目前还不清楚,这需要用户以及他们律师的检验。 “长期以来,亚马逊一直坚守在隐私和数据安全上的承诺。当《通用数据保护条例》生效后,我们致力于遵守它的规定,”亚马逊发言人称。 《通用数据保护条例》很可能会在短期内加强苹果在隐私保护上的声望。“苹果会发现,《通用数据保护条例》与他们的价值观十分契合,”Facebook 早期投资人罗杰·迈克内米(Roger McNamee)表示。 苹果 CEO蒂姆·库克(Tim Cook)称,他们从来不会在用户隐私上犯下和 Facebook 一样的错误。但是,库克的信心掩饰了一个事实:现在,绝大多数用户通过移动设备访问 Facebook。如果没有 iPhone 和其他 Android 手机,Facebook 甚至都不会存在。 苹果还为开发者获取有利可图的个人信息创造了机会。例如,iPhone 和 Android 手机的权限设置模糊,这就意味着我们距离让陌生人出售我们的位置数据只有一次点击。 尽管苹果在 App Store 中实施了隐私规定,要求开发者在获得不同寻常的丰富信息时需要获得用户的同意,但是它并不要求每一位开发者按照相同的严格标准保护隐私。 现在,Facebook 可能是被报道最多的公司,但是从长期来看,苹果、谷歌以及亚马逊很可能也会面临理直气壮的监管部门的审查。监管部门不仅会为企业如何处理用户数据制定新规,还会对直接收集数据的设备进行监管。 稿源:cnBeta、凤凰网科技,封面源自网络;

苹果计划 2020 年在 Mac 上使用自家处理器

据彭博报道,苹果计划 2020 年开始在 Mac 上使用自己的处理器,取代英特尔的产品。受此消息影响,英特尔股价盘中大跌 9.2%,创下两年来盘中最大跌幅。英特尔收盘价报 48.91 美元,跌幅缩小为 6.07%,市值为 2283.6 亿美元。 彭博援引知情人士称,该计划的代号为 Kalamata,目前还处于早期阶段。这是一个更大计划的一部分,即让苹果的各种产品 Mac、iPhone、iPad 等无缝连接在一起。 对此消息苹果不予置评,英特尔则表示不评论有关客户的猜测。 对于两家来说,这都是一个很重要的变化。 从英特尔的角度来说,PC 处理器上英特尔最核心的业务之一,而苹果是英特尔的大客户。据彭博的供应链分析,苹果为英特尔提供了大约 5% 的年营收。如果苹果的计划落地,相当于砍掉了英特尔一笔稳定的收入。 虽然按照出货量计算,在主流 PC 制造商里苹果排在后面,但是按照收入算的话,苹果则排在第三位,凸显了苹果产品的高端地位。 彭博并援引了 Stifel 分析师 Kevin Cassidy 的看法,他认为苹果此举并不会对英特尔的营收造成太大影响,因为来自苹果的收入只占一小部分,据估计 2017 年苹果业务占英特尔总收入的比例约为 4%,利润不到 1%。因此,英特尔股价大跌属于市场反应过度。但这可能形成一个对英特尔不利的趋势,即大客户们开始设计自己的组件,弃用英特尔的产品。 而从苹果的角度来说,如果 Mac 使用苹果自己的处理器,就可以按照自己的时间表发布新品,不必受限于英特尔的排期。目前,iPhone、iPad、Apple Watch 和 Apple TV都在使用苹果设计的核心处理器。 另外,这一转变将使得苹果成为为唯一的使用自己处理器的大型 PC 制造商,惠普、戴尔、联想、华硕等公司都在使用英特尔的处理器。而这一转变将使苹果可以更快地为其产品推出新功能,从而在竞争中增添更多筹码。 通过使用自己的处理器,苹果将能够更紧密地整合新的硬件和软件,从而可能产生更好的电池使用系统——类似于使用苹果芯片的 iPad。 虽然硬件上苹果的计划从 2020 年开始,但是软件的变革将在此之前开始。苹果为 iPhone 和 iPad 配备了定制芯片,使用 iOS 系统,而搭载英特尔芯片的 Mac 则运行在 MacOS 系统上。 彭博此前报道称,为了让 Mac 更像 iPhone,苹果公司正在研发一款新的软件平台,名为 Marzipan,最早将于今年发布,用户可以在 Mac 电脑上运行 iPhone 和 iPad 应用程序。 Mac 此前还采用过基于 AMR 协处理器的系统,这个系统在某些特定功能上类似于 iOS,比如安全方面。最新的 MacBook Pro 和 iMac Pro 包括了这款处理器。据知情人士透露,苹果计划在明年推出的新版 Mac Pro 和今年计划推出的 Mac Laptop 都将采用该处理器。 稿源:凤凰网科技,封面源自网络;

扎克伯格再次就数据泄露事件发声:解决问题需要数年

据《每日邮报》北京时间 4 月 3 日报道,据马克·扎克伯格( Mark Zuckerberg )称,Facebook 需要“数年时间”才能解决这次滥用用户数据暴露出来的问题。在接受新闻网站 Vox 采访时,扎克伯格对公司的商业模式进行了辩护,并还击了苹果 CEO 蒂姆·库克( Tim Cook )上周对 Facebook 的批评。 扎克伯格还表示,Facebook 的问题之一是它过于“理想主义”,专注于把人们联系在一起的积极影响。 扎克伯格说,他没有花足够的时间考虑使用这些工具的一些负面影响,“我认为现在人们在恰当地关注部分风险和不足之处。我认为我们将全面调查、解决存在的问题,但这需要数年时间。我当然希望我能够在 3 到 6 个月内解决所有问题。但我认为,现实情况是,即使只解决部分问题,就需要更长的时间“。 扎克伯格还反驳了库克对 Facebook 商业模式的批评。库克上周称,Facebook 的商业模式就是收集用户资料,然后卖给广告客户获利。 但扎克伯格声称,Facebook 的商业模式是向人们提供免费服务、不像苹果那样卖天价产品的唯一方式,“我们想让全世界的所有人联系在一起,但许多人无力承担所需的费用。与大量媒体一样,通过广告创收的模式是唯一合理的模式”。 自 3 月 16 日—— Facebook 承认用户数据被不恰当地泄露给剑桥分析公司——以来,Facebook 股价累计下跌了 13%,市值蒸发逾 700 亿美元。扎克伯格个人财富蒸发逾 100 亿美元,只剩下约 600 亿美元。 稿源:cnBeta、凤凰网科技,封面源自网络;

macOS High Sierra 以明文存储外部 APFS 驱动密码

根据 Mac 取证专家 Sarah Edwards 的报告,新版 macOS High Sierra 再次出现 APFS(苹果文件系统)漏洞,以明文形式记录 APFS 格式化外部驱动器的密码,并将此信息存储在非易失性(磁盘上)日志文件中。 攻击者可以利用这个漏洞轻易获取加密 APFS 外部驱动(如 USB 驱动器、便携式硬盘驱动器驱动和其他外部存储介质)的密码。这个漏洞违反了所有已经确立的 Apple 开发和安全规则,根据这些规则,应用程序和实用程序应该使用 Keychain 应用程序来存储有价值的信息,并且应该明确避免以明文形式存储密码。 目前,macOS High Sierra 的 10.13 版本到 10.13.3 版本都受影响。苹果尚未发布补丁。 稿源:freebuf,封面源自网络;