标签: 苹果

为调查非法武器 美政府令苹果谷歌提交万名用户数据

北京时间9月10日上午消息,据福布斯杂志网站报道,最近,美国政府希望苹果和谷歌提交使用枪支相关应用的用户数据,包括姓名、电话号码和其他身份识别数据。涉及的用户数量至少有1万名。 这样的举措前所未有:美国调查人员从未在任何一个案件中,要求苹果和谷歌提价及单个应用的用户个人信息;也从未公开任何一项命令,允许联邦政府要求硅谷巨头一次提交近万人的个人信息。 根据司法部(DOJ)在9月5日提交的法院命令申请,调查人员希望获取有关Obsidian 4应用上的用户信息。Obsidian 4是一个用来控制American Technologies Network Corp(ATN)制造的步枪瞄准器的工具。该应用允许枪支持有人从Android或iPhone设备上获取直播、录制视频并校准枪支瞄准器。Google Play上的Obsidian 4的信息页显示,该应用下载量已超过1万次。苹果未提供下载数据,因此我们尚不清楚有多少iPhone用户受此次政府新措施的影响。 隐私活动人士提醒称,若法院批准该请求,且苹果和谷歌也决定予以配合的话,数千名与犯罪无关的用户的个人数据将被调查。隐私国家的国家监督计划负责人埃丁·奥曼诺维奇(Edin Omanovic)表示,这将开创一个危险的先例,并擭取“大量无辜用户的个人数据”。 “这样的命令应该仅针对嫌疑犯且是具体化的——但这个命令两项都不符合,”奥曼诺维奇说。 截至文章发布时,苹果与谷歌均尚未回复评论请求。瞄准器制造商ATN也未予以回复。美国司法部也未回复评论请求。 美国移民与海关执法局(ICE)希望获得这些数据,来广泛调查可能的违反武器出口规定的行为。ICE目前正在调查ATN瞄准器的非法出口,但公司本身未接受调查。因此,调查人员希望找到一种快速的方法,确定应用使用的位置,因为这个信息很有可能暗示硬件被发往哪个位置。ICE调查的对象目前仍是个谜团,因为至今不管是ATN公司还是武器工具零售商都未曾被公诉。 若法院签发该命令,苹果和谷歌将需要提交从2017年8月1日起到目前为止下载过该瞄准器应用的用户姓名,电话号码和IP地址等等。 这一要求牵涉广泛,不仅是可能非法获得枪支的海外用户,包括美国境内使用该应用的用户也会被卷入调查。 尽管这项命令在美国前所未有,但非美国政府之前已尝试过类似的策略。福布斯此前报道过,曾有一政府要求苹果提交一个相关应用的5800万名用户的数据,以跟踪一个恐怖分子的基层组织。但苹果拒绝了提交数据的请求。   (稿源:新浪科技,封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:新浪科技,封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:新浪科技,封面源自网络。)

为更快寻找 iOS 漏洞 苹果将向安全专家提供开发版 iPhone

苹果计划向安全研究人员提供特有的iPhone型号,以便于他们能更轻松的找到iOS系统的漏洞。援引福布斯报道,苹果计划在本周晚些时候召开的黑帽安全会议上宣布这条消息。 并非所有安全专家都能获得特制iPhone,仅面向此前受到苹果邀请参与BUG悬赏计划的安全研究人员。通过该计划,研究人员可以通过向苹果披露iOS漏洞以获得奖励。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 那么和面向普通消费者的iPhone相比,这些特制iPhone有何不同? 一位知情人士透露,这些iPhone本质上均为“开发设备”。相比较面向普通消费者的已锁iPhone,允许开发者做更多的事情。例如,允许开发者访问传统消费者版本中不允许访问的iOS系统。更为重要的是,开发者在这些特制iPhone上能够允许停止处理器运行以及检查内存中是否存在漏洞。 一台安装在支架上的“dev-fused”版iPhone Image: Motherboard 虽然这些iPhone具备更高的自由度,但这些iPhone并不会像给内部苹果开发人员以及安全团队那样功能丰富。例如,使用这些设备的安全研究人员可能无法解密iPhone固件。目前市场上也有一些iPhone开发者机型,但是这些设备通常在黑市上销售,而且价格非常高昂。 在黑市上这些iPhone被称之为“dev-fused”版iPhone。这些“dev-fused”版iPhone并未完成量产阶段,并且取消了诸多安全功能,Motherboard在报道中将其描述为“准越狱设备”(pre-jailbroken devices)。“dev-fused”版iPhone非常罕见,如果被偷运出苹果在黑市上可以卖出数千美元。这些iPhone拥有非常高的价值,因为这些可以用于查找影响iPhone现有版本的漏洞。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露:“如果你是攻击者,要么进行暴力破解要么花费数千美元买这样一台iPhone。而不少人都选择了第二种。”Motherboard随后在推特上发现了不少出售“dev-fused”版iPhone的用户,费用最低在1800美元左右。这些卖家同时还表示他们向多名安全专家提供“dev-fused”版iPhone,而且相信很多破解iPhone的大型安全公司也在使用这些手机。不过也有卖家提供的“dev-fused”版iPhone价格更高,Motherboard发现有个iPhone XR版本售价高达20000美元。 与此同时,该报道称苹果也计划推出Mac赏金计划。这类似于iOS bug奖励,并奖励安全研究人员在macOS中发现的漏洞。早在二月份,一位安全研究人员详细介绍了macOS漏洞来访问Keychain密码,但由于缺少针对macOS的bug赏金计划,他拒绝与Apple分享详细信息。尽管该公司没有公开宣布错误赏金计划,但最终研究人员确实与苹果分享了该漏洞的详细信息。   (稿源:cnBeta,封面源自网络。)

Google 公布重大 iOS 漏洞:可通过 iMessage 发动攻击

新浪科技讯 北京时间7月30日晚间消息,据美国科技媒体ZDNet报道,谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。 据悉,这6个“无交互”安全漏洞可通过iMessage客户端发动攻击。上周,即7月22日,苹果发布了iOS 12.4版,修复了这6个安全漏洞。但是,其中一个“无交互”漏洞的细节此次并未公布,是因为iOS 12.4补丁还没有完全解决问题。 据谷歌研究人员称,这6个安全漏洞中的4个可以导致在远程iOS设备上执行恶意代码,而无需用户交互。攻击者需要做的只是向受害者的手机发送一条“错误格式”的消息,一旦用户打开并查看接收到的项目,恶意代码就会被执行。而第5个和第6个漏洞允许攻击者从设备内存中泄漏数据,并从远程设备读取文件,同样无需用户干预。 根据漏洞交易平台Zerodium的价格表显示,类似于谷歌此次公布的这些漏洞,每条的价格可能超过100万美元。可以毫不夸张地说,谷歌此次公开的这些漏洞信息的价值远超500万美元,很可能达到1000万美元。 在下周于拉斯维加斯举行的“黑帽”(Black Hat)安全会议上,谷歌安全研究人员将举行一场关于远程和无交互iPhone漏洞的演示。 谷歌Project Zero安全团队成立于2014年7月,专为第三方软件寻找漏洞。他们并不会利用这些漏洞,只会对第三方软件开发商发出警告,以避免被恶意利用。   (稿源:新浪科技,封面源自网络。)  

苹果再发静默更新 删除其他存在 Zoom 漏洞软件的 Web 服务器

今天苹果向 The Verge 在内的多家媒体发出通知,表示已经向 Mac 设备发送静默安全更新,以删除 RingCentral 和 Zhumu 自动安装的软件。这些视频会议应用程序都使用了 Zoom 的技术,由于它们本质上都是白标签(White Labels),因此它们同样存在 Zoom 的安全漏洞。 具体来说就是它们可以安装辅助应用,在没有用户干预的情况下打开你的网络摄像头。即使卸载这些应用程序啊也不会删除这些辅助Web服务器,这意味着许多用户无法获得软件供应商的更新来解决问题。而解决这个问题的最佳方法就是苹果的介入,苹果计划为Zoom的所有合作伙伴解决这个问题。 Zoom发言人Priscilla McCarthy告诉TechCrunch:“我们很高兴与Apple合作测试此更新。我们希望今天解决Web服务器问题。我们感谢用户的耐心,因为我们会继续努力解决他们的问题。 本周早些时候,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。 这在一定程度上是可行的,因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上,即便卸载了Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装Zoom。   (稿源:cnBeta,封面源自网络。)

苹果发布静默更新:移除受 Zoom 安全漏洞影响的Web服务器

援引外媒 TechCrunch 报道,在曝光视频会议应用 Zoom 存在严重的零日漏洞–可以在 Mac 上使用隐藏的 Web 服务器打开视频通话之后,苹果决定亲自介入并已采取相应的措施方案。苹果发布了一个静默更新,意味着无需用户参与的情况下在 Mac 设备上移除这些网页服务器,能够防止所有已经安装 Zoom 软件的 Safari 用户进一步受到感染。     尽管 Zoom 在昨天已经发布了紧急修复补丁来移除这些网页服务器,不过显然苹果担心用户并不会主动更新,或者没有意识到打补丁的重要性,从而忽略了这个补丁更新。苹果的介入无疑提供了更妥善的安全解决方案,不仅是因为很多用户可能在暂时不会打开 Zoom,而且很多用户还卸载了这款应用程序。 不过需要注意的是,如果没有安装 Zoom 的紧急更新就执行卸载程序,这些网页服务器依然会留在用户计算机设备上,因此 Zoom 无法通过更新的应用程序卸载它。这就意味着唯一可靠和简单的方法就是苹果的介入。苹果报告称本次调整并不会影响 Zoom 应用在 Mac 设备上的功能。 Zoom 发言人 Priscilla McCarthy 告诉 TechCrunch:“我们很高兴与Apple合作测试此更新。我们希望今天解决 Web 服务器问题。我们感谢用户的耐心,因为我们会继续努力解决他们的问题。 本周早些时候,安全研究员 Jonathan Leitschuh 公开披露了在 Mac 电脑上 Zoom 视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了 Zoom 应用的 Mac 电脑上打开视频通话。 这在一定程度上是可行的,因为 Zoom 应用在 Mac 电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上,即便卸载了 Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装 Zoom。   (稿源:cnBeta,封面源自网络。)

行业组织称苹果 ID 登陆第三方有漏洞,必须加以修复

网易科技讯 7月2日消息,据国外媒体报道,一行业组织声称,苹果最新的登录功能Sign in with Apple允许用户使用Apple ID登录网站和应用程序,这一功能存在严重的隐私和安全漏洞,必须加以修复。 OpenID基金会是一个非营利组织,其成员包括谷歌、PayPal和微软。该组织运行跨网站验证个人身份的行业标准OpenID Connect,和苹果登录功能相似,可以使用同一密码进行身份验证。 据该组织称,Sign in with Apple功能与OpenID Connect有一些相似之处,但并不完全符合行业标准。OpenID基金会发给苹果公司负责工程的高级副总裁克雷格·费德里吉(Craig Federighi)的一封信中说,这个问题可能会让人们面临“更大的安全和隐私风险”。 OpenID基金会主席Nat Sakimura在信中表示:“目前OpenID Connect和Sign in with Apple之间的一系列差异缩小了用户使用Sign in with Apple的范围,并使他们面临更大的安全和隐私风险。” Sakimura表示,苹果尚未推出的这种单点登录功能,也给开发者带来了“不必要的负担”。他们必须使用OpenID Connect标准,并了解苹果登录功能的不同之处。 OpenID基金会要求苹果加入该组织,并遵守行业标准。一份描述行业标准与苹果产品之间差异的文件详细列出了一系列必要的代码更改,以“解决这些差异”。 网络安全公司Mimecast威胁情报主管弗朗西斯·加夫尼(Francis Gaffney)表示,OpenID表明了人们对潜在安全风险的切实担忧。 加夫尼表示:“鉴于黑客对潜在漏洞的查找力度加大,发现并利用这些’差异’只是时间问题。” 苹果没有立即回应置评请求。该公司正在大力宣传Sign in with Apple,将其作为隐私意识强的用户登录所喜爱网站的一种方式。苹果表示不会与应用程序开发商分享不必要的数据。 Sign in with Apple还没有公开发布,然而任何一个iPhone用户都将会在自己最感兴趣的应用中看到这一功能选项。因为苹果要求提供其他单点登录功能的应用开发者也必须支持Sign in with Apple。   (稿源:网易科技,封面源自网络。)

Facebook 研究 App 收集近 19 万用户数据 已被苹果封杀

新浪科技讯 北京时间 6 月 13 日早间消息,Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔(Richard Blumenthal)办公室的邮件中表示,该公司收集了 3.1 万名美国用户的数据,其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候,美国媒体调查发现,Facebook 和谷歌都在滥用苹果的企业开发者证书,这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现,这些公司违反了苹果的规定,在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据,了解他们的使用习惯,同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书,封禁了这些应用。不过在回答议员的问题时,苹果表示,该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利(Timothy Powderly)表示:“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的,但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示,这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示,这些“研究”应用依赖于自愿参与者从 App Store 之外的下载,需要用到苹果的开发者证书来安装。随后,应用将会安装根网络证书,允许应用从设备中收集所有数据,包括网页浏览历史、加密消息和应用活动,可能还包括来自好友的数据,用于竞争性分析。(维金)   (稿源:新浪科技,封面源自网络。)

苹果表示可能无法为这些 Mac 电脑提供 “ZombieLoad” 漏洞补丁

2011年之前的几款Mac仍然可能容易遭受类似“ZombieLoad”的安全攻击,而苹果无法解决这个问题,因为英特尔不会发布必要的微代码更新。虽然“ZombieLand”漏洞本身不会影响这些机器,但由于特定的攻击媒介,如果没有英特尔的帮助,苹果无法完全修补其他此类的“推测执行漏洞”。 “ZombieLand”漏洞影响了自2011年以来所有英特尔处理器,苹果最新支持文档仅列出了早期易受类似问题影响的Mac型号。它们依然获得苹果技术支持,或者或者能够运行最新的Mac Mojave操作系统。苹果公司在其新的支持文档中表示:“这些型号可能在MacOS Mojave、High Sierra或Sierra中接收到安全更新,但由于缺少英特尔的微代码更新,因此无法提供修复和缓解安全漏洞的措施。” 这些Mac型号如下: MacBook(13英寸,2009年末上市) MacBook(13英寸,2010年年中) MacBook Air(13英寸,2010年末上市) MacBook Air(11英寸,2010年末上市) MacBook Pro(17英寸,2010年年中) MacBook Pro(15英寸,2010年年中) MacBook Pro(13英寸,2010年年中) iMac(21.5英寸,2009年末上市) iMac(27英寸,2009年末上市) iMac(21.5英寸,2010年年中) iMac(27英寸,2010年年中) Mac Mini(2010年年中) Mac Pro(2010年末上市) 即使是受到“僵尸”安全漏洞攻击的新Mac,这些问题也不太可能对许多用户产生实质性影响。有一种苹果称之为“完全缓解”的方法,它可以消除“僵尸”和类似的攻击影响,但它需要禁用一些功能,这会将系统性能降低40%。因此,更好的预防措施还是从Mac应用商店或您信任的其他开发人员网站下载软件。   (稿源:cnBeta,封面源自网络。)