标签: 苹果

苹果表示可能无法为这些 Mac 电脑提供 “ZombieLoad” 漏洞补丁

2011年之前的几款Mac仍然可能容易遭受类似“ZombieLoad”的安全攻击,而苹果无法解决这个问题,因为英特尔不会发布必要的微代码更新。虽然“ZombieLand”漏洞本身不会影响这些机器,但由于特定的攻击媒介,如果没有英特尔的帮助,苹果无法完全修补其他此类的“推测执行漏洞”。 “ZombieLand”漏洞影响了自2011年以来所有英特尔处理器,苹果最新支持文档仅列出了早期易受类似问题影响的Mac型号。它们依然获得苹果技术支持,或者或者能够运行最新的Mac Mojave操作系统。苹果公司在其新的支持文档中表示:“这些型号可能在MacOS Mojave、High Sierra或Sierra中接收到安全更新,但由于缺少英特尔的微代码更新,因此无法提供修复和缓解安全漏洞的措施。” 这些Mac型号如下: MacBook(13英寸,2009年末上市) MacBook(13英寸,2010年年中) MacBook Air(13英寸,2010年末上市) MacBook Air(11英寸,2010年末上市) MacBook Pro(17英寸,2010年年中) MacBook Pro(15英寸,2010年年中) MacBook Pro(13英寸,2010年年中) iMac(21.5英寸,2009年末上市) iMac(27英寸,2009年末上市) iMac(21.5英寸,2010年年中) iMac(27英寸,2010年年中) Mac Mini(2010年年中) Mac Pro(2010年末上市) 即使是受到“僵尸”安全漏洞攻击的新Mac,这些问题也不太可能对许多用户产生实质性影响。有一种苹果称之为“完全缓解”的方法,它可以消除“僵尸”和类似的攻击影响,但它需要禁用一些功能,这会将系统性能降低40%。因此,更好的预防措施还是从Mac应用商店或您信任的其他开发人员网站下载软件。   (稿源:cnBeta,封面源自网络。)

苹果企业证书再爆丑闻 间谍软件窃取用户隐私信息

移动安全公司Lookout发现,一款强大的间谍软件正瞄准iPhone用户,并窃取他们的隐私信息。研究人员宣称,这款软件的开发者滥用了苹果公司颁发的企业证书,绕过其应用商店审查,感染毫无戒心的受害者设备。 这种伪装软件被安装后,它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息,包括他们的实时位置数据。 研究人员发现,这款应用还可以被远程触发,监听人们的谈话。尽管没有数据显示谁可能成为攻击目标,但研究人员指出,这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前,也曾出现针对安卓设备的类似间谍软件Exodus。 Lookout高级安全情报工程师亚当·鲍尔(Adam Bauer)表示,这两款软件都使用了相同的后端基础设施,而iOS版本使用了多种技术,使得分析网络流量变得非常困难,显然有专业团体负责开发这些软件。 研究人员表示,他们不知道有多少苹果用户受到了影响。苹果还没有就此置评。   (稿源:网易科技,封面源自网络。)

macOS 被曝内核存在高危漏洞

谷歌 Project Zero 团队曝光了 macOS 内核中存在的一个写时复制高危漏洞。 macOS 的内核 XNU 在某些情况下允许写时复制(copy-on-write,COW)行为,COW 是一种本质上没有缺陷的资源管理技术,它有一个重要的作用是可以保护复制的内存以防后续通过源程序修改,避免源进程被利用双读。但是在 macOS 这里 COW 似乎出了问题。 研究人员表示,这种写时复制行为不仅适用于匿名内存,也适用于文件映射。这意味着,目标进程开始从转储存储区读取后,内存压力会导致保持转储内存的页面从页面缓存中被逐出。而被逐出的页面需要再次使用时,可以从后台文件系统重新加载。 macOS 允许普通用户挂载文件系统镜像,而如果修改用户已挂载文件系统镜像,该行为并不会被通知给虚拟管理子系统。也就是说攻击者可以在不发出通知的情况下改变磁盘文件虚拟管理子系统。 详细的概念验证可以查看: https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q= 谷歌的 Project Zero 团队以发现各个公司产品的安全漏洞而闻名,其成员在软件中找到安全漏洞,私下向制造商报告,并在公开披露之前给他们 90 天的时间来解决问题。据 neowin 网站介绍,此次关于 macOS 的这个漏洞,团队发现于 2018 年 11 月,但是 90 天内苹果公司并未作出回应,于是研究人员将其公开。目前苹果已经着手与 Project Zero 联合开发相应补丁。     (稿源:开源中国社区,封面源自网络。)

发现 macOS 钥匙串漏洞的 18 岁少年决定向苹果公布所有细节

在没有获得苹果任何报酬的情况下,Linus Henze还是决定向苹果公司提交有关在macOS钥匙串(Keychain)安全软件中发现的严重BUG。之前他选择隐藏该BUG细节,以抗议苹果为何不为macOS平台启动Bug Bounty悬赏活动,不过现在他认为这个问题实在是太严重了,决定不能自己私藏。 尽管苹果公司忽视了他之前提出的所有条件,2月初这位来自德国的18岁年轻人还是向苹果展示了钥匙串安全漏洞的全部细节。Henze表示他已经决定向苹果公司透露所有细节,因为他发现这个错误非常关键,并表示因为macOS用户的安全对于他来说非常重要。 在2月上旬公布的演示中,别有用心的攻击者可以在没有管理员权限(或管理员密码)的情况下,利用该漏洞收集Mac设备上的所有敏感数据。此前在接受《福布斯》采访表示,查找漏洞费心费力,向研究者支付酬劳是天经地义的,因为我们在帮助苹果公司的产品变得更加安全。 据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。2月5日,他在发给苹果的一封电子邮件中表示:“如果苹果官方向我讲述为何苹果并不希望为macOS创建BUG Bounty计划的原因,我愿意立即向你提交完整的详细信息,包括补丁。” 2月8日,他再次向苹果发送电子邮件,重新陈述自己的情况,但似乎没有回应。     (稿源:cnBeta,封面源自网络。)

iOS 12.1.4 更新修复严重安全漏洞 但又产生新问题

上周五,苹果发布了旨在修复严重安全漏洞的iOS软件更新12.1.4版本,除了修复 FaceTime群组通话的安全漏洞,还修复了“内存崩溃问题”以及一个获取内核优先权运行恶意代码的安全漏洞,以及实况照片漏洞。但是据许多升级后的用户反映,升级12.1.4版本后引起了SIM卡识别故障,丢失WiFi连接等等网络连接问题。 福布斯也报道了许多用户反应的其它问题,包括12.1.4升级后的iPhone设备AirPods、Touch ID和语音备忘录、蜂窝信号的性能降级,这些用户在升级前从未经历类似的问题。     稿源:cnBeta,封面源自网络;

科技巨头批澳政府反加密法律:对网络有重大负面影响

新浪科技讯 北京时间12月11日上午消息,据美国科技媒体TechCrunch报道,澳大利亚反加密网络法律上周获得通过,而包括苹果、谷歌及微软在内的科技巨头对此表示谴责。 “新出台的澳大利亚法律存在重大缺陷,范围过广并且对于新的权力缺乏独立监管。”改革政府监管联合会(Reform Government Surveillance)在一份声明中说道。科技公司补充表示这项法律将“破坏网络安全、人权以及我们用户的隐私权”。 联合会表示,将对澳大利亚继续施压,敦促立法人员在新的一年“迅速解决这些缺陷”。 联合会成员包括Dropbox、Facebook、谷歌、苹果,以及雅虎的母公司Oath。据称,这些公司在美国加密文件中均被列为国家安全机构项目PRISM中的成员,但所有公司均否认自己愿意参与其中。它们开始联合起来,游说澳政府改革其监管行动——部分行动都依赖于科技公司和电信公司被强制要求提供帮助。 Evernote、LinkedIn、Snap以及Twitter并未被列为PRISM的合作成员,但它们之后也加入了联合会并在信中署名。 思科、Mozilla等公司还对澳大利亚立法者提出投诉,认为这项法律“可能会对互联网造成重大负面影响”。 新法将让澳大利亚警方以及情报机构获得发布“技术通知”的权力——从本质上来说,这就是在迫使企业以及在澳大利亚运行的网站帮助政府破坏加密技术,或是在产品服务中安排后门。如企业拒绝配合技术通知内要求,将面临高额罚款。 批评人士认为,监管缺失可能会导致该系统的滥用。由于此类通知通常会伴随“禁言令”,任何技术通知都将不会公开。 此前,科技公司以及电信公司对反加密法规提出强烈反对,但这项提案还是在反对派——工党立法人员投票之后的不到一天时间里就获得了通过。 澳大利亚政府通过“恐吓战术”取得了胜利。澳大利亚国防部长克里斯托弗·派恩(Christopher Pyne)在推文中指控工党会选择“让恐怖分子以及恋童癖者继续做出恶劣行为,来保证自身利益”,但这则推文不久即被删除。工党承受不住压力,最终选择赞成这项法案的通过。但工党领袖比尔·肖滕(Bill Shorten)承诺,在法案通过的数月以内,该党将提供修正案,以确保澳大利亚在圣诞期间能变得更加安全。   稿源:新浪科技,封面源自网络;

澳大利亚有望通过立法要求谷歌、苹果等上交加密数据

新浪科技讯 北京时间12月6日上午消息,澳大利亚周四有望通过一项立法,要求谷歌、Facebook和苹果向警方提供与非法活动嫌疑人有关的隐私加密数据。 这部法律遭到科技巨头的激烈反对,因为其他国家也可能效仿类似的措施。按照这项法律的规定,倘若未能向执法部门提供这些数据,相关企业就将面临最多1000万澳元(730万美元)的罚款。 此项立法获得澳大利亚两大政党的支持,一个两党议会委员会推荐立刻通过该立法,为澳大利亚成为第一个出台这类规定的国家扫清障碍。 澳大利亚政府表示,他们需要通过这种立法来对抗恐怖袭击和有组织犯罪,以便执法部门获取相关个人数据。 该立法的最终草案尚未确定,但澳大利亚立法者有望在周四处理此事,这也是该国议会2018年最后的审议日。 这种针对用户数据开后门的做法一直以来都遭到科技公司的激烈反对。苹果甚至在2015年拒绝为美国联邦调查局解锁一名枪击案嫌疑人的iPhone。 Faceboook、谷歌、亚马逊和苹果均未对此置评。但苹果之前曾经表示,获取用户加密数据的做法必然削弱加密效果,还会提升系统遭黑客入侵的风险。   稿源:新浪科技,封面源自网络;

才发布几个小时 有黑客发现了 iOS 12.1 一个新的密码绕过漏洞

据外媒报道,就在苹果为iOS 12发布了安全补丁几个小时后,iOS狂热爱好者、黑客Jose Rodriguez在iOS 12.1中发现了又一个漏洞,即可以在绕过密码的情况下使用群组FaceTime访问联系人列表。正如Rodriguez在YouTube上上传的视频那样,用户可以通过接听电话或让Siri打电话然后切换到FaceTime上来利用密码绕过漏洞。 演示视频:https://player.youku.com/embed/XMzg5NTk5MDAyNA== 一旦切换到FaceTime状态下,即便设备还处于锁屏状态,用户只要进入右下角菜单并点击“添加联系人”之后就可以访问iPhone上的完整联系人列表。 另外,在访问联系人列表之后,用户还能通过使用iOS 3D Touch功能查看地址簿的每一位联系人的额外信息并且还能发起新的通话。 Rodriguez表示,他发现这个新的密码绕过漏洞可以在所有支持苹果群组FaceTime功能的iPhone机型上使用。不过他也指出,若想要解决掉这个漏洞则可以通过关闭Siri在主屏幕上使用功能就可以。   稿源:cnBeta,封面源自网络;

库克表达对用户数据滥用的担忧 呼吁制定联邦隐私法

北京时间10月25日凌晨消息 苹果首席执行官蒂姆库克(Tim Cook)周三表示,客户数据正在被各个公司以“军事化的效率”增加利润,并呼吁在美国制定联邦隐私法。但Facebook首席执行官马克扎克伯格(Mark Zuckerberg)为其公司基于广告的商业模式辩护说,用户意识到了要为免费服务作出一定的让步的。 库克在国际数据保护和隐私委员会会议上发表讲话称,苹果将支持美国隐私法,并且还宣称苹果公司保护用户数据和隐私的承诺。 苹果公司过去设计了许多保护用户的产品,这样的做法不像今年的谷歌和Facebook,很大程度上使其避免了陷入的用户数据隐私丑闻。 “将利润放在隐私之前的想法并不是什么新鲜事,”库克告诉隐私监管机构,企业高管和其他参与者。 在欧洲和美国,涉及数百万互联网和社交媒体用户的数据隐私遭到严重破坏之后,关于如何使用数据以及消费者如何保护其个人信息的问题受到广泛的关注。 库克在演讲中引用前美国最高法院法官路易斯布兰迪斯(Louis Brandeis)的话,该法官在1890年的期刊哈佛法律评论的一篇文章中警告说,八卦新闻不再是闲散和恶意的资源,而是成为一种交易。 “今天,这种贸易已经爆发成为一种数据工业。我们自己的信息,从日常到深层次的个人信息,正在以军事效率用来对付我们自己,“库克说。 库克说:“这些平常的数据碎片……目前被精心包装,合成,交易和销售。” “我们不应该美化这样的做法。这是其实是一种监视。并且这些个人只会让收集它们的公司数据更加丰富“他说。 Facebook基于广告的模式 然而,Facebook对数据的用法有不同的看法,其CEO扎克伯格通过消息说,Facebook用户知道免费服务和广告之间的权衡。 “我们不对用户收费,而是向广告客户收取费用。人们一直告诉我们,他们想要免费的服务。如果他们想要看到广告,那么他们希望这些广告是和他们自身相关的“他说。 扎克伯格表示,Facebook在安全性和隐私方面投入巨资,尽管这会影响其盈利能力。 谷歌首席执行官桑达尔·皮查伊( Sundar Pichai)欢迎全球对隐私的关注,称该公司正在采取措施让用户更多地控制他们的数据。 “用户信任是我们所做的一切的基础,隐私和安全是其基本原则,”他在视频消息中说道。 “我们多年来一直致力于为用户提供更多透明度和控制权,我们非常感谢数据保护机构的投入和合作。” 库克还对政府滥用用户的数据和他们的信任进行了警告,也表达了许多将要进行选举的国家担忧。 “流氓演员甚至政府都利用用户信任来加深分歧,煽动暴力,甚至破坏我们对真实和虚假的共同认识。” 库克表示,苹果完全支持美国的联邦隐私法,欧洲已经通过其通用数据保护法规引入了这项法律。 “用户应该始终知道正在收集哪些数据以及收集数据用来干什么,”他说。 “这是用户决定哪些信息收集是合法的,哪些不合法的唯一方法。缺少某一点都将会是一种欺骗。”   稿源:新浪科技,封面源自网络;

苹果回应账户被盗刷:深表歉意 建议开启双重认证

网易科技讯 10月16日消息,针对“苹果用户账户出现集体被盗刷的情况,数量预计超过700人”,苹果回应称,第一时间组织了工程师来寻找事件的根源。苹果调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,苹果发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 苹果称已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。 因网络钓鱼诈骗给用户带来的不便,苹果深表歉意。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。 以下是声明全文 媒体声明 我们非常重视中国消费者,希望确保他们拥有最佳的产品体验。针对消费者报告的有关网络钓鱼诈骗和Apple ID盗刷事件我们进行了调查,在此,我们想就尚在进行中的调查给出一个说明。 当我们了解到这些事件后,第一时间组织了Apple工程师来寻找事件的根源。消费者的隐私和安全对我们来说至关重要。我们的调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,我们发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 我们已经采取了多种措施来保护我们的用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,我们拒绝了高风险的订单。由于我们的持续努力,我们已经注意到这些问题现已显著减少。 因网络钓鱼诈骗给用户带来的不便,我们深表歉意。我们正主动识别可疑活动,并与受影响的用户取得联系。我们强烈建议所有用户开启双重认证,以防止未经授权的访问。 同时,我们正与相关消费者保护组织保持沟通,并倾听用户对这些措施的反馈。如需了解有关 “安全性和Apple ID” 的更多信息,可随时访问:访问:https://support.apple.com/zh-cn/HT201303,或联系,或联系AppleCare进一步了解相关问题。   稿源:网易科技,封面源自网络;