标签: 苹果

澳大利亚少年入侵苹果网络:非法下载 90GB 安全文件

澳大利亚的苹果应用商店 凤凰网科技讯 据科技博客 AppleInsider 北京时间 8 月 16 日报道,澳大利亚墨尔本一名十几岁的少年黑客,在他位于郊区的家中多次入侵苹果公司内部系统,进入他人账户非法访问隐私数据。在其黑客行径被发现之前,这名少年从苹果内部系统下载的安全文件容量竟然高达 90GB。 据澳大利亚《时代报(The Age)》周四援引当地法庭的消息称,这名少年黑客是位苹果粉丝,他的“梦想”是进入苹果公司工作。不过苹果公司对其行为并不买账。去年苹果获悉该情况后,立即向美国联邦调查局(FBI)发出求援警告,而 FBI 随后与澳大利亚当局进行沟通、协调,少年黑客很快被捕。 一名检察官表示,因苹果“对公众的关注非常敏感”,直到本周法庭开庭前,苹果未向媒体透露过关于此案的任何蛛丝马迹。 除了知道少年黑客非法下载了 90GB 数据,目前还不清楚这名少年黑客入侵的范围影响有多大,到底访问了哪些账户或其他信息;与此同时,目前尚不清楚这次黑客入侵事件影响到了澳大利亚,还是影响到了全球范围。 苹果尚未对此案发表评论。 去年,当地警方突击搜查了这名少年黑客的住处,并在他的电脑上一个名为“黑客黑客黑客”的文件夹中,发现了所窃取的苹果文件,随后该少年被捕。澳大利亚联邦警察还没收了这名少年的两台苹果笔记本电脑,发现被告获得了进入苹果系统的“授权密钥”。由于法律原因,媒体暂未公开这名少年黑客的姓名。作为被告,少年黑客承认自己有罪,该案将于下月宣判。 目前尚不清楚是否有任何获得的数据提供给了第三方。据了解,这名黑客在 Whatsapp 上与其他人就此事进行了沟通,但谈话内容并未公布。 本周早些时候,澳大利亚政府计划就是否迫使苹果和其他公司削弱加密进行辩论。今年 6 月,苹果因 iPhone 和 iPad 的维修政策被澳大利亚监管机构罚款 670 万美元。     稿源:凤凰网科技,编译:若水,封面源自网络;

黑客称可通过“合成点击”绕开 macOS 安全警报

8 月 13 日消息,据国外媒体报道,在拉斯维加斯周日举行的防御黑客大会(DefCon hacker conference)上,美国国家安全局前雇员、知名 Mac 电脑黑客帕特里克·沃德尔(Patrick Wardle)对苹果 macOS 操作系统进行安全攻击,其通过所谓的“合成点击”(synthetic click)让恶意软件轻而易举地通过了系统安全警报。 沃德尔认为,这种绕过 macOS 操作系统安全机制的方法或许能够窃取用户电脑中存在的联系人,甚至于进入操作系统内核,完全控制电脑。 据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建一个检查点,阻止恶意软件,同时让正常的应用程序通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内。 作为 Digita 安全公司的一名安全研究员,沃德尔表示,“如果你有一种方法与系统发出的警报进行综合交互,你就拥有了一种可以绕开安全机制的强大方法。” 但是,沃德尔的合成点击方法绕过的弹窗提示对用户来说仍然可见,苹果 macOS 操作系统依旧会提示用户电脑上存在恶意软件。但沃德尔表示,恶意软件可以等待用户离开机器的时候再去触发并绕过弹窗提示。 沃德尔承认,他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑。但在某些黑客手中,它们可能是一个危险的工具,让老练的攻击者从计算机中窃取更多数据或获得更深层控制。     稿源:网易科技,封面源自网络;

台积电工厂受计算机病毒感染 新款 iPhone 出产或推迟

行业分析师称,全球最大的代工芯片制造商台湾积体电路制造(台积电)上周爆发的计算机病毒导致的损害或可推迟 iPhone 生产。供应商在公司的计算机网络中安装了一个没有扫描病毒的软件后,一年多前 WannaCry 勒索软件的一个变体得以在上周五到周一这段时间入侵台积电的计算机系统和工厂工具。病毒导致机器崩溃不断重启。 尽管台积电表示制造业务在周一已经完全恢复,然而这次病毒事件可能会对“公司某些最先进的设备”造成损害,这些先进设备将用于制造苹果打算在今年出货的 iPhone 设备上配备的 A 系列芯片,台北市场情报咨询研究所资深行业分析师 Lee Cheng-hwa 说。此次事故发生于苹果的关键时期。上周苹果市值创下历史新高突破 1 万亿美元,公司正紧锣密鼓地准备着下个月备受市场期待的一年一度新款 iPhone 发布。 根据之前的报道,苹果很有可能会推出三款新 iPhone ,并同时对 iPad 和 Apple Watch 进行升级。所有这些设备在过去使用的都是台积电制造的芯片。鉴于台积电的工厂生产大量为 iPhone 设计的芯片,苹果是最有可能面临出货推迟的客户之一,但未必是受影响最严重的一个,分析师称。 台积电表示,病毒事件将推迟其芯片出货时间到九月底,但预计年底前可以恢复。生产设施受病毒感染期间,公司不得不关闭受病毒感染的制造工具和自动化处理系统,但周日已经恢复了 80% 的设施。 苹果未立即予以评论。台积电的一名发言人拒绝提供公司官方声明以外的更多信息。台积电将此次病毒事故归咎于一名未指明姓名人士在安装新软件时的操作失误。公司已在本周单独通知客户们关于交付事项的变更。 台湾投资咨询公司宽量国际(Quantum International Corp)高级顾问约翰·布里贝克(John Brebeck)认为,有些开发消费电子产品的开发商下了急单,他们等待台积电的任何延迟芯片时间可能会最长。客户和投资者一样都非常关心台积电发生的病毒事件,因为这是该芯片制造商首次发生这类事故。这样的病毒此前还从未“破坏过一家如此重要的公司,因此每个人都十分关注,”台北智库中华经济研究院研究人员 Wu Hui-ling 称。 同样这起事故还表明此类事件给全球电子供应链所能带来的重大干扰。为中国智能手机品牌开发处理器的美国芯片制造巨头高通也是台积电的一个客户。台积电不时也被看做是技术投资的领头羊,因为公司具有相对透明的管理体制和领先的芯片制造技术。但宽量国际的布里贝克认为,总的来说台积电不会受到病毒事故的太大影响,因为公司素来有着良好声誉。     稿源:cnBeta.COM,封面源自网络;

苹果回应美国会隐私担忧:客户不是我们的产品

图:苹果回应美国国会隐私担忧:我们不会把客户看作产品 凤凰网科技讯 据 AppleInsider 北京时间 8 月 8 日报道,苹果在写给美国国会议员的一封信函中为公司的隐私和数据收集行为进行了辩护,称它在这些方面与 Facebook 和 Alphabet 等公司存在“根本性区别”。 在签署日期为星期二的一封信函中,苹果联邦事务主管蒂莫西·鲍德利(Timothy Powderly)回答了美国众议院能源和商业委员会主席格雷格·沃尔登(Greg Walden)向公司 CEO 蒂姆·库克(Tim Cook)提出的一系列问题。虽然鲍德利在信函中没有提到 Facebook ,但很显然的是,它是苹果的对标对象。 信函称,“我们认为隐私是一项基本的人权,在设计产品和服务时,有意识地把收集的用户个人信息降低到最低限度。在收集数据时,我们是透明的,不会把数据与用户身份联系起来。我们利用设备的处理能力,把收集的数据量降低到最低。客户不是我们的产品,我们的业务模式不依赖于大量收集客户个人信息,向客户发布有针对性的广告。” 这封信函的内容与库克多次与 Facebook 、数据有关的表态是一致的。 鲍德利在信函中还回答了国会议员提出的与公司定位服务工作原理、数据收集政策、 Siri 麦克风是否会用于不正当用途有关的问题。 鲍德利此前在发送给美国参议院司法委员会主席查尔斯·格拉斯利(Charles Grassley)的一封信函中表达了相似观点。 过去,美国国会议员也曾对苹果的隐私政策提出质疑。   稿源:凤凰网科技,编译:霜叶,封面源自网络;

印度电信机构警告苹果:不接受监管就退出印度

(环球网科技 记者 樊俊卿)过去几年里,iPhone在印度市场的份额在逐年扩大,一度成为印度年轻人追捧的品牌之一。这一现象引起了某些政府部门的“关注”。 近日,有印度媒体报道称,印度电信管理局和苹果公司之间产生了纠纷。据称印度电信管理局亲自开发了一款名为DND的软件(最新升级版则为DND2.0),这款软件的主要目的是跟踪、打击印度的电信骚扰者,比如频繁打电话或是发送垃圾短信的机构。然而,苹果公司拒绝让这款软件在官方软件商店上架,苹果认为,该软件获取了用户的通话和短信记录,侵犯了个人隐私。 此前,印度电信管理局要求印度所有的运营商都将这款“防止骚扰”的应用程序强制安装到其通讯设备上,虽然苹果方面明确拒绝了这一要求,但印度电信管理局最新表态称,如果苹果继续不合作,印度电信运营商将彻底禁止苹果iPhone利用网络通信。即如果苹果继续在软件商店中拒绝上架该软件,印度所有的iPhone手机将彻底失去3G、4G等通信连接。 上周四,印度电信管理局发表公开声明重申,印度所有的智能手机用户,不论是搭载IOS系统的iPhone还是搭载安卓系统的手机,都应该能够安装DND 2.0版本软件。不过电信管理局监管的对象是移动运营商,而不是手机厂商。管理局表示,在六个月时间里,所有智能手机都应该安装运行DND软件,如果相关的手机不允许安装,则在电信管理局命令之下,移动运营商必须将这些手机从移动网络中注销。 对于印度市场,苹果公司首席执行官Tim Cook非常看重,Cook曾在公开场合暗示,印度可能成为下一个中国,并表示将积极进军印度市场。虽然 iPhone 的价格让大多数人无法企及,但他预测,年轻、有抱负的印度人社会经济地位将越来越高。今年5月,他在与投资者的电话会议上表示,苹果在印度的收入有所增长,创下了2018年上半年的纪录。 然而现实并没有Cook想象中那样美好,根据 Counterpoint Research 的数据,苹果在印度的市场份额仅为2%,2017年只售出了320万部 iPhone。2018年上半年,iPhone 在印度的销量不到 100 万台。即使下半年销量出现大幅增长,总销售额预计仍将低于去年。 雪上加霜的是,彭博报道称,最近几周,苹果公司在印度的三名关键高管已离职,已经离职的高管包括该公司的全国销售和分销主管、商业渠道和中型市场业务负责人,以及电信运营商销售主管。一位知情人士称,苹果在印度的销售团队正在进行重组。原因是该公司难以在印度这个全球增长最快的智能手机市场提升 iPhone 的销量。 无论未来苹果手机是否同意将印度电信管理局要求的DND软件上架App Store,iPhone在印度的日子都不会好过。印度政府推动高端电子产品的本地化生产以及随之而来的关税上调,使得大多数手机厂商面临进一步利润压力。 彭博分析称,印度市场目前处于低购买力阶段,消费者大多数只能承担得起廉价手机的成本,iPhone由于价格高昂,只能被少数人消费。   稿源:环球网科技,封面源自网络;

美国众议院致函苹果谷歌:就隐私和数据问题提出质疑

新浪科技讯 北京时间7月10日早间消息,4名美国共和党众议员周一致函苹果和谷歌母公司Alphabet CEO,希望了解与定位数据、手机隐私措施以及用户数据处理有关的问题。 众议院能源和商务委员会主席格雷格·瓦尔登(Greg Walden)和该委员会的另外3名资深共和党众议员,希望了解第三方对用户数据的获取行为,以及对录音数据的收集和使用,还包括通过iPhone和Android手机获得的定位信息。 Alphabet周一表示,该公司将会回答该委员会提出的问题。“保护我们用户的隐私和信息安全对谷歌至关重要。”该公司发言人说。 苹果发言人拒绝对此置评。该信周一由该委员会对外公布,他们表示,这些企业可能使用用户数据,包括“通过用户不希望的方式”获取定位信息和录音。 众议员的致信中引用多项报道,其中包括—— 智能手机在某些情况下会收集非触发式音频数据,以便听到“Okay Google”或“Hey Siri”等触发短语。并且第三方应用也可以获取这些信息,并在用户不知情的情况下使用这种“非触发”数据。 谷歌Android或苹果iPhone可能在未获用户许可的情况下收集音频数据。信中同时表示,该委员会“正在评估可能影响美国人隐私期望的商业行为。” 根据《华尔街日报》上周的一篇报道称,“谷歌仍然允许第三方获取用户邮件内容,包括消息文本、电子邮件签名、收据数据和个性化内容。”同时信中还肯定谷歌去年暂停为投放广告而进行的用户Gmail邮件内容扫描行为,认为这项调整对隐私和安全有利。 他们要求这两家公司在7月23日之前作出回应。 在此之前,Facebook CEO马克·扎克伯格(Mark Zuckerberg)曾于今年4月因为隐私问题出席国会听证会。   稿源:新浪科技,封面源自网络;

iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害

外媒报道称,尽管苹果在 iOS 12 中引入了大量增强的安全特性,但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会(WWDC 2018)上,苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码,节省在 Safari 等应用中手动输入表单的麻烦,从而为用户带来无缝的注册流程体验。 乍一看,这是一项能够显著提升可用性的功能,但安全专家安德烈亚斯·古特曼(Andreas Gutmann)警告称: 这样的实现,最终更可能会对建议签名和交易身份验证码(TANs)产生影响。 换言之,银行用于身份验证和签署事务的安全系统,可能会在恶意和中间人等技术攻击手段面前失效: 让用户验证这一重要信息,正是出于安全的考量。移除这一过程,会使它变得无意义。 安全码自动填充功能给网银带来的安全风险例子包括: (1)在 MacBook 上通过 Safari 浏览器访问网银的用户,可能会受到中间人攻击; (2)如有需要,可注入必要的字段标签; (3)恶意网站或应用程序,可能借此‘合法访问’网银服务。 需要用户交互的手动验证步骤,是确保网络犯罪分子无法绕过银行部署的安全功能的必备条件。 值得庆幸的是,在 iOS 12 中,苹果还是鼓励用户启用‘双因素认证’,这使得通过短信发送的验证码会相对更安全一些。 另一方面,通过绕过人类手工的验证过程,iOS 12 的安全代码自动填充功能会使之变得毫无用处、容易让用户和银行都暴露于别有用心的攻击者面前。   稿源:cnBeta,封面源自网络;

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

新浪科技讯 北京时间6月19日下午消息,一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“The Hacker News”注意到。 Regula指出,苹果的“快速查看”机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问。这个功能允许Mac用户快速地通过敲击空格键以预览上述提及信息。跟以来专门的应用不一样(比如预览PDF文件的Acrobat等),macOS可以使用OS技术“快速查看”文件。 “快速查看”的文件处理方式,这个问题在8年前就已经提到过。苹果的这个功能把缩略图缓存在未经加密的驱动其上,意味着源文件的碎片——哪怕是保存在加密存储器上的那些文件——也可能暴露在别有用心的人眼下。 “这意味着,所有你通过空格键(或用快速查看独立缓存过的)预览过的照片都作为缩略图,连同其存储路径,一并保存在该目录下,”Regula写道。 为验证其说法,Regula创建了一个概念证明,其中两个图像分别保存在两个独立的加密容器内,一个以VeraCrypt创建,另一个以macOS的加密HFS+/APES创建。研究员可以通过一个简单的指令找到这两个图像并他们各自的路径,反过来提供了原文件的微缩版本访问权限。 Wardle补充说,“快速查看”的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。他进一步指出,尽管“快速查看”漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或执法机构利用。 也就是说,苹果对这个问题进行修补其实相对容易。Wardle表示,苹果可以降级“快速查看”预览到位于外部加密容器上的文件,或者,也可以在卸载卷的时候清楚缩略图缓存。 在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除“快速预览”缓存。   稿源:新浪科技,封面源自网络;

苹果更新开发者准则:明确禁用 iPhone “挖”加密货币

新浪科技讯 北京时间6月12日早间消息,苹果公司已更新开发者准则,明确禁止“挖掘”比特币等加密数字货币。 新规称,应用不应迅速耗尽电池电量、产生过多热量、或给设备资源带来不必要的压力,而比特币“挖矿”活动中所有这些问题都会发生。苹果公司在其官网页面上写道:“应用(含应用内部显示的任何第三方广告)不得运行无关后台进程,如加密货币‘挖矿’等。” 单用一部iPhone或iPad成功“挖掘”比特币是不太可能的,因为“挖矿”非常耗电,而且需要很大的计算能力。但苹果公司此举将可预先阻止未来耗电量较小的数字货币在iOS设备上进行“挖掘”,也可阻止多台设备“池化”以达成“挖矿”目的。 苹果公司在其网站上开发者准则页面的“2.4 硬件兼容性”条目下写道:“应用设计需注意节能问题。应用不应迅速耗尽电池电量、产生过多热量、或给设备资源带来不必要的压力。应用(含应用内部显示的任何第三方广告)不得运行无关后台进程,如加密货币‘挖矿’等。” 科技博客网站Apple Insider周一率先报道了苹果公司对开发者准则的这种更新,但并未说明该公司在何时更新了这项政策。Apple Insider指出,苹果公司最初设定加密货币相关开发者准则是在2014年,此前该公司旗下应用商店以一个“未解决的问题”为由下架了Coinbase及其他加密货币应用。 iOS应用商店中有很多应用都自称能让用户利用个人设备“挖矿”,如“Crypto Coin Miner”和“Cryptocurrency Cloud Mining”等,其中后者称其能让用户“赚钱和获取加密货币,又无需大量投资或直接操作硬件或软件那么麻烦”。 比特币价格在上周末触及两个月新低,原因是一个相对较小的韩国加密货币交易所称其遭到黑客入侵。据CoinDesk数据显示,周一比特币价格在6726美元附近成交。   稿源:新浪科技,封面源自网络;

库克谈隐私问题:大多数人对隐私泄露一无所知

新浪科技讯 北京时间6月6日早间消息,苹果首席执行官蒂姆·库克于当地时间周一表示,对科技公司采取监管行为是“公平的”——尽管他可能不甚同意这种说法——因为用户隐私问题“已经完全失控”。 库克在接受美国有线电视新闻网(CNN)采访时说:“总体而言,对我来说,我不太喜欢(外界)监管。因为我认为自我监管是最好的。但当自我监管不起作用——在某些情况下不起作用时——你必须问问自己,还有什么样的监管形式才可能是好的。我认为,在当下这个时候,很多人能提出这样一个问题是非常公平合理的。” 他补充说:“我认为隐私问题已经完全失控。我认为大多数人都不知道到底是谁在跟踪他们,他们被跟踪了多少,以及有多少关于他们的详细数据被泄露了出去。” 就在库克发表评论之际,Facebook正因其处理用户数据的方式而受到抨击。这个社交网络巨头在4月份透露,其8700万用户的数据可能被共享给饱受争议的政治数据分析公司剑桥分析公司(Cambridge Analytica)。大西洋两岸的政界人士都呼吁Facebook能对这一丑闻作出回应,一些人还呼吁政府监管机构应对科技行业进行更多监管,以防止未来发生此类事件。 另外,苹果公司在最近的全球开发者大会(WWDC)上发布了其最新产品和全新功能。该公司于当地时间周一在大会上公布了最新版操作系统iOS 12的细节。苹果的市值在当天飙升,超过了之前的9400亿美元,创下历史新高——许多投资者预计,苹果公司的市值很快就会达到1万亿美元。   稿源:新浪科技,封面源自网络;