标签: Apple

iOS 应用程序有望从新提议的 Security.plist 标准中受益

本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。 (题图 via ZDNet) Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。 实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。 我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。 遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。 为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。 不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。 不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。   (稿源:cnBeta,封面源自网络。)

当iPhone用户滚动Facebook提要时,Facebook将秘密使用用户的相机

Facebook 又一个隐私问题曝光?iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时,由于存在一个bug,屏幕左侧会出现一个小细条用来摄像,这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现,但是iOS 12不受影响。 Maddux补充说,他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题,但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机(不是说它没有被使用),” Maddux说。 TNW的人员注意到,仅当用户授予Facebook应用程序对您的相机的访问权限时,才会出现此问题。 在撰写本文时,仍不清楚该问题是否是预期的行为,该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说,iOS应用程序开发人员可以利用该漏洞,通过启动用户的前置和后置摄像头,来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ,iPhone用户永远不会收到任何通知。 据专家分析,当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的  配置文件  以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞

苹果已经修补了之前在iTunes和Windows版iCloud中被发现的Bonjour漏洞,以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在Windows中执行,看起来它是一个受信任的应用程序。精心设计的攻击者可以利用iTunes和Bonjour数字签名,绕过系统针对恶意软件的防护。 发现该漏洞的安全研究公司Morphisec表示,BitPaymer恶意软件正在使用攻击媒介感染系统。 不过,更新到iTunes 12.10.1的Windows系统不会再遭受此类攻击威胁。 目前尚不清楚该漏洞何时被引入,但苹果最近更新的适用于Windows的iTunes和iCloud已经能够阻止攻击。   (稿源:cnBeta,封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:,稿件以及封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:,稿件以及封面源自网络。)

只需发送一条短信 黑客就能成功入侵你的 iPhone

正在拉斯维加斯举办的黑帽安全峰会上,来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。 这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。所以最糟糕的情况就是有黑客利用这些错误来伤害用户。Silanovich与Project Zero成员SamueLGroß合作发现这些漏洞,通过逆向工程之后在iMessage中发现了多个可利用的漏洞。 出现这些漏洞的原因是因为iMessage提供了一系列通信选项和功能,例如Animojis和Apple Pay等等,这必然带来了更多的BUG和漏洞。这个无交互漏洞允许黑客从用户的信息中提取信息。这个漏洞还允许攻击者向目标发送特制的文本内容,偷换SMS短信或者图片中的内容。 虽然iOS通常具有阻止攻击的保护措施,但这个漏洞利用了系统的底层逻辑,因此iOS的防御措施将其解释为合法。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和黑客组织的青睐。 Silanovich发现,这些漏洞在暗网上价值可能达到数千万美元。 Silanovich表示:“在像iMessage这样的程序中会有很多额外的攻击。个别错误相当容易修补,但你永远无法找到软件中的所有错误,你使用的每个库都将成为一个攻击面。因此,设计问题相对难以修复。”   (稿源:cnBeta,封面源自网络。)

苹果并不绝对安全 iPhone 可能泄露企业 WiFi 密码

网易科技讯 9月27日消息,许多企业都青睐苹果设备,其中一部分原因就是苹果公司的iPhone和Mac在安全方面有着出色的表现。 就在上周,福布斯杂志透露民主党全国委员会(民主党全国委员会)正在放弃Android,转而使用iOS设备,因为人们担心在中期选举中出现黑客攻击行为。 但苹果设备并不完美。 研究人员周四声称,他们发现了一种通过苹果的产品窃取商业Wi-Fi和应用密码的新方法。 他们破解了苹果旨在帮助公司管理和保护iPhone和Mac的技术。 最近被思科以23.5亿美元收购的安全公司Duo Security的研究人员称,软件漏洞问题在于苹果的设备注册计划(DEP)的开放性。 他们发现,通过在DEP系统中注册恶意设备,可以窃取Wi-Fi密码和更多内部商业机密。 利用Apple的开放性 虽然研究人员利用了苹果的注册技术,但iPhone制造商苹果确实支持在DEP上注册iPhone时的用户身份验证。 但苹果并不绝对要求用户证明他们是谁。 这取决于使用技术的公司对实名注册是否有要求。 注册iPhone设备后,研究人员需要在独立的移动设备管理(MDM)服务器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的服务中。 当使用苹果技术的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM服务器上设置的,真实设备的已注册DEP序列号。 研究人员说,这可以通过员工的社会工程检索来获取,也可以检查人们经常发布序列号的MDM产品论坛。 最传统的“暴力破解”方法也可行,计算机可以在DEP上搜索所有可能的数字,直到它击中正确的数字,这是效率最低的一种选择。 然后,攻击者可以使用所选的序列号在MDM服务器上注册他们的恶意设备,并作为合法用户出现在目标公司的网络上。 据研究人员称,随后他们就可以检索受害者业务中的应用程序和Wi-Fi密码。 但是有一个重要的警告:攻击者必须抢在合法员工之前将他们的设备注册到公司的MDM服务器上。 因为MDM服务器每个序列号只能注册一次。 但这可能性实际上还是很大的。 本周晚些时候在布宜诺斯艾利斯举行的Ekoparty会议期间提出攻击技术的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索过去90天内生产的所有设备的序列号。 他告诉福布斯杂志:“你找到尚未注册的设备绝对是可行的。“ 不要放弃MDM 巴克莱补充道:“总的来说,这并不意味着你不应该使用DEP或MDM。这些服务提供的好处超过了具有的风险。但苹果和客户可以采取措施来减少这种风险。” 在一篇论文中,研究人员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上使用加密技术,在注册DEP时唯一识别该设备。 他们补充说,苹果也可以采用更强大,强制性的身份验证。 巴克莱说,袭击方法是在5月向苹果报道的。 苹果没有透露是否会因研究成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些攻击没有利用苹果产品中的任何漏洞。 发言人表示,苹果关于注册设备的说明手册是建议开启身份验证的,许多MDM提供商建议或要求采取此类安全措施。 但巴克莱认为,苹果公司将进行更新以防止此类攻击。 “我不能代表他们计划做什么,但我相信会做出一些改变。”   稿源:网易科技,封面源自网络;

苹果下周发布软件更新,修复 Messages 恶意链接 Bug

经外媒 MacRumors 证实,苹果宣布将于下周发布软件更新来修复 Messages 应用链接的死机 BUG。据悉下周除了 iOS 11.2.5 版本之外,苹果还会推出 macOS High Sierra 10.13.3, watchOS 4.2.2 以及 tvOS 11.2.5,来修复这个恶意链接 BUG。 这条恶意链接 BUG 最早于本周二在 Twitter 上曝光,当 iPhone、iPad、Mac 设备的 Messages 应用接受到包含下面这条链接的信息之后,就会导致设备出现死机,进入无法使用的状态。 软件开发人员阿巴拉海姆·马斯里( Abraham Masri )日前发现了一处漏洞,可导致 iPhone 和 Mac 死机或重启。这处漏洞被称为“ chaiOS ”,被马斯里发布到编程网站 GitHub 上。同时,马斯里还发布了一个被称为“ text bomb ”(文本炸弹)的链接。点击该链接后,可导致 iPhone 和 Mac 死机,有时还会重启。 据悉,通过消息应用程序发送该链接给他人时,就会激活该漏洞,甚至是在接收方并未点击该链接的情况下。对于 Mac 计算机,该漏洞会导致 Safari 浏览器崩溃。 稿源:cnBeta.com,封面源自网络  

恶意软件 Fireball 已感染 2.5 亿台电脑,或将引发全球网络安全危机

据外媒 6 月 1 日报道,知名网络安全公司 Check Point 发现一个疑似由中国企业 Rafotech 支持的恶意软件 Fireball ,允许黑客操控受害者浏览器、更改搜索引擎并窃取用户私人数据。目前,该恶意软件已感染 2.5 亿台电脑,或将引发全球网络安全危机。 恶意软件 Fireball 远离合法服务器,具有运行代码、下载文件、安装插件、更改计算机配置与监视用户等功能,甚至还可作为一款高效的恶意软件释放器。 调查显示,印度 2530 万台设备( 10.1% )、巴西 2410 万台设备( 9.6% )、墨西哥 1610 万台设备( 6.4% )、印度尼西亚 1310 万台设备( 5.2% )与美国 550 万台设备( 2.2% )均遭受恶意软件感染,影响范围波及全球 20% 企业网络。 Check Point 表示,该恶意软件与一家声称为 3 亿客户提供数字营销与游戏应用的中国企业 Rafotech 存有潜在联系。恶意软件 Fireball 可通过 “ 浏览器劫持 ” 将自身捆绑至看似合法的软件上进行传播,致使用户无法更改受感染设备上的浏览器主页、默认搜索引擎。 调查显示,恶意软件利用 Rafotech  “ Deal WiFi ” 、“ Mustang Browser ” 、“ Soso Desktop ” 与 “ FVP Imageviewer ” 等产品软件进行附带传播。此外,Rafotech 还可利用虚假域名、垃圾邮件、甚至从黑客手中购买插件等方法传播该恶意软件。对此,Rafotech 目前尚未发表任何评论。 安全专家表示,用户可以使用一些简单的方法检查设备是否感染恶意软件 Fireball。首先,打开浏览器检查是否能将其更改为另一款搜索引擎,如 Chrome、Firefox 或 Explorer ;其次,检查默认搜索引擎是否也可进行更改。最后,扫描所有浏览器扩展程序。倘若无法修改上述选项,则表示该设备已感染恶意软件 Fireball。 目前,安全专家建议受影响用户从 Windows 控制面板中的程序与功能卸载恶意软件或使用 Apple 设备 “ 应用程序 ” 文件夹中的 Finder 功能从 PC 端删除该恶意软件。此外,受影响用户应将浏览器恢复为默认设置。 原作者:Jason Murdock,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。