日前公布的安全白皮书和支持文档中，苹果详细的介绍了 Face ID 面部识别技术在安全方面的能力，但对是否允许开发者获取和利用 True Depth 摄像头捕捉的面部数据并未太多涉及。华盛顿邮报在近日的报道中，提供了来自隐私专家和苹果官方的说明，探讨了第三方应用如何访问那些面部数据，以及未来可能会产生的隐私问题等担忧。 苹果官方解释道，虽然并不允许第三方应用通过  Face ID 的面部数据映射来解锁设备，但是允许开发者使用 True Depth 摄像头来扫描用户面部数据，用于创建更逼真的增强现实应用。 使用 True Depth 摄像头，你的应用可以检测位置、面部拓扑、以及用户面部信息表达，所有这些面部数据都具备极高的精度且是实时的。从而方便开发者推出实时自拍效果或者使用面部数据来形成 3D 角色。 苹果提供的完整 3D 面部映射共计包含 52 个微表情，包括眼皮、嘴巴等等。由 Rinat Khanov 开发的免费应用 MeasureKit 就是利用 Ture Depth 的面部工具。 事实上在 iPhone X 发布之前，苹果已经出台了相关的隐私策略，明确第三方应用如何收集和使用 TrueDepth 摄像头。不过华盛顿邮报的 Geoffrey Fowler 担忧未来有开发者会利用面部数据来检测性别、种族，或者通过面部表达来检测诸如抑郁症等医疗症状。 稿源：cnBeta，封面源自网络；

11 月 28 日安全专家曝出了macOS High Sierra 10.13 存在严重安全威胁，即 root 账号密码为空的登陆漏洞，幸亏苹果第一时间就推送 macOS 安全更新，修复了root 账号登陆漏洞。其实在 11 月中旬有人就在苹果开发者论坛提到过相关问题，当时苹果可能并未引起重视。一位网友 Ergin 发布 Medium 读推分享了一则故事：“一周前我工作公司的 IT 员工在帮助我同事恢复本地管理员账号的时候，就发现了这一故障，他利用这一漏洞迅速恢复了账号权限。到了 11 月 23 日，公司的 IT 部门通知了苹果这一问题。他们还在苹果开发论坛上搜索了相关故障，发现在 11 月 13 日时就有人提到类似漏洞。但苹果并没有注意到。” Ergin 提到的苹果开发论坛相关故障报告帖实际上在 6 月 8 日就被发起了，一名用户在 WWDC 后更新至 macOS High Sierra beta 测试版本，他不明白为什么自己的管理员账号会变成标准账号。 许多用户也反映遇到了相同的问题。而在 11 月 13 日，chethan177 网友回复了这个帖子，提供了一个解决方案，并利用了 root 登陆账户密码空白的漏洞。这意味着这一漏洞被人发现已经至少有两周了，但并没有引起苹果和公众的注意。 随后，chethan177 网友再次回复了这一帖子，称他当时并不知道这其实是一个安全漏洞，一切似乎只是巧合。他此前遭遇了更改 Apple ID 后，管理员账户莫名其妙变成普通账户的问题。他在苹果论坛上搜索了好久，尝试了所有方法都没奏效。在极度的失望下，自己居然发现只要把账号名变成 ROOT，并且把密码留空就能得到最高权限。然后他恢复了自己账号的管理员权限，并且没有意识到这是一个安全漏洞。所以也没有向苹果报告。 稿源：cnBeta，封面源自网络；

据 11 月 30 日报道，在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后，谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置，收集用户的浏览历史数据。这一诉讼的目的，是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称，谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德（Richard Lloyd）表示，谷歌的行为“严重失信”于 iPhone  用户，这是“我经历过的最大案件”之一。 洛伊德说，“ 通过这一诉讼，我们将向谷歌和其他硅谷科技巨头发出一个强烈信号，如果我们的法律遭到践踏，我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为，单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC（英国广播公司）的声明中称，“这不是我们遭遇的第一起类似诉讼，以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义，我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中，谷歌以 2250 万美元“破财消灾”。 稿源：cnBeta，封面源自网络；

记者 11 月 29 日从北京市高级人民法院获悉，北京市高院依法对安徽钰诚控股集团、钰诚国际控股集团有限公司以及丁宁、丁甸、张敏等26人集资诈骗、非法吸收公众存款上诉一案二审公开宣判，裁定驳回上诉，维持原判。 案情回顾 2014 年 6 月至 2015 年 12 月，安徽钰城控股集团、钰城国际控股集团有限公司及其负责人丁宁等人违反国家法律规定，控制、组织、利用安徽钰诚融资租赁有限公司等多家公司，在其建立的“ e租宝 ”、“ 芝麻金融 ”等互联网平台发布虚假的融资租赁债权和个人债权项目，以承诺还本付息为诱饵，通过媒体等途径向社会公开宣传，非法吸收公众资金。 今年 3 月，最高人民检察院公诉厅厅长陈国庆表示，“ e租宝 ”案借助互联网非法吸收 115 万余人公众资金，累计人民币762 亿余元，扣除重复投资部分后非法吸收资金共计 598 亿余元。至案发，集资款未兑付共计 380 亿余元。 去年 12 月 15 日，北京市人民检察院第一分院对安徽钰城控股集团、钰城国际控股集团及丁宁等 26 名主要犯罪嫌疑人提起公诉。   今年 9 月 12 日，北京市第一中级法院依法对该案作出一审判决，对钰诚国际控股集团有限公司以集资诈骗罪、走私贵重金属罪数罪并罚，判处罚金人民币 18.03 亿元；对安徽钰诚控股集团以集资诈骗罪判处罚金人民币 1 亿元；对丁宁以集资诈骗罪、走私贵重金属罪、非法持有枪支罪、偷越国境罪数罪并罚，判处无期徒刑，剥夺政治权利终身，并处没收个人财产人民币 50 万元，罚金人民币 1 亿元；对丁甸以集资诈骗罪判处无期徒刑，剥夺政治权利终身，并处罚金人民币 7000 万元。 同时，北京市第一中级法院分别以集资诈骗罪、非法吸收公众存款罪、走私贵重金属罪、偷越国境罪，对张敏等 24 人判处有期徒刑 15 年至 3 年不等刑罚，并处剥夺政治权利及罚金。 一审宣判后，两被告单位未提出上诉，丁宁、丁甸、张敏等 23 名被告人提出上诉。 10名被告人构成集资诈骗罪 北京市高级人民法院经审理后认为，两被告单位以及丁宁、丁甸、张敏等10人以非法占有为目的，使用诈骗方法非法集资，其行为均已构成集资诈骗罪。王之焕等16人违反国家金融管理法律规定，变相吸收公众存款，其行为均已构成非法吸收公众存款罪。 法院判决认为，二被告单位及丁宁、丁甸、张敏等 26人 的非法集资行为，犯罪数额特别巨大，造成全国多地集资参与人巨额财产损失，严重扰乱国家金融管理秩序，犯罪情节、后果特别严重，应依法惩处。一审法院根据本案犯罪事实、性质、情节和对于社会的危害程度，依法所作的判决认定事实清楚、证据确实充分，定罪及适用法律正确，量刑适当，审判程序合法，遂驳回上诉，维持原判。该裁定为终审裁定。各被告人的亲属、部分集资参与人、相关使馆人员、人大代表及各界群众代表等 50 余人旁听了宣判。 据了解，二审宣判后，将由一审法院严格按照法律规定进行涉案财产的善后处置，尽快组织开展信息核实、资产变现、资金清退等各项工作。广大集资参与人可关注法院发布的相关公告和信息。 稿源：cnBeta，封面源自网络；

据外媒体报道，继优步（Uber）披露 2016 年曾掩盖影响 5700 万用户的大规模数据泄露事件后，全球多个国家政府对该公司展开了调查。11 月 30 日，Uber 对英国数据保护监督机构称，在此用户数据泄漏事件中，大约有 270 万用户受到影响，其中泄露信息包括用户名、手机号、和电子邮件地址等。据悉，这覆盖了大部分英国 Uber 用户。目前，英国 Information Commissioner’s Office（ICO）要求 Uber 尽早通知那些受影响的英国司机和用户。 这次信息泄漏事件是对 Uber 的又一次打击。早在今年 9 月份，伦敦交通运输局宣布，在本月 30 日到期后，将吊销 Uber 在伦敦的运营资格牌照。该组织称 Uber 违规审查司机的背景，并且以不适当方式获取司机健康状况。Uber 新 CEO 在上周宣称，在 2016 年信息泄漏事件发生后并没有及时披露出来。而在现行英国法律中，未及时向监管机构披露信息泄漏事实的公司将面临最高 50 万英镑的罚款。 本周三，Uber 在其网站上称，经过第三方专家确认，没有迹象表明用户的其他信息，如历史乘车记录、信用卡帐号和生日日期，有被泄漏。并表示：“我们认为司机们对于这次事件无须采取任何补救措施，因为至今为止还没有发现与此次事件相关的信息滥用事件发生，不过我们一直在监控那些受影响的用户账户并提供了额外的保护 ”。目前，Uber 已经被强制要求退出一些国家，比如丹麦和匈牙利。在美国本土也不好过，或将面临来自多个州的监管诉讼。 稿源：，稿件以及封面源自网络；

苹果 1 1月 30 日凌晨推送 macOS 安全更新，修复了 root 登陆漏洞。但随后不久，有用户发现更新安全补丁后系统的文件共享出现问题，安装苹果推送的安全更新 2017-001 Security Update for macOS High Sierra 10.13.1 ，多台 Mac 间文件共享认证失败，苹果紧急应对给出解决方案。 安装补丁后发现文件共享认证失败，多台 Mac 上都发现这个问题。打开一个其他 Mac （安装了补丁）分享的文件，当试着连接时，用户名和密码失败。 根据苹果给出的支持文件显示，在安装安全更新后出现无法访问共享文件的 macOS High Sierra 用户请参照以下步骤： 1、打开终端，在应用程序文件夹下的实用工具文件夹； 2、输入 sudo /usr/libexec/configureLocalKDC 并回车； 3、输入管理员密码并回车； 4、退出终端。经测试后，苹果的方法可以应对处理文件共享认证失败。虽然以后还是可能存在一系列的问题，但苹果相信一定会通过 macOS High Sierra 10.13.2 彻底解决。 稿源：cnBeta，封面源自网络；

据国外媒体报道，苹果 macOS High Sierra 系统被曝出现多年来最大的安全漏洞，允许未授权用户无需密码就能获得系统管理权限。此外，还有可能被黑客远程安装恶意软件或控制操作系统。 据称，该安全漏洞只要在用户登录界面中的用户名一栏输入“ root ”，其密码栏无需输入任何内容，点击确定就可以解锁系统。随后，外媒网站记者在多台不同系统版本的 Mac 计算机上进行尝试，发现该漏洞仅限于 High Sierra 版本。目前，苹果表示正在开发软件更新解决问题，并建议用户设置 root 密码来阻止未授权用户访问 Mac 电脑。 11 月 30 日 跟进报道： 苹果昨日已发布 macOS 紧急安全补丁 Security Update 2017-001 修复这一严重的安全漏洞。与此同时，苹果也通过媒体对外发表声明，就此事所带来的影响向所有 Mac 用户道歉。苹果声明如下： 安全对每一款苹果产品来讲都是至关重要的，很遗憾我们在这次的 macOS 更新上犯了错误。当我们的安全工程师在昨天下午意识到这个问题的时候，我们立刻开始着手准备更新并修补漏洞。今晨 8 点，安全更新已经推送，从现在开始补丁将自动安装在运行 macOS High Sierra 10.13.1 的系统上。我们十分遗憾出现了这个错误，我们向所有 Mac 用户道歉，既对带来这样一个漏洞表示歉意，也对带来的关注表示歉意。我们正在审核我们的开发流程，防止这种情况再次发生。 稿源：腾讯科技、cnBeta，封面源自网络；

曼哈顿地区检察官 Cy Vance 在上周发布的一份报告中称，有必要制定新的法律来强制苹果、谷歌等科技公司修改其软件，致使执法部门能够在刑事调查中解锁其获取的智能手机。 这份报告称，在搜集足够证据起诉犯罪活动时，搜索嫌疑目标的住宅、实施监控、电话窃听等传统调查手段常常收效不佳。报告表示，2014 年以后，犯罪证据大多存在于智能手机。而智能手机的设计阻止了执法部门获得其中的信息，即使执法部门有搜查令也无济于事。 近期，公民自由和支持互联网的组织对削弱智能手机加密的做法进行了谴责，称这些做法威胁到个人隐私、甚至美国国家安全和全球竞争力。 稿源：solidot奇客，封面源自网络；

据外媒报道，黑客于上周五通过垃圾流量致使美国最大的互联网管理公司之一 Dyn 系统瘫痪，有效地关闭了整个地区的服务及网站，类似 Twitter、Spotify、Etsy、Netflix 和软件代码管理服务 GitHub 这样的网站都无法访问。 调查显示，黑客此次攻击仅仅影响了美国与欧洲部分地区，其中断情况于两个小时后有所缓解。美国国土安全部表示，他们正在调查所有可能原因。安全人员透露，黑客主要利用电脑、路由器和安全摄像机等联网设备捆绑成僵尸网络，从而展开 DDoS 攻击，以致破坏 Dyn 服务器。 Dyn 位于新罕布什尔州，既是 DNS 服务提供商，也是一家互联网管理公司。主要帮助网站客户获得最佳的在线性能。同时也过滤了流向网站的恶意流量，这也是上周事情分崩离析的地方，攻击者通过压倒性的流量攻击瘫痪了 Dyn 服务。 网络安全公司 Flashpoint 表示，攻击 Dyn 的僵尸网络使用了之前攻击 Krebs 和法国网站 OVH 相同的恶意软件，而这两款恶意软件可以发起有史以来最强大的 DDoS 攻击。 稿源：cnBeta；封面来自网络；

记者日前从下一代互联网国家工程中心获悉，由该中心牵头发起的 “雪人计划” 已在全球完成 25 台 IPv6（互联网协议第六版）根服务器架设，中国部署了其中的 4 台，打破了中国过去没有根服务器的困境。 最新统计数据显示，截至 2017 年 8 月，25 台 IPv6 根服务器在全球范围内已累计收到 2391 个递归服务器的查询，主要分布在欧洲、北美和亚太地区，一定程度上反映出全球 IPv6 网络部署和用户发展情况。从流量看，IPv6 根服务器每日收到查询近 1.2 亿次。根服务器负责互联网最顶级的域名解析，被称为互联网的 “中枢神经”。美国利用先发优势主导的根服务器治理体系已延续近 30 年。在过去的 IPv4（互联网协议第四版）体系内，全球共 13 台根服务器，唯一主根部署在美国，其余 12 台辅根有 9 台在美国，2 台在欧洲，1 台在日本。 工程中心主任刘东对新华社记者说，这个治理体系一方面造成了全球互联网关键资源管理和分配极不均衡；另一方面，缺乏根服务器使各国抵御大规模 “ 分布式拒绝服务 ” 攻击能力不足，为各国互联网安全带来隐患。此外，随着互联网接入设备数量增长，原有 IPv4 体系已经不能满足需求，IPv6 协议在全球开始普及。刘东介绍说，工程中心抓住这个历史机遇，于 2013 年联合日本和美国相关运营机构和专业人士发起“雪人计划”，提出以 IPv6 为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。 据悉，在与现有 IPv4 根服务器体系架构充分兼容基础上，“ 雪人计划 ”于 2016 年在美国、日本、印度、俄罗斯、德国、法国等全球 16 个国家完成 25 台 IPv6 根服务器架设，其中 1 台主根和 3 台辅根部署在中国，事实上形成了 13 台原有根加 25台 IPv6 根的新格局，为建立多边、民主、透明的国际互联网治理体系打下坚实基础。 稿源：cnBeta、新华社；封面来自网络