苹果公司近期承认在 iOS 11 系统的控制中心中选择关闭 WiFi 和蓝牙功能而实际并未完全关闭的事实遭到非盈利数字权利机构 EFF 的批评。据悉，用户在控制中心关闭 WiFi 和蓝牙功能之后，运行 iOS 11 的 iPhone 和 iPad 就会和 WiFi 网络或蓝牙配件断开连接，但是事实上 WiFi 和蓝牙无线还是处于活跃状态。 调查显示，WiFi 和蓝牙功能会在每天当地时间凌晨 5 点自动激活，用户重启设备之后也是默认是激活状态。苹果此举是为了 AirDrop、 AirPlay、 Apple Pencil、 Apple Watch、 Location Services 以及类似于 Handoff和Instant Hotspot 的连接功能。 EFF 认为苹果的这种做法存在 “误导”，并对用户安全造成了不良影响。EFF批评道：“手机在设计中除了 UI 方面之外，更为重要的是安全和隐私问题。如果用户无法通过视觉或者文本描述来理解设备的行为，那么必然会降低用户对操作系统的认可。用户对操作系统的以来就像是防盗门一样提供安全和隐私的保护，不管他们使用什么应用或者设备连接，这种信任才是基础。” 稿源：cnBeta，封面源自网络；

据相关媒体 10 月 6 日报道称，中国银监会近期在公司生产、开发、测试等环境中，内部核实 SSD 固态硬盘的使用情况，其中还特意指出台湾主控芯片供货商 SMI 慧荣科技的 SM2246EN、SM2256、SM2258 三种型号产品。对此，慧荣科技负责人表示，公司产品设计与相关质量管控一向恪遵包含中国在内各相关销售市场的要求，以及国际间的标准规范；公司 SSD 固态硬盘数据的存储与读出，并无自主对外联系的功能，其功能与传统硬盘无异，主控绝无开后门漏洞之风险。 以下是慧荣科技声明： 1. 本公司产品的安全性为本公司自设立以来奉行不违的圭臬，因此长久以来深受中国与国际客户的信任与采用。此外，本公司产品设计与相关质量管控一向恪遵包含中国在内各相关销售市场的要求，以及国际间的标准规范。 2. 针对“流言消息”之疑点，本公司严肃并谨慎对待此一“流言消息”。本公司藉此重申，本公司所设计制造的 SSD 主控晶（芯）片，是为消费型与工业用途的固态硬盘（盘）产品所设计，功能均为接收主机（Host）读写指令，对闪存执行数据的存储与读出，并无自主对外联系的功能，其功能与传统硬盘无异，绝无“流言消息”所提及之风险。 3. 本公司对于所生产的所有产品秉持全面负责之态度，任何本公司客户或相关主管机关具体指出本公司产品有异于业界协议之处，本公司均以积极负责及公开的态度调查。但本公司亦于此强烈谴责未经求证之传言报导，或仅引用媒体报导就散发无法可经由查证而得以澄清之流言的恶劣市场竞争行为，对于不实的指控本公司保留一切法律追诉权利。 4. 本公司一直以来本着诚信、正直、专注、服务的企业文化，戮力于 SSD 主控的设计开发，以最安全及最高质量主控方案为原则，将最好的产品方案提供给存储巿场伙伴，也已得到中国与全球各大品牌商客户的认同与使用。截至目前为止，本公司已销售超过 1 亿颗的 SSD 主控，尚无任何一件因慧荣主控而发生的资料安全危机事件。本公司今后将继续本着遵循中国及其他各地区所制定之资安标准以及相应的验证程序提供产品。然本公司再次声明，慧荣科技遵守本分、绝无法律灰色地带，做好每一个主控芯片产品，并配合有关单位澄清相关疑虑，但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。 稿源：cnBeta、网易科技，封面源自网络；  

近日，联合国贸易和发展会议（下称“贸发会议”）在日内瓦发布的《 2017 数字化、贸易与发展报告 》显示，随着电子支付手段重要性不断增加，全球支付卡的使用比重 2019 年前将下降到 46%，原因是电子钱包等其他付款方式正变得越来越重要。统计数据显示，使用信用卡和借记卡支付的金额 2014 年仍然占到电商领域全部支付金额的一半以上。 贸发会议秘书长基图伊（Mukhisa Kituyi）出席了发布会并指出，在全球范围内，经济活动的数字化被推上了一个快速道，值得注意的是，数字经济正在发展中国家迅速扩张。基图伊表示：“增长最快的发展中国家在互联网的包容性方面也占据了最大的份额。在 2012 年到 2015 年之间第一次上网的 7.5 亿人当中，有近 90% 来自中国和印度。” 中国方面，根据互联网研究机构易观国际日前发布报告，今年二季度，中国第三方移动支付市场规模达 230408.2 亿元，环比增长 22.5%。 易观分析认为，相较于一季度春节期间仅有社交支付对行业规模的带动，二季度电商等行业受益于营销等因素影响，交易规模增幅明显，带动了第三方支付整体交易规模的提升。此外，金融类交易增长较快等因素进一步带动了互联网在线支付行业整体交易规模的增长。龙头互联网支付厂商对于网络支付使用场景继续向纵深开拓，网贷、理财、游戏、教育等平台用户活跃度明显提高，新用户增量明显。 与此同时，印度的移动支付市场也在蓬勃发展。市场普遍认为，去年印度政府废除大面额纸币的行动是印度移动支付的契机，印度人正逐步开始接受移动支付。普华永道报告显示，印度移动支付市场规模在 2016 年为 500 亿美元，到 2020 年会达到 5000 亿美元规模，印度市场有足够的发展空间。截至目前，谷歌、Facebook、阿里巴巴、软银等国际巨头已纷纷通过不同方式进入印度移动支付市场。谷歌近日在印度正式发布了为印度量身打造的移动支付应用 Tez，同时支持苹果和安卓双系统，并与本地商家展开大量合作，通过补贴的方式吸引用户。 稿源：cnBeta、第一财经，封面源自网络；

据外媒报道，巴西软件开发者 Matheus Mariano  于近期发现 macOS High Sierra 系统存在重大安全漏洞，系统的磁盘工具直接将加密 APFS 宗卷密码明文显示出来。随后，苹果于 10 月 6 日发布了 macOS High Sierra 补充更新。 调查显示，在创建加密 APFS 宗卷时，设置密码以及提示，卸载并重新挂起这个分区，会弹出提示，要求用户输入密码。这时，点击显示密码提示功能后，明文密码会直接显示，而不是刚才设置的密码提示。经过测试发现，2016 款 MacBook Pro 运行 macOS High Sierra 10.13 以及10.13.1 测试版时，这个 Bug 依然存在。这个问题只影响配备了 SSD 的 Mac，因为目前 APFS 只支持 SSD。此外，Bug 与磁盘工具有关，因为使用终端创建加密 APFS 宗卷时，不会直接显示密码。 正因为发生了如此重大的安全 Bug，苹果才立刻决定推出 High Sierra 补充更新解决问题。与此同时，苹果也修复了 macOS High Sierra 安装包，这意味着新安装的 High Sierra 不会出现这样的问题。不得不说，这次直接明文显示密码的 Bug，实在太耐人寻味了。 苹果发布了 macOS High Sierra 10.13 补充更新，这也是自 macOS High Sierra 正式版上个月发布之后，迎来的首个更新。macOS High Sierra 10.13 补充更新可以通过 Mac App Store 完成更新。macOS High Sierra 10.13 补充更新修复了可以将加密的 APFS 文件密码在磁盘工具中暴露为明文的安全问题。苹果还分享了一份支持文档，帮助用户保护 macOS High Sierra 系统中的数据。在升级之前，macOS High Sierra 的磁盘工具会将密码直接明文显示，原本显示的应该是密码提示。 由于硬盘已经是加密的 APFS ，想要修复这个 bug，过程比较麻烦，包括安装补充升级，对受影响的分区进行备份，抹掉磁盘，重新格式化为 APFS，然后转换成加密的 APFS，并最终将数据恢复。这次升级还修复了钥匙串中密码可能被第三方引用轻松偷取等问题。High Sierra 10.13 补充更新还修复了使用 Adobe InDesign 时光标图形错误，并解决了无法从“邮件”中的雅虎账户中删除电子邮件的问题。 稿源：cnBeta、MacX，封面源自网络；

相关媒体于 3 日从我国高性能计算领军企业中科曙光获悉，为解决数据通信安全问题，中科曙光与国科量子通信网络有限公司近日联合研发出我国基于量子通信的云安全一体机。然而，作为面向未来的一种新型计算方式，随着全球范围内对量子计算的进一步深入探索，将对现代信息保密体系带来很大冲击的量子计算机或将在不远的将来变成现实。 “ 面对同一个大数分解难题，经典计算机需 15 万年才能破解，而量子计算机应用 Shor 算法只需 1 秒。一旦拥有足够计算能力的量子计算机研制成功，进入使用阶段，现有的基于大数分解的 RSA 密钥（一种主流的非对称密钥）将不堪一击，无密可保。”中科曙光公司副总裁曹振南表示，面对量子计算的冲击，发展可实现 “无条件安全” 的量子通信产业迫在眉睫。 曹振南介绍，量子通信云安全一体机集成了基于量子通信的密钥管理系统和安全运营平台，搭载了基于量子通信的云计算操作系统。重点提供与量子保密通信深度融合的云计算操作系统和云存储服务平台，并针对量子保密通信的应用场景提供基于自主知识产权的、从底层硬件到上层应用服务的云服务解决方案。 目前，我国在量子通信领域的技术能力已跻身世界前列，在国际上取得了一批具有重大原创水平的科技成果。与此同时，我国产业界在核心技术及关键器件生产、网络部署及应用、知识产权积累方面也进行了积极部署，包括量子网络、中科曙光等在内的中科院系背景的科研团队和企业成为中流砥柱。 稿源：cnBeta、新华社，封面源自网络；

美国征信巨头 Equifax 上个月披露 1.43 亿美国公民的个人敏感信息泄露，本周一该公司将这一数字再增加 250 万至 1.45 亿人。Equifax CEO Richard Smith 已因此事辞职。然而，这位前 CEO 于本周二出席了众议院能源和商务委员会下属小组委员会举行的听证会，透露了这家公司在网络安全方面所采取的 “恐怖” 故事。 攻击者是在今年 5 月利用已修复的 Apache Struts 软件漏洞入侵系统，而 Equifax 是在 7 月 29 日发现黑客的活动，Smith 承认他直到 7 月 31 日才首次听到可疑活动的报告。随后，8 月 2 日雇佣律所 King & Spalding 的网络安全专家调查此事，8 月 17 日收到简报，22 日通知董事长，24 日和 25 日董事会全都收到了简报。Smith 将入侵原因归咎于 “人为错误”，某位知道系统需要打补丁的雇员未能通知相应的 IT 团队。 Smith 声称他的公司采取了多种保护数据的技术，但用户的敏感个人信息就是明文保存的，没有加密。在披露黑客入侵之后，Equifax 设立了一个专门的域名让用户检查自己的信息有没有被窃取，多名议员询问为什么 Equifax 不在自己的主网站设立一个入口让用户检查，Smith 的解释是核查网站流量太大会拖垮整个网站，显然他对网站相关的技术不太了解。 稿源：solidot奇客，封面源自网络；

据路透社报道，一个由美国立法议员组成的团体于本周三公布了一项法案，将详细调查美国国家安全局（NSA）无保证的互联网监督计划，努力为美国公民提供额外的隐私保护措施。据悉，该法案将在当地正式推出。由众议院司法委员会撰写的法案被公民自由团体视为国会改革 “外国情报监察法(FISA)” 第 702 条款的最佳机会。 “ 外国情报监察法（FISA）” 第 702 条款允许美国情报机构窃取和存储来自美国境外的外国嫌疑犯的大量数字通信信息。但是，该计划的分类细节在 2013 年遭举报人爱德华·斯诺登揭露，称美国 NSA 大规模搜集个人信息等。然后，美国联邦调查局可以在没有搜查令的情况下对这些通信进行搜索。 据路透社透露，该法案的一个讨论稿部分限制了美国联邦调查局根据第 702 条款收集美国公民数据的能力，要求该机构在寻找犯罪证据时获得搜查令。然而，这一限制不适用于涉及反恐或反间谍活动的数据请求。FISA 法案将于 2017 年 12 月 31 日过期。如果新修正案获得通过，将被授权有 6 年的有效期，这意味着美国国家安全局可能在 2023 年可能恢复活动。 稿源：cnBeta，封面源自网络；

俄罗斯联邦安全局局长博尔特尼科夫 4 日在俄罗斯克拉斯诺达尔市举行的第十六届情报机构领导人会议上发表声明，宣称极端组织 “伊斯兰国” 在叙利亚和伊拉克受挫后，正联合其他国际恐怖组织计划建立新的全球恐怖主义网络。 第十六届情报机构领导人会议会期两天，共有来自全球一些国家以及国际、地区组织的 116 个代表团参加会议。 博尔特尼科夫指出，这些极端组织正有针对性向中东以外地区渗透，妄图在一些不稳定地区制造新热点。此外，他们还运用信息通信技术，借助互联网建立通信渠道，管理分支机构和个人并组织 “ 黑客部队 ”。据悉，世界正面临来自恐怖分子的更多网络攻击。 稿源：、新华社，稿件以及封面源自网络；

雅虎母公司美国电信巨头威瑞森（Verizon）3 日表示，所有 30 亿雅虎用户的个人信息被泄露，这一数字是去年 12 月公布的 3 倍。据悉，2016 年 12 月 14 日，还未被威瑞森完成收购的雅虎发布声明称，曾在 2013 年 8 月被黑客袭击，导致超过 10 亿用户信息泄露。 受此全球最大信息泄露事件的影响，雅虎用户失窃资料包括用户姓名、电子邮件地址、电话号码、出生日期和加密密码等。支付卡与银行账户资料没有储存在被攻击系统内，未遭殃及。威瑞森表示，自 2013 年 8 月拥有雅虎账户的用户其个人信息都有可能被泄露。雅虎已在去年提醒所有用户更改密码、让未加密的安全问题和答案作废等保护措施。 2017 年 6 月 13 日，威瑞森以 44.8 亿美元完成对雅虎核心资产的收购。雅虎财经、搜索引擎、网络广告工具和网络服务等核心业务与威瑞森拥有的美国在线（AOL）旗下约 50 家媒体和科技品牌组成一个新的数字媒体公司 Oath，但雅虎邮箱等原有品牌的名字得以继续保留。 Oath 新闻发言人查尔斯-斯图尔特没有说明如何得到这一数据，但表示公司的安全团队发现问题后着手调查，并在一周内完成调查。威瑞森首席信息安全官麦克马洪表示，威瑞森将继续与执法机构合作，致力于打造最高标准的问责制和透明度，并在不断变化的网络威胁中为用户提供安全保护。 稿源：、中国新闻网，稿件以及封面源自网络；

据外媒报道，被运行 Linux、FreeBSD、OpenBSD、NetBSD 和 macOS 的设备广泛使用的软件包 Dnsmasq 发现了 7 处新漏洞，其中三个允许黑客远程代码执行漏洞，编号为 CVE-2017-14493 的漏洞允许攻击者绕过防御在设备上执行任意代码。 Dnsmasq 提供了代码简化了联网设备使用 DNS 和动态主机配置协议通信，它包含在 Android 和大多数 Linux 发行版中，以及其它操作系统和路由器固件中。目前，Dnsmasq 开发者已经释出了 v2.78 修复了这些漏洞。Android 只受到其中一个不严重的 bug 的影响，补丁已经随 10 月份的安全更新释出。开源固件项目 DD-WRT 也已经释出补丁修复了相关漏洞。 稿源：solidot奇客，封面源自网络；