标签: 苹果

俄罗斯监管机构要求苹果就将VK应用从 App Store 下架一事作出答复

在苹果公司将VKontakte从应用商店中删除后,俄罗斯监管机构表示,这将损害其公民之间的沟通,并要求苹果公司做出解释。VKontakte是俄罗斯最大的社交网络应用。在苹果公司于9月28日下架该应用后,俄罗斯监管机构Roskomnadzor对该行动提出异议,称其具有”歧视性”。 该应用背后的公司VK周一就此事发布了一份声明,并表示被删除的其他应用包括Mail.ru、VK Music和Youla classified。声明说,这些应用程序将继续在兼容的设备上工作,只是从App Store上被删除。不过,用户可能会在通知和支付等功能上遇到问题。 移除VK应用后,苹果公司表示,它正在遵守来自英国因俄罗斯入侵乌克兰而实施的制裁命令,这些被制裁方拥有或控制的开发者在俄罗斯境外,他们的开发者账户被苹果终止,因为这显然是在规避国际制裁,所有地方的苹果用户都受到这一决定的影响,而不仅仅是在俄罗斯的客户。 正如路透社周三的一份报告所指出,Roskomnadzor是俄罗斯与美国科技巨头对接的主要监管机构。它此前迫使苹果公司从应用程序商店中删除一个反对派领导人的应用程序,但在俄乌战争爆发后才恢复。 2015年,Roskomnadzor还要求苹果公司将在俄罗斯境内产生的iCloud数据托管在该国,Roskomnadzor对Telegram、微软、Google和其他公司实施了类似的监管。 2022年2月,苹果公司在俄罗斯开设了第一个公司办公室,3月,在俄罗斯政府入侵乌克兰后,苹果公司停止了在该国的所有在线销售工作(仅提供维修所需零部件),迄今尚未恢复。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1321929.htm 封面来源于网络,如有侵权请联系删除

苹果发布 iOS 和 macOS 更新以修复积极利用的零日漏洞

Hackernews 编译,转载请注明出处: 苹果发布了新一轮安全更新,以解决iOS和macOS中的多个漏洞,其中包括一个新的零日漏洞,该漏洞曾在野外攻击中使用。 该漏洞被追踪为CVE-2022-32917,根源于内核组件,可能使恶意应用程序能够以内核权限执行任意代码。 “苹果知道有报告称,该漏洞可能被积极利用。”这家iPhone制造商在一份简短声明中承认,并补充说,它通过改进绑定检查解决了该漏洞。 一位匿名研究人员报告了这一漏洞。值得注意的是,CVE-2022-32917也是苹果在不到一个月的时间内修复的第二个与内核相关的零日漏洞。 补丁适用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6版本。iOS和iPadOS更新包括iPhone 6s及以上、iPad Pro(所有型号)、iPad Air 2及以上、iPad第5代及以上、iPad mini 4及以上和iPod touch(第 7 代)。 自今年年初以来,苹果已经解决了7个积极利用的零日漏洞和一个公开的零日漏洞: CVE-2022-22587 (IOMobileFrameBuffer)- 恶意应用程序可能能够以内核权限执行任意代码 CVE-2022-22594(WebKit存储)- 网站可能能够跟踪敏感的用户信息(公开但未被积极利用) CVE-2022-22620(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-22674(英特尔显卡驱动程序)- 应用程序可能能够读取内核内存 CVE-2022-22675(AppleAVD)- 应用程序可能能够以内核权限执行任意代码 CVE-2022-32893(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-32894(内核)- 应用程序可能能够以内核权限执行任意代码 除了CVE-2022-32917之外,苹果还修复了iOS 16中的10个安全漏洞,包括联系人、内核地图、MediaLibrary、Safari和WebKit。iOS 16更新还加入了一种新的锁定模式,旨在使零点击攻击更加困难。 iOS还引入了一种称为快速安全响应的功能,使用户可以在iOS设备上自动安装安全补丁,而无需完整的操作系统更新。 苹果在周一发布的修订支持文件中表示:“在它们成为未来软件更新中其他改进的一部分之前,快速安全响应可以更快地提供重要的安全改进。” 最后,iOS 16还支持Safari网页浏览器中的密钥,这是一种无密码登录机制,允许用户通过Touch ID或Face ID进行身份验证来登录网站和服务。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究发现 Google 追踪 39 种个人数据,苹果追踪 12 种

新的研究称,在五大科技公司中,Google追踪的用户隐私数据比其他公司都多,而苹果追踪的数据最少。此前,苹果公司专门推出了《应用程序跟踪透明度》指引,以保护用户的隐私不受其他公司的影响。然而,一份新的报告称,苹果也在避免自己做任何超过运行其服务所需的追踪,据StockApps.com报道,苹果”是最有隐私意识的公司”。 研究人员评价:”苹果只存储维护用户账户所需的信息,这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而,它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动,在Google的案例中,还包括Gmail中的电子邮件。 研究报告没有详细说明其方法,但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中,Google跟踪每个用户的39个独立数据点,而苹果只跟踪12个。出乎意料的是,Facebook却只追踪14个数据点,而亚马逊追踪23个,Twitter追踪24个。 StockApps.com的Edith Reads说:”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策,这些政策可能有几页长。结果,用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络,如有侵权请联系删除

苹果安全漏洞登上热搜第一,涉及 iPhone、iMac 等

8月20日,苹果又一次登上微博热搜榜第一。这一次,与黑客有关!此前,在2020年,一名来自Google公司的资深信息安全研究员称,发现了苹果手机等设备存在重大漏洞,无需接触你的手机就可以获取你的一切信息。 iPhone、iMac等产品存严重安全漏洞 据美联社20日报道,美国苹果公司当地时间本周三发布两份安全报告,两份报告披露,公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。 这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。 苹果公司呼吁用户下载最新更新,修补漏洞 在周三发布的安全更新中,苹果表示:该漏洞可能已被用于攻击行为。 具体是什么样的漏洞呢? “这就是我们所说的零日漏洞,也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司(Mandiant)的高级威胁情报顾问杰米·科利尔(Jamie Collier)介绍道。 据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中,手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro,以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。 当地时间8月19日,苹果公司呼吁用户立刻下载最新更新,以修补漏洞。目前在苹果官网上,苹果依然宣称“生产市场上最安全的移动设备”。 2020年,Google研究人员曾曝光iPhone隐私漏洞 2020年12月5日,《今日俄罗斯》网站以及多家国外科技网站报道称,一名来自Google公司的资深信息安全研究员,发现了苹果手机等设备存在重大漏洞,无需接触你的手机就可以获取你的一切信息。 按照这位研究人员的说法,这个漏洞的关键是苹果公司一个简称为AWDL的网络协议。当前苹果手机、平板、手表等设备都在使用这项网络协议,例如,苹果用户可以通过AirDrop轻松将照片和文件传输到其他苹果设备,就是基于这个AWDL协议完成的。 利用这个漏洞,Google的研究人员花了6个月的时间,成功控制了隔壁房间的一台苹果手机。入侵过程只要2分钟左右,就可以访问手机上的所有数据,包括浏览信息、下载照片,甚至打开摄像头和麦克风进行监视和监听。 研究人员说,入侵的黑客不仅不用触碰设备,还可能从来都没有见过他所入侵的设备。更可怕的是,即使用户关闭了AWDL协议,但黑客依旧有办法重新打开它。不仅是苹果手机,苹果的其他设备也能通过这个方法被“掌控”。 研究人员说,虽然他一个人花了半年的时间才入侵成功。但用户并不能掉以轻心,这个过程对一个黑客团队来说,会容易得多。苹果方面已经在2020年5月新系统中修复了这个漏洞。但是Google的研究人员表示,苹果公司即便修复后也没有告知用户这个漏洞,整个过程,用户完全不知情。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1306861.htm 封面来源于网络,如有侵权请联系删除

苹果网络流量诡异绕道俄罗斯

7月26日至7月27日,在12个小时的时间里,苹果(Apple)的互联网流量诡异绕道俄罗斯网络设备。 在为互联网路由公益组织MANRS(路由安全共同协定规范)撰写的一篇文章中,Internet Society高级互联网技术经理Aftab Siddiqui表示,7月26日,俄罗斯电信(Rostelecom)开始发布苹果部分网络的路由——这种操作通常被称为BGP(边界网关协议)劫持。 BGP就是将多个网络粘到一起形成互联网的粘合剂。但是,这么重要的协议,却很容易遭遇欺骗。当自治系统(由单个实体管理的一组网络,AS)发布不属于自身的IP地址组(IP前缀)的路由时,如果没有过滤掉这些恶意路由声明,互联网流量通常就会适应这些路由。 有些不良路由声明是偶发的,是配置错误之类无心之失的结果,但有些就纯属恶意了。 例如,2018年,网络窃贼通过BGP劫持干扰亚马逊的Route 53 DNS服务,并将互联网流量从加密货币网站重定向到托管在俄罗斯的网络钓鱼站点。 Siddiqui称,苹果的网络流量重定向开始于世界标准时间7月26日21点25分,当时俄罗斯电信的AS12389网络开始发布17.70.96.0/19,这是苹果17.0.0.0/8地址块的一部分,通常作为更大的17.0.0.0/9地址块的一部分加以发布。 GRIP Internet Intel(GA Tech)和BGPstream.com(Cisco Works)都检测到了这一路由变更,后者还将此地址块标识为AS714 APPLE-ENGINEERING, US。整个过程持续了12个小时多点。 苹果没有回应媒体的置评请求,英国科技媒体The Register也未发现该公司就其网络流量被劫持事件发表了什么公开声明。 “目前尚不清楚哪些服务受到此次事件的影响。”Siddiqui说道,“除非我们从苹果或其他研究人员那里获悉更多细节,否则我们只能猜测。” Siddiqui表示,俄罗斯电信(AS12389)曾参与过之前的BGP劫持,并强调称,网络运营商会根据可靠信息实施有效路由过滤,从而阻止此类恶行。 The Register向MANRS询问自其帖子发布以来是否有人从苹果那里听到过任何消息,MANRS发言人回答说:“我们尚未从苹果那里听到关于这个问题的任何消息。MANRS团队正私下联系相关人士,了解有关此事件的更多信息。” 2020年,尽管非常清楚事实并非如此,Cloudflare还是创建了网站“Is BGP safe yet?”(网站名称意为“BGP安全了吗?”)而就在本文提交发布之时,这个问题的答案仍旧是“不安全”。 转自 安全内参,原文链接:https://www.secrss.com/articles/45297 封面来源于网络,如有侵权请联系删除

俄罗斯运营商曾试图劫持苹果公司的部分互联网流量达 12 小时之久

在大约12个小时的时间里,俄罗斯的Rostelecom公司多次试图将苹果服务的用户导向自己的服务器,甚至尝试对抗苹果工程师应用的反制措施。Rostelecom是俄罗斯最大的互联网供应商,在超过12小时的时间里,它多次试图劫持用于苹果服务的流量。 目前还不能确定这是一个故意的尝试还是一个互联网配置错误,但Rostelecom做了所谓的虚假路由公告,可以使互联网连接到其服务器而不是苹果的服务器。 MANRS是一个致力于”减少最常见的路由威胁”的组织,它说俄罗斯在7月26日和7月27日期间出现了劫持流量的问题。 用户从不选择通往服务器的具体路由,他们只是试图访问一项服务,而路由是在幕后进行的。MANRS说,实际上,Rostelecom的服务器声称是通往广泛的苹果服务的路由。 该组织的全篇文章研究了所有公开的关于这次攻击的信息,并详细说明了苹果公司必须采取的一些措施来打击它。 MANRS写道:”当一个网络宣布的路由没有被有效的路由来源授权(ROA)所覆盖时,在路由劫持期间,唯一的选择是宣布更具体的路由。这正是苹果工程公司今天所做的事情”。 大约12小时后,Rostelecom停止了发送虚假的路由公告。 “我们还不知道苹果公司有任何信息表明哪些(如果有的话)苹果服务受到了影响,”MANRS继续说道。”我们也没有看到来自Rostelecom的任何信息,即这是一个配置错误还是一个故意的行为。” 在路由受到攻击的这段时间里,苹果服务没有出现停机,投诉也没有明显的增加。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1298093.htm 封面来源于网络,如有侵权请联系删除

Apple 为所有设备发布安全补丁,修复数十个新漏洞

Hackernews 编译,转载请注明出处: 周三,苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁,以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞,这些漏洞跨越iOS和macOS中的不同组件,从权限提升到任意代码执行,从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294,这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞,该漏洞在针对Chrome浏览器用户的真实攻击中被利用。但是,没有证据表明针对iOS,macOS和Safari的漏洞进行了疯狂的零日利用。 除了 CVE-2022-2294 之外,这些更新还解决了影响 Apple Neural Engine (CVE-2022-32810、CVE-2022-32829 和 CVE-2022-32840)、音频 (CVE-2022-32820)、GPU 驱动程序 (CVE-2022-32821)、ImageIO (CVE-2022-32802)、IOMobileFrameBuffer (CVE-2022-26768)、内核(CVE-2022-32813 和 CVE-2022-32815) 和 WebKit (CVE-2022-32792)的几个任意代码执行漏洞。 此外,还修补了影响内核的指针身份验证绕过 (CVE-2022-32844)、ImageIO 组件中的 DoS 错误 (CVE-2022-32785),以及 AppleMobileFileIntegrity 和文件系统事件中的两个权限提升漏洞(CVE-2022-32819 和 CVE-2022-32826)。 最新版本的 macOS 解决了 SMB 模块中的五个安全漏洞,恶意应用可能会利用这些漏洞来获得提升的权限、泄露敏感信息以及使用内核权限执行任意代码。 建议 Apple 设备的用户更新到 iOS 15.6、iPadOS 15.6、macOS(Monterey 12.5、Big Sur 11.6.8 和 2022-005 Catalina)、tvOS 15.6 和 watchOS 8.7,以获得最新的安全防护。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

苹果将推出新安全功能“封锁模式”,可保护设备免受间谍软件攻击

当地时间7月6日,苹果公司宣布,计划在iOS 16、iPadOS 16和macOS Ventura中引入一种新模式Lockdown Mode(封锁模式),以保护高风险用户免受 “高度针对性的网络攻击”。 目前,该功能旨在应对带有国家背景的监控软件如Pegasus、DevilsTongue、Predator和Hermit,即将推出的系统更新的测试版中可以预览该功能。 封锁模式默认关闭,可以通过进入设置>隐私和安全>封锁模式来打开。 苹果公司在声明中称,启用封锁模式后,将强化手机设备防御并严格限制某些功能,大幅减少可能被间谍软件利用的攻击面。 被限制的功能包括:阻止除图片以外的大多数信息附件类型、禁用信息中的链接预览;使及时(JIT)JavaScript编译失效、取消对照片共享相册的支持、阻止来自未知号码的FaceTime来电。 当iPhone被锁定时,其他限制会切断与电脑或配件的有线连接,并且禁止安装配置文件,这一功能精彩被用来绕过App Store的侧载应用程序。 苹果还表示,它计划日后在封锁模式中加入更多的对策,同时邀请安全研究专家来发掘高危漏洞,符合标准的人将有资格获得高达200万美元的漏洞赏金。 一个月前,苹果在iOS 16和macOS Ventura中首次推出快速安全响应功能,该功能可以帮助用户在不更新完整操作系统版本的前提下,部署安全修复。 谷歌和Meta也提供类似的软件功能,称为高级账户保护和Facebook保护,旨在保护那些处于 “高攻击风险 “的个人账户,使其免受接管攻击的影响。未来,谷歌也可能在安卓系统中更新类似功能。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/338587.html 封面来源于网络,如有侵权请联系删除

库克致信参议院:敦促美国国会批准隐私保护立法草案

北京时间6月11日凌晨消息,苹果公司首席执行官蒂姆库克今天致信美国参议院,商业、科学运输委员会主席Maria Cantwell(D-WA)和美国众议院委员会主席Frank Pallone(D-NJ)。库克主张在联邦层面制定强有力的隐私立法。这封信似乎是对一项名为“美国数据隐私和保护法”的拟议两党法案的回应,该法案有关公司可以从个人那里收集的数据类型以及他们如何使用这些数据。 库克在信中表示,苹果将继续支持联邦层面的努力,为消费者建立强有力的隐私保护。库克重申了苹果的信念,即隐私是一项基本人权。库克表示,虽然苹果努力保护用户隐私,但“只有国会才能为所有美国人提供强有力的隐私保护。” 库克信函全文如下: 尊敬的Cantwell和Pallone主席以及Wicker和Mc Morris Rodgers的高级成员: 感谢您在隐私立法方面的持续工作。苹果继续支持联邦层面的努力,为消费者建立强有力的隐私保护,我们对你们办公室提出的提案草案感到鼓舞。 我们认识到有待解决的悬而未决的问题,但协议的领域似乎远大于分歧。您的草稿将为消费者提供实质性保护,我们写信是为了为实现这一共同目标提供强有力的支持。通过您的工作,再加上拜登总统呼吁更好地保护儿童隐私,美国人似乎比以往任何时候都更接近于获得有意义的隐私保护。 在苹果,我们相信隐私是一项基本人权。这就是为什么我们一直倡导全面的隐私立法,并尽可能为这一过程做出贡献。这也是我们始终构建默认情况下保护用户及其信息的产品和功能的原因。为此,我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制其使用方式的透明度以及构建强大的系统来保护我们所有的用户数据来做到这一点。产品与服务。 尽管苹果将继续创新和开发保护用户数据的新方法,但只有国会才能为所有美国人提供强有力的隐私保护。不幸的是,这项重要立法的持续缺失将使隐私权的拼凑方法永久存在,这使得太多人没有我们希望通过您的努力看到的严格标准。 我们强烈敦促您尽快推进全面的隐私立法,我们随时准备在未来几天协助这一进程。   转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/2022-06-11/doc-imizirau7723380.shtml 封面来源于网络,如有侵权请联系删除

2021 年,苹果阻止了 160 万个欺诈用户的应用程序

Bleeping Computer 网站披露,2021 年,苹果 App Store 应用审核团队封杀了超过 34.3 万个违反隐私规定的 iOS应用程序,另外还有 15.7 万个应用程序因试图误导或向 iOS 用户发送垃圾邮件而被拒绝。 值得一提的是,苹果公司表示,有 34500 个应用程序因使用了未记录或隐藏功能,从而禁止在 App Store上获得索引。不仅如此,苹果还删除了 15.5 万个采用诱导性策略的应用程序。 整个 2021 年,应用程序审查团队“下架了”超过 160 多万个有风险或有漏洞的应用程序。 苹果公司在一份欺诈预防分析报告中宣称,前年,App Review 团队拒绝或删除了近 100 万个有问题的新应用程序和近 100 万个应用更新。 苹果公司表示,公司的目标是致力于使 App Store 成为值得用户信赖的地方,其保护客户免受欺诈的努力需要多个团队的监测和警惕,这些团队集中在应用审查,发现欺诈等几个领域。 去年,Avast 的研究人员发现,被称为 fleeceware 的欺诈性应用程序仍然是 iOS 应用商店的一个大问题。这类应用程序往往以免费试用为借口,引诱客户,之后就会要求用户每年支付数千美元的订阅费用。 Avast 表示,在苹果和谷歌的应用商店中,大约有 200 个这样的软件应用程序,预计产生了超过 4 亿美元的利益。 一年前,Sophos 的研究人员同样发现了几十个 fleeceware 应用程序, iOS 用户大约下载了 368 万次,使其成功跻身 App Store 最畅销应用程序之列。 阻止了 15 亿美元的潜在欺诈性交易 苹果公司表示,整个 2021 年,它保护其客户免受约 15 亿美元的潜在欺诈性交易。另外,还阻止了 330 多万张被盗卡在苹果在线商店平台上的使用,并禁止了近 60 万个账户在其平台上进行交易。 苹果公司强调,没有什么数据比用户的财务信息更敏感,这就是为什么 Apple 投入巨资,创建类似 Apple Pay 和 StoreKit 等更安全的支付技术。 据统计,超过 905000 个应用程序使用了这些技术在 App Store 上销售商品和服务。使用 Apple Pay,用户的信用卡号码永远不会与商家共享,这很好的消除了支付交易过程中产生的风险因素。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335320.html 封面来源于网络,如有侵权请联系删除