标签: 苹果

法国对苹果公司处以 800 万欧元罚款,后者表示会上诉

Bleeping Computer 网站披露,法国数据保护机构(CNIL)对苹果公司处以 800 万欧元的罚款,原因是其未经用户同意,在 App Store 上收集用户数据,投放定向广告。 据悉,苹果的做法违反了《法国数据保护法》(DPA)第 82 条,即电子通信服务访问或在用户终端设备中输入信息(如存储 cookie)的任何行为都需要征得用户同意。值得一提的是,此前 Facebook 和谷歌也违反过此条款,2 者的网站访问者很难找到拒绝跟踪 cookies 的选项,为此,CNIL 分别对 Facebook 和谷歌处以 6000 万欧元和 1.5 亿欧元的罚款。 对于苹果公司收集信息并用于广告导致被罚一事,CNIL 表示,用户必须采取 “大量步骤” 才能在“设置” 应用程序的“隐私”部分中关闭广告,大多数用户都不知道该怎么做,也不会费心费力寻找。 此外,CNIL 发现,在 iPhone 旧版 14.6 操作系统中,当用户访问 App Store 时,包括 App Store 广告个性化在内的特定“目的”标识符,默认情况下会在终端上自动读取,而无需征得用户同意。 CNIL 建议苹果应该将该选项“隐藏”在设置菜单中,只要它在设备首次设置时提示用户同意 App Store 跟踪即可,但在 iOS 14.6 版本中并非如此。目前,苹果已经解决了这个问题,iOS 的更新版本适用数据保护法律中处理用户同意事项的条款。 苹果不服,后续会上诉 虽然苹果已经解决了“定向广告投放”问题,但是 CNIL 仍对其罚款了 800 万欧元。对于被罚一事,苹果法国公司发言人表示,公司正在计划对 CNIL 的处罚提起上诉。 苹果公司发布了以下声明: 此前,CNIL 已经承认 App Store 在提供搜索广告的方式时优先考虑了用户隐私,因此苹果公司对处罚感到失望,之后将提出上诉。 Apple Search Ads 为用户提供了他们是否想要个性化广告的明确选择,在这方面比任何其它数字广告平台都走得更远。此外,Apple Search Ads 从不在第三方应用程序和网站上跟踪用户,只使用第一方数据进行个性化广告。 最后,苹果公司也始终坚持隐私是用户的基本人权,用户有权决定是否与谁分享其个人数据。     转自 Freebuf,原文链接:https://www.freebuf.com/articles/354472.html 封面来源于网络,如有侵权请联系删除

苹果公司声称新版 iMessage 可以提醒用户是否有间谍在窃听

苹果公司新的iOS和iCloud安全倡议包括一种新的方式,让iMessage用户验证他们是否在与他们认为的人交谈。该公司声称,新的iMessage联系人密钥验证将让那些”面临特殊数字威胁”的人,如记者、活动家或政治家,确保他们的对话不会被劫持或窥探。 根据周三的一份新闻稿,如果iMessage对话中的两个人都启用了该功能,那么如果”一个特别先进的对手,例如国家支持的攻击者,曾经成功突破云服务器并插入他们自己的设备来窃听这些加密的通信”,他们就会收到警报。 他们还能够通过其他方式如安全电话或亲自会面来比较联系密钥,以确保他们实际上是在与对方而不是未知的第三方进行对话。这类事情长期以来一直是安全方面的最佳做法,无论你是验证下载的软件是否合法,还是为电子邮件对话设置PGP加密。 一个记者或政治家收到这个通知很可能是一个非常不好的信号,但总比不知道发生了这种情况要好。 苹果公司承认,iMessage已经成为一些国家安全机构的目标,虽然iMessage长期以来一直是端对端加密的,但也有一些注意事项和事件可能促使该平台最敏感的用户去寻找其他安全的信息应用,如Signal或WhatsApp。记者们的手机被国家层面的间谍软件盯上,可能是为了读取他们的信息。 正如批评者(包括马克-扎克伯格)所指出的,发送和接收的信息也可能包括在iCloud备份中,这取决于你或与你交谈的人的某些设置。到目前为止,这些信息并不是完全端对端加密的,所以如果苹果真的需要的话(例如法院传票要求),它可以得到你的信息。 苹果正在以其他方式解决这个问题–周三的公告还包括iCloud的高级数据保护,它为那些iCloud备份增加了端对端加密。 虽然不完全清楚iMessage联系人密钥验证是否能够帮助你的手机被高级间谍软件完全占领(尽管苹果最近推出了一个极端的锁定模式,以帮助那些可能被这些东西盯上的人),但对于希望使用iMessage进行最敏感对话的人来说,这绝对是一个进步。 然而,值得注意的是,在这一点上,iMessage仍然是一个使用苹果设备与其他使用苹果设备的人交谈的平台,许多批评者说这是该公司平台锁定战略的一部分(也是跨平台支持的其他安全信息应用如此受欢迎的部分原因)。有迹象表明,监管机构可能希望迫使苹果公司开放iMessage,该公司在理论上可以辩称,这样做会破坏对一些最脆弱用户的重要安全保护。 那么问题来了,如果你依靠iMessage来保证你的安全,那么你转而使用其他手机的可能性有多大?   转自 cnbeta,原文链接:https://www.toutiao.com/article/7174503859681919488/ 封面来源于网络,如有侵权请联系删除

苹果曝严重漏洞,可窃听用户与 Siri 对话

据The Hacker News 10月27日消息,在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞,使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。 应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞,编号为 CVE-2022-32946。 Rambo表示,在使用 AirPods 或 Beats 等设备时,只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关,该服务用于支持 Siri 和听写功能,从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序,且不会显示麦克风的访问请求。 而在 macOS 系统上,该漏洞可能被滥用以完全绕过TCC用户隐私保护框架,这意味着任何应用程序都可以记录用户与 Siri 的对话,且无需请求任何权限。 Rambo表示,造成这一漏洞的原因是由于缺乏对 BTLEServerAgent 的权利检查,BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务。 目前该漏洞已通过系统更新补丁得到修复,涉及的产品包括iPhone8及之后的所有机型;所有的iPad Pro;iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。 转自 Freebuf,原文链接:https://www.freebuf.com/news/348108.html 封面来源于网络,如有侵权请联系删除

苹果修复了今年第 9 个积极利用的零日漏洞

Hackernews 编译,转载请注明出处: 自今年年初以来,苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827,是一个越界写入漏洞,攻击者可以利用该漏洞以内核特权执行任意代码。 一位匿名研究人员向苹果报告了该漏洞,该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。 苹果公司发布的公告中写道:“苹果公司知道一份报告称,这个漏洞可能被积极利用。” 该漏洞影响了iPhone 8及更高版本、iPad Pro(所有型号)、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。 建议苹果用户立即更新其设备,以减少遭受攻击的风险。 自1月份以来,苹果已经解决了其他8个零日漏洞,下面是已修复问题的列表: 2022 年 1 月:CVE-2022-22587和CVE-2022-22594 2022 年 2 月:CVE-2022-22620 2022 年 3 月:CVE-2022-22674和CVE-2022-22675 2022 年 5 月:CVE-2022-22675 2022 年 8 月:CVE-2022-32894 2022 年 9 月:CVE-2022-32917   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄罗斯监管机构要求苹果就将VK应用从 App Store 下架一事作出答复

在苹果公司将VKontakte从应用商店中删除后,俄罗斯监管机构表示,这将损害其公民之间的沟通,并要求苹果公司做出解释。VKontakte是俄罗斯最大的社交网络应用。在苹果公司于9月28日下架该应用后,俄罗斯监管机构Roskomnadzor对该行动提出异议,称其具有”歧视性”。 该应用背后的公司VK周一就此事发布了一份声明,并表示被删除的其他应用包括Mail.ru、VK Music和Youla classified。声明说,这些应用程序将继续在兼容的设备上工作,只是从App Store上被删除。不过,用户可能会在通知和支付等功能上遇到问题。 移除VK应用后,苹果公司表示,它正在遵守来自英国因俄罗斯入侵乌克兰而实施的制裁命令,这些被制裁方拥有或控制的开发者在俄罗斯境外,他们的开发者账户被苹果终止,因为这显然是在规避国际制裁,所有地方的苹果用户都受到这一决定的影响,而不仅仅是在俄罗斯的客户。 正如路透社周三的一份报告所指出,Roskomnadzor是俄罗斯与美国科技巨头对接的主要监管机构。它此前迫使苹果公司从应用程序商店中删除一个反对派领导人的应用程序,但在俄乌战争爆发后才恢复。 2015年,Roskomnadzor还要求苹果公司将在俄罗斯境内产生的iCloud数据托管在该国,Roskomnadzor对Telegram、微软、Google和其他公司实施了类似的监管。 2022年2月,苹果公司在俄罗斯开设了第一个公司办公室,3月,在俄罗斯政府入侵乌克兰后,苹果公司停止了在该国的所有在线销售工作(仅提供维修所需零部件),迄今尚未恢复。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1321929.htm 封面来源于网络,如有侵权请联系删除

苹果发布 iOS 和 macOS 更新以修复积极利用的零日漏洞

Hackernews 编译,转载请注明出处: 苹果发布了新一轮安全更新,以解决iOS和macOS中的多个漏洞,其中包括一个新的零日漏洞,该漏洞曾在野外攻击中使用。 该漏洞被追踪为CVE-2022-32917,根源于内核组件,可能使恶意应用程序能够以内核权限执行任意代码。 “苹果知道有报告称,该漏洞可能被积极利用。”这家iPhone制造商在一份简短声明中承认,并补充说,它通过改进绑定检查解决了该漏洞。 一位匿名研究人员报告了这一漏洞。值得注意的是,CVE-2022-32917也是苹果在不到一个月的时间内修复的第二个与内核相关的零日漏洞。 补丁适用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6版本。iOS和iPadOS更新包括iPhone 6s及以上、iPad Pro(所有型号)、iPad Air 2及以上、iPad第5代及以上、iPad mini 4及以上和iPod touch(第 7 代)。 自今年年初以来,苹果已经解决了7个积极利用的零日漏洞和一个公开的零日漏洞: CVE-2022-22587 (IOMobileFrameBuffer)- 恶意应用程序可能能够以内核权限执行任意代码 CVE-2022-22594(WebKit存储)- 网站可能能够跟踪敏感的用户信息(公开但未被积极利用) CVE-2022-22620(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-22674(英特尔显卡驱动程序)- 应用程序可能能够读取内核内存 CVE-2022-22675(AppleAVD)- 应用程序可能能够以内核权限执行任意代码 CVE-2022-32893(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-32894(内核)- 应用程序可能能够以内核权限执行任意代码 除了CVE-2022-32917之外,苹果还修复了iOS 16中的10个安全漏洞,包括联系人、内核地图、MediaLibrary、Safari和WebKit。iOS 16更新还加入了一种新的锁定模式,旨在使零点击攻击更加困难。 iOS还引入了一种称为快速安全响应的功能,使用户可以在iOS设备上自动安装安全补丁,而无需完整的操作系统更新。 苹果在周一发布的修订支持文件中表示:“在它们成为未来软件更新中其他改进的一部分之前,快速安全响应可以更快地提供重要的安全改进。” 最后,iOS 16还支持Safari网页浏览器中的密钥,这是一种无密码登录机制,允许用户通过Touch ID或Face ID进行身份验证来登录网站和服务。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究发现 Google 追踪 39 种个人数据,苹果追踪 12 种

新的研究称,在五大科技公司中,Google追踪的用户隐私数据比其他公司都多,而苹果追踪的数据最少。此前,苹果公司专门推出了《应用程序跟踪透明度》指引,以保护用户的隐私不受其他公司的影响。然而,一份新的报告称,苹果也在避免自己做任何超过运行其服务所需的追踪,据StockApps.com报道,苹果”是最有隐私意识的公司”。 研究人员评价:”苹果只存储维护用户账户所需的信息,这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而,它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动,在Google的案例中,还包括Gmail中的电子邮件。 研究报告没有详细说明其方法,但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中,Google跟踪每个用户的39个独立数据点,而苹果只跟踪12个。出乎意料的是,Facebook却只追踪14个数据点,而亚马逊追踪23个,Twitter追踪24个。 StockApps.com的Edith Reads说:”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策,这些政策可能有几页长。结果,用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络,如有侵权请联系删除

苹果安全漏洞登上热搜第一,涉及 iPhone、iMac 等

8月20日,苹果又一次登上微博热搜榜第一。这一次,与黑客有关!此前,在2020年,一名来自Google公司的资深信息安全研究员称,发现了苹果手机等设备存在重大漏洞,无需接触你的手机就可以获取你的一切信息。 iPhone、iMac等产品存严重安全漏洞 据美联社20日报道,美国苹果公司当地时间本周三发布两份安全报告,两份报告披露,公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。 这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。 苹果公司呼吁用户下载最新更新,修补漏洞 在周三发布的安全更新中,苹果表示:该漏洞可能已被用于攻击行为。 具体是什么样的漏洞呢? “这就是我们所说的零日漏洞,也就是在公司发现并能够做出回应之前,已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司(Mandiant)的高级威胁情报顾问杰米·科利尔(Jamie Collier)介绍道。 据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中,手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro,以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。 当地时间8月19日,苹果公司呼吁用户立刻下载最新更新,以修补漏洞。目前在苹果官网上,苹果依然宣称“生产市场上最安全的移动设备”。 2020年,Google研究人员曾曝光iPhone隐私漏洞 2020年12月5日,《今日俄罗斯》网站以及多家国外科技网站报道称,一名来自Google公司的资深信息安全研究员,发现了苹果手机等设备存在重大漏洞,无需接触你的手机就可以获取你的一切信息。 按照这位研究人员的说法,这个漏洞的关键是苹果公司一个简称为AWDL的网络协议。当前苹果手机、平板、手表等设备都在使用这项网络协议,例如,苹果用户可以通过AirDrop轻松将照片和文件传输到其他苹果设备,就是基于这个AWDL协议完成的。 利用这个漏洞,Google的研究人员花了6个月的时间,成功控制了隔壁房间的一台苹果手机。入侵过程只要2分钟左右,就可以访问手机上的所有数据,包括浏览信息、下载照片,甚至打开摄像头和麦克风进行监视和监听。 研究人员说,入侵的黑客不仅不用触碰设备,还可能从来都没有见过他所入侵的设备。更可怕的是,即使用户关闭了AWDL协议,但黑客依旧有办法重新打开它。不仅是苹果手机,苹果的其他设备也能通过这个方法被“掌控”。 研究人员说,虽然他一个人花了半年的时间才入侵成功。但用户并不能掉以轻心,这个过程对一个黑客团队来说,会容易得多。苹果方面已经在2020年5月新系统中修复了这个漏洞。但是Google的研究人员表示,苹果公司即便修复后也没有告知用户这个漏洞,整个过程,用户完全不知情。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1306861.htm 封面来源于网络,如有侵权请联系删除

苹果网络流量诡异绕道俄罗斯

7月26日至7月27日,在12个小时的时间里,苹果(Apple)的互联网流量诡异绕道俄罗斯网络设备。 在为互联网路由公益组织MANRS(路由安全共同协定规范)撰写的一篇文章中,Internet Society高级互联网技术经理Aftab Siddiqui表示,7月26日,俄罗斯电信(Rostelecom)开始发布苹果部分网络的路由——这种操作通常被称为BGP(边界网关协议)劫持。 BGP就是将多个网络粘到一起形成互联网的粘合剂。但是,这么重要的协议,却很容易遭遇欺骗。当自治系统(由单个实体管理的一组网络,AS)发布不属于自身的IP地址组(IP前缀)的路由时,如果没有过滤掉这些恶意路由声明,互联网流量通常就会适应这些路由。 有些不良路由声明是偶发的,是配置错误之类无心之失的结果,但有些就纯属恶意了。 例如,2018年,网络窃贼通过BGP劫持干扰亚马逊的Route 53 DNS服务,并将互联网流量从加密货币网站重定向到托管在俄罗斯的网络钓鱼站点。 Siddiqui称,苹果的网络流量重定向开始于世界标准时间7月26日21点25分,当时俄罗斯电信的AS12389网络开始发布17.70.96.0/19,这是苹果17.0.0.0/8地址块的一部分,通常作为更大的17.0.0.0/9地址块的一部分加以发布。 GRIP Internet Intel(GA Tech)和BGPstream.com(Cisco Works)都检测到了这一路由变更,后者还将此地址块标识为AS714 APPLE-ENGINEERING, US。整个过程持续了12个小时多点。 苹果没有回应媒体的置评请求,英国科技媒体The Register也未发现该公司就其网络流量被劫持事件发表了什么公开声明。 “目前尚不清楚哪些服务受到此次事件的影响。”Siddiqui说道,“除非我们从苹果或其他研究人员那里获悉更多细节,否则我们只能猜测。” Siddiqui表示,俄罗斯电信(AS12389)曾参与过之前的BGP劫持,并强调称,网络运营商会根据可靠信息实施有效路由过滤,从而阻止此类恶行。 The Register向MANRS询问自其帖子发布以来是否有人从苹果那里听到过任何消息,MANRS发言人回答说:“我们尚未从苹果那里听到关于这个问题的任何消息。MANRS团队正私下联系相关人士,了解有关此事件的更多信息。” 2020年,尽管非常清楚事实并非如此,Cloudflare还是创建了网站“Is BGP safe yet?”(网站名称意为“BGP安全了吗?”)而就在本文提交发布之时,这个问题的答案仍旧是“不安全”。 转自 安全内参,原文链接:https://www.secrss.com/articles/45297 封面来源于网络,如有侵权请联系删除

俄罗斯运营商曾试图劫持苹果公司的部分互联网流量达 12 小时之久

在大约12个小时的时间里,俄罗斯的Rostelecom公司多次试图将苹果服务的用户导向自己的服务器,甚至尝试对抗苹果工程师应用的反制措施。Rostelecom是俄罗斯最大的互联网供应商,在超过12小时的时间里,它多次试图劫持用于苹果服务的流量。 目前还不能确定这是一个故意的尝试还是一个互联网配置错误,但Rostelecom做了所谓的虚假路由公告,可以使互联网连接到其服务器而不是苹果的服务器。 MANRS是一个致力于”减少最常见的路由威胁”的组织,它说俄罗斯在7月26日和7月27日期间出现了劫持流量的问题。 用户从不选择通往服务器的具体路由,他们只是试图访问一项服务,而路由是在幕后进行的。MANRS说,实际上,Rostelecom的服务器声称是通往广泛的苹果服务的路由。 该组织的全篇文章研究了所有公开的关于这次攻击的信息,并详细说明了苹果公司必须采取的一些措施来打击它。 MANRS写道:”当一个网络宣布的路由没有被有效的路由来源授权(ROA)所覆盖时,在路由劫持期间,唯一的选择是宣布更具体的路由。这正是苹果工程公司今天所做的事情”。 大约12小时后,Rostelecom停止了发送虚假的路由公告。 “我们还不知道苹果公司有任何信息表明哪些(如果有的话)苹果服务受到了影响,”MANRS继续说道。”我们也没有看到来自Rostelecom的任何信息,即这是一个配置错误还是一个故意的行为。” 在路由受到攻击的这段时间里,苹果服务没有出现停机,投诉也没有明显的增加。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1298093.htm 封面来源于网络,如有侵权请联系删除