据外媒AppleInsider报道，目前，苹果和谷歌正在与德国和法国官员就iOS系统的安全技术问题以及如何存储接触者追踪数据的问题展开“对峙”。这两家科技巨头在4月10日宣布了一项联合倡议，将开发一个跨平台、系统级的接触者追踪框架–这种方法可以追踪并可能缓解COVID-19的传播。全球各国都在探索类似的技术，但欧洲的几个国家正在与苹果和谷歌就如何去做这件事产生分歧。 据路透社报道，由于苹果和谷歌周五拒绝了法国和德国的要求，要求他们支持自己国家的努力，或者放宽这两家科技公司正在构建的严格的隐私限制，因此，关于接触者追踪隐私问题的紧张对峙在周五升级。 这场对峙是由两大因素引发的。其一，苹果的iOS软件有一个安全功能，禁止通过蓝牙发送数据的应用在后台使用短程通信协议。如果不具备在后台运行的能力，接触者追踪应用就会受到严重阻碍，因为用户将被要求保持应用打开和手机解锁。4月早些时候，法国官员曾敦促苹果在iOS中放弃这一限制，让自己的联系人追踪应用能够正常运行。 能够在后台使用蓝牙追踪智能手机用户是否与COVID-19检测呈阳性的人接触过，是苹果和谷歌的接触者追踪系统的核心功能之一，该系统将成为公共卫生机构可以用来构建自己的应用程序的框架。但苹果和谷歌要求开发者以分散的方式处理数据，在收到COVID-19检测呈阳性之前，任何信息都不能离开用户的设备。这两家公司似乎都不愿意在这些协议上动摇。 “这些隐私原则不会改变，”苹果公司全球隐私总监Gary Davis说。”它们是基本的隐私原则，是实现这一目标所需要的。” 这就是导致对峙的另一个因素。法国和德国，以及英国的国家卫生局显然选择了集中式的接触者追踪解决方案，将用户数据存储在中央服务器上。因为这样一来，他们将无法使用苹果和谷歌的API，这让这些应用又回到了后台蓝牙的问题上。如果没有这个关键功能，数字接触者追踪措施的效果就会受到严重怀疑。而欧洲当局则对此表示不满。一位法国官员表示，欧盟国家 “完全被谷歌和苹果所挟持”。 苹果和谷歌周五宣布了有关其接触者追踪努力的细化技术细节，实际上，该计划将于4月28日提前推出。   （稿源：cnBeta，封面源自网络。）

根据安全公司Check Point Research公布的最新季度《品牌网络钓鱼报告》，苹果依然是网络钓鱼诈骗者最惯用的品牌，而去年第四季度的排名是第七位。Check表示：“部分原因是新款Apple Watch的预期发布，诈骗者利用在线预热发起了数次钓鱼攻击”。 和去年第三/四季度相比，针对移动平台的网络钓鱼已经成为第二大常见攻击媒介。Check Point推测这可能是由于人们现在比以往任何时刻都依赖通过智能手机来获取信息，而新冠疫情的影响让更多人困在家中。 报告中指出，网络钓鱼在2020年第一季度的钓鱼攻击类型中占比达到59%，主要针对以下品牌的消费者： Apple Netflix PayPal eBay 移动网络钓鱼攻击，主要针对以下品牌 Netflix Apple WhatsApp Chase 为了避免自己成为受害者，报告建议采取以下步骤： ● 确认您使用的是真实网站或正在从真实网站订购。一种方法是不单击电子邮件中的促销链接，而是通过谷歌搜索零售商并直接从Google结果页中单击链接。 ● 另外，提防特别优惠。有一些常识可以知道，最新款iPhone的80％折扣并不是一个可靠或值得信赖的机会。 ● 最后，请尝试留意电子邮件或网站以及不熟悉的电子邮件发件人的拼写错误。   （稿源：cnBeta，封面源自网络。）

Safari将在今年晚些时候不再接受新的长效HTTPS证书，也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛（CA / Browser）会议上宣布了该政策。从2020年9月1日开始，任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任，而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略，苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响，他们需要调整接下来的证书运营策略，确保其证书满足苹果的要求，否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰（Tim Callan）参加了本周在斯洛伐克举行的会议，他证实了这一消息：“本周，苹果在第49届CA/浏览器论坛宣布，他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限，即825天，从而无需对这些证书采取任何措施。” 苹果，谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题，该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性，并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量，短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点，通过增加证书替换的频率，苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过，“公司可以依靠自动化来协助证书的部署，更新和生命周期管理，以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如，Let’s Encrypt发行了免费的HTTPS证书，这些证书通常会在90天后过期，并提供了自动续订的工具，如今它们已在整个Web上使用。   （稿源：cnBeta，封面源自网络。）

近日腾讯刀锋（Tencent Blade）安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞，允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个，编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753，所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0（麦哲伦）是一组存在于SQLite的漏洞。它由Tencent Blade Team发现，并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中，因此该漏洞影响十分广泛。经测试，Chrome浏览器也受此漏洞影响，目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文，除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外，苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中，通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan（麦哲伦）”。根据SQLite的官方提交记录，麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞，攻击者可以在用户电脑上远程运行恶意代码，导致程序内存泄露或程序崩溃。 目前，Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时，Tencent Blade Team也提醒用户及时关注系统与软件更新通知，需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71，也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器，都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium，因此仍会受到影响。 另外，虽然并不支持Web SQL，但Firefox也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的SQLite数据库，因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议，使用Chromium系产品的团队，请尽快更新至官方稳定版本71.0.3578.80，如果使用产品中涉及SQLite，请更新到3.26.0. 另外，如暂时没有条件采用官方提供的修补方案，也有一些应急建议方案： 关闭SQLite中的fts3功能； 禁用WebSQL：编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范，目前仅有Chrome、Safari支持。 最后，验证方法：重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源：cnBeta，封面源自网络。）

本月初，安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准，并将其命名为 Security.plist 。它的灵感，来自于已经非常流行的 Security.txt 标准。其想法是，应用程序制造商需要创建一个名为 security.plist 的属性列表文件，并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息，以便向开发者汇报安全漏洞。 （题图 via ZDNet） Rodriguez 表示，Security.plist 的想法，其实来自于 Security.txt 。作为网站上的一个类似标准，其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组（IETF）的带动下展开标准化制定工作，但已经被业界广泛采用，并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员，能够通过一种轻松的方式，与站方取得联系。 实际上，Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议，与它此前的经历有很大关系。 我大部分时间，都是在 App 中闲逛，从而发现了许多漏洞。但迄今为止，我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下，我必须撰写一封邮件，发送到类似 info@company.com 企业邮箱，或在官网联系页面填写表格。 遗憾的是，这些渠道中的大多数，都是与不专业的商务或营销人员对接。他们可能不知道如何应对，甚至不明白问题的严重程度。 为了解决这个痛点，Rodriguez 提议，大家不妨在应用程序根目录中留下一份 plish 文档，并在其中备注适当的联系方式，以便轻松沟通和高效率地解决问题。 不过目前，他也只是提出了这个想法，并且希望听取应用开发商的意见，而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示：“目前我已经听取了大量的反馈，可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早，但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错，Rodriguez 没有立即让苹果推广 security.plist 的强制标准，毕竟实际执行起来也是一个麻烦。 不过为了促进发展，他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件，然后将之包含在自己的 App 中。   （稿源：cnBeta，封面源自网络。）

Facebook 又一个隐私问题曝光？iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时，由于存在一个bug，屏幕左侧会出现一个小细条用来摄像，这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现，但是iOS 12不受影响。 Maddux补充说，他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题，但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机（不是说它没有被使用），” Maddux说。 TNW的人员注意到，仅当用户授予Facebook应用程序对您的相机的访问权限时，才会出现此问题。 在撰写本文时，仍不清楚该问题是否是预期的行为，该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说，iOS应用程序开发人员可以利用该漏洞，通过启动用户的前置和后置摄像头，来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ，iPhone用户永远不会收到任何通知。 据专家分析，当前解决此问题的最佳方法是取消其摄像头访问权限。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本，包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件，其他人就有方法可以读取这些电子邮件的某些文本，就像未加密一样——苹果知道这个消息已经有数月之久，但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现，如果使用Apple Mail发送和接收加密的电子邮件，Siri会收集文本内容并将这些信息存储在数据库中。 该文章称：“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件，哪怕是禁用Siri，或者没有私钥，这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府，公司和普通人来说，这是一个大问题。” 但是禁用Siri无法解决该问题，因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息： 1.手动单击设置，转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri： defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别（适用于所有用户）的  配置文件  以关闭Siri，使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的，它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说，将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒Techspot报道，2017年在担任特朗普的网络安全顾问和律师仅26天后，苹果员工发现了在旧金山市区商店外等候的鲁迪·朱利安尼（Rudy Giuliani）。他之所以在这里，是因为在输入了十次错误的密码后，他的iPhone 6被锁定，这迫使苹果员工将手机恢复为出厂设置，通过iCloud备份对其进行重新设置。 在NBC News上周报道此事后，将他自己忘记iPhone密码的经历与美国联邦调查局（FBI）要求苹果解锁枪手使用的iPhone一事进行比较。 然而这并非朱利安尼经历过与技术事故有关的尴尬事件。大约一年前，他在推文中写道：“就在总统离开参加G-20之际，穆勒就提出了起诉。7月，他也曾在总统前往赫尔辛基之前起诉那些永远不会来到这里的俄罗斯人。”他发推文时忘记在句号后面加空格，从而不小心创建了一个指向G-20.in的超链接。恶作剧者购买了未注册的域名，并建立了反特朗普网站。 而朱利安尼则指责Twitter允许恶作剧者用令人不快的反总统信息“侵入”他的推文。   （稿源：cnBeta，封面源自网络。）

苹果已经修补了之前在iTunes和Windows版iCloud中被发现的Bonjour漏洞，以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在Windows中执行，看起来它是一个受信任的应用程序。精心设计的攻击者可以利用iTunes和Bonjour数字签名，绕过系统针对恶意软件的防护。 发现该漏洞的安全研究公司Morphisec表示，BitPaymer恶意软件正在使用攻击媒介感染系统。 不过，更新到iTunes 12.10.1的Windows系统不会再遭受此类攻击威胁。 目前尚不清楚该漏洞何时被引入，但苹果最近更新的适用于Windows的iTunes和iCloud已经能够阻止攻击。   （稿源：cnBeta，封面源自网络。）

据外媒报道，就在几天前刚刚发布的iOS 13尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统，但Reddit上的一些用户还发现了一个重要的安全漏洞。据用户Thanamite和createdbyeric披露，当用户将信用卡添加到他们的账户时，这个问题就会出现。 当添加信用卡信息后，用户会发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的。信息包括姓名、账单地址以及信用卡号码的最后四位数字，这让他们面临着严重的风险。 在发现这一漏洞后，用户createdbyeric联系了苹果，苹果迅速将问题升级到更高级别并承认问题的严重性。对于用户来说，打击当然希望这意味着修复将很快就会到来，而且很可能会在明天发布的iOS 13.1中到来。 实际上，iOS 13.1的发布提前了一周，似乎是为了解决iOS 13最初发布时的漏洞报告。相信这个新问题的出现应该会给苹果更多的理由尽快推出一个解决方案。   （稿源：cnBeta，封面源自网络。）