苹果公司近期承认在 iOS 11 系统的控制中心中选择关闭 WiFi 和蓝牙功能而实际并未完全关闭的事实遭到非盈利数字权利机构 EFF 的批评。据悉，用户在控制中心关闭 WiFi 和蓝牙功能之后，运行 iOS 11 的 iPhone 和 iPad 就会和 WiFi 网络或蓝牙配件断开连接，但是事实上 WiFi 和蓝牙无线还是处于活跃状态。 调查显示，WiFi 和蓝牙功能会在每天当地时间凌晨 5 点自动激活，用户重启设备之后也是默认是激活状态。苹果此举是为了 AirDrop、 AirPlay、 Apple Pencil、 Apple Watch、 Location Services 以及类似于 Handoff和Instant Hotspot 的连接功能。 EFF 认为苹果的这种做法存在 “误导”，并对用户安全造成了不良影响。EFF批评道：“手机在设计中除了 UI 方面之外，更为重要的是安全和隐私问题。如果用户无法通过视觉或者文本描述来理解设备的行为，那么必然会降低用户对操作系统的认可。用户对操作系统的以来就像是防盗门一样提供安全和隐私的保护，不管他们使用什么应用或者设备连接，这种信任才是基础。” 稿源：cnBeta，封面源自网络；

据外媒报道，巴西软件开发者 Matheus Mariano  于近期发现 macOS High Sierra 系统存在重大安全漏洞，系统的磁盘工具直接将加密 APFS 宗卷密码明文显示出来。随后，苹果于 10 月 6 日发布了 macOS High Sierra 补充更新。 调查显示，在创建加密 APFS 宗卷时，设置密码以及提示，卸载并重新挂起这个分区，会弹出提示，要求用户输入密码。这时，点击显示密码提示功能后，明文密码会直接显示，而不是刚才设置的密码提示。经过测试发现，2016 款 MacBook Pro 运行 macOS High Sierra 10.13 以及10.13.1 测试版时，这个 Bug 依然存在。这个问题只影响配备了 SSD 的 Mac，因为目前 APFS 只支持 SSD。此外，Bug 与磁盘工具有关，因为使用终端创建加密 APFS 宗卷时，不会直接显示密码。 正因为发生了如此重大的安全 Bug，苹果才立刻决定推出 High Sierra 补充更新解决问题。与此同时，苹果也修复了 macOS High Sierra 安装包，这意味着新安装的 High Sierra 不会出现这样的问题。不得不说，这次直接明文显示密码的 Bug，实在太耐人寻味了。 苹果发布了 macOS High Sierra 10.13 补充更新，这也是自 macOS High Sierra 正式版上个月发布之后，迎来的首个更新。macOS High Sierra 10.13 补充更新可以通过 Mac App Store 完成更新。macOS High Sierra 10.13 补充更新修复了可以将加密的 APFS 文件密码在磁盘工具中暴露为明文的安全问题。苹果还分享了一份支持文档，帮助用户保护 macOS High Sierra 系统中的数据。在升级之前，macOS High Sierra 的磁盘工具会将密码直接明文显示，原本显示的应该是密码提示。 由于硬盘已经是加密的 APFS ，想要修复这个 bug，过程比较麻烦，包括安装补充升级，对受影响的分区进行备份，抹掉磁盘，重新格式化为 APFS，然后转换成加密的 APFS，并最终将数据恢复。这次升级还修复了钥匙串中密码可能被第三方引用轻松偷取等问题。High Sierra 10.13 补充更新还修复了使用 Adobe InDesign 时光标图形错误，并解决了无法从“邮件”中的雅虎账户中删除电子邮件的问题。 稿源：cnBeta、MacX，封面源自网络；

据外媒报道，尽管苹果过去声称自己是许多开源项目的重要贡献者，但实际上它的许多技术对外仍处于封闭状态。不过这家库比蒂诺公司日前作出了一个重大的转变–在 GitHub 上发布了旗下旗舰系统的 XNU 内核源代码。 XNU 是一个在 mac OS–包括以往所有的 OS X 和 iOS 使用的类 Unix 内核。通过开放该内核代码，开发者们将能更好地理解苹果设备以及软件上层如何跟该内核协调运作的。目前并不清楚将会有多少开发者会因此而受益，但看起来这是苹果用于吸引开发者的方法之一。 稿源：cnBeta，封面源自网络；

安全公司 Duo Security 于本周五披露称，大量 Mac 电脑运行的都是过时的 EFI 固件，这意味着它们极易受到严重威胁。据悉，公司分析了在生产环境中的 73324 台 Mac 电脑，结果发现 4.2% 的系统运行着过时的 EFI 固件。根据型号的不同，EFI 固件错误的百分比也不同。2015 款 21.5寸 iMac 的 EFI 固件错误率最高，达到 43%。 EFI 是指可扩展固件接口（Extensible Firmware Interface），这是连接 Mac 硬件、固件和操作系统的桥梁，可以让机器启动进入 macOS。如果攻击者成功侵入 EFI ，可以获得硬件、系统等所有权限。 Duo Security 还发现，47 款运行着 OS X Yosemite、OS X El Capitan 或 macOS Sierra 的 Mac 电脑，都没有包含 Thunderstrike EFI 固件安全升级。Thunderstrike 漏洞早在 3 年前被发现，但这些 Mac 电脑至今没有安装补丁。研究机构认为，一些 Mac 电脑从未获得过 EFI 固件升级，具体原因不清楚，似乎有什么东西干扰了 EFI 固件升级，最终导致一些 Mac 电脑运行的是过时的 EFI。 对于这份研究，苹果表示很感激 Duo Security ，在最新的 macOS High Sierra 系统中，系统每周都会验证 EFI 版本，确定没有任何问题发生。目前，苹果会继续在固件安全领域研发，并探索更多方式保护系统。最后，Duo Security 还建议用户尽快升级至 macOS High Sierra。 稿源：cnBeta、MacX，封面源自网络；

苹果公司于本周四公布了一份透明度报告，指出公司在 2017 上半年从政府那里收到的索要数据要求有所减少，但涉及到国家安全的秘密命令则大幅增加。 报告显示，苹果公司在上半年总共收到 30814 项涉及 233052 台设备的索要数据要求，与去年同期相比减少了 6%。另外，苹果公司还收到了 3020 项涉及到 43836 个用户账号的索要数据要求，如 iCloud 内容、已储存照片、电子邮件、联系人和设备备份等数据，这种要求同比减少 15%。该公司指出，未授权访问带来了一定影响。今年 3 月，有黑客向苹果公司索要赎金，否则就将远程抹去 “ 数百万个 ” iCloud 账号，但黑客从未兑现这种威胁。 与此同时，报告还显示国家安全相关命令则在上半年大幅增加，其中包括美国海外情报监视法庭作出的秘密判决。期内苹果公司收到了 13250 到 13499 项国家安全命令，影响到 9000 到 9249 个账号，与去年同期的 2999 项命令相比增长三倍，创下自该公司从五年前开始公布透明度报告以来的最高水平。 在公布国家安全命令的问题上，苹果公司及其他公司仍面临限制。自 2015 年《自由法案》出台以来，美国司法部被迫放宽有关公司如何公布秘密命令的规定，允许科技公司在比较窄的范围内公布这种命令的数量。苹果公司在上一份透明度报告中披露信息称，该公司已成为最新一家解密国家安全信函的科技巨头。跟所有国家安全信函一样，该信的用户数据移交命令中也包括一份言论禁止令，禁止该公司或其他任何人披露信函内容，哪怕是对存有疑问的用户也不行。目前，苹果公司并未公布这封信函的细节内容。 另外，苹果公司还确认其 “ 并未收到任何 ” 有关大批量账号数据的命令，相关法律条文通常是针对电信公司的。除此之外，苹果公司还称其收到了 1108 项账号数据保存要求，通常是为了让当局可通过合法流程来获取这些数据。几乎所有数据保存要求都来自于美国政府。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒 9 月 26日报道，安全研究人员 Patrick Wardle 近期发现 macOS High Sierra 10.13 操作系统可能存在一处高危漏洞，允许黑客窃取存储在 Keychain 中的账户名与密码。事实证明，macOS High Sierra（可能还有早期版本的 macOS）的未签名应用可以访问 Keychain 信息，并在没有用户主密码的情况下显示明文的用户名和密码。 在 High Sierra（未签名）应用程序中，可以通过编程转储用户密码 研究人员表示，要想让这种漏洞发挥作用，即用户需要从一个未知来源下载恶意第三方代码。目前，苹果对应用程序在 Mac App Store 之外或不受信任的开发者处下载予以了强烈的反对警告。事实上，苹果甚至不允许非信任的开发者的应用在没有明确覆盖安全设置的情况下被下载。 知情人士透露，Wardle 创建了一个概念验证的应用程序，叫做 “ keychainStealer ”，能够访问 Twitter、Facebook 和美国银行的钥匙链中存储的纯文本密码。此外，Wardle 在福布斯杂志上谈到了这一漏洞时表示，即使在苹果的保护措施下，黑客在 Mac 上运行恶意代码也并不困难。他们甚至并不需要 root 用户特权，如果用户登录了，黑客就可以转储并过滤掉密钥链，包括明文密码。另外，大多数攻击都涉及到社交账户管理，而且似乎成功地针对 Mac 用户且成功率达到 100%。 目前，Wardle 还没有为恶意实体提供完整的漏洞概念验证，不过他相信苹果会在未来的更新中修复这一问题。另外，由于 Wardle 没有公布完整的漏洞代码，外界无法对此进行验证，也没有别的相似消息来源进行比对，所以关于这个漏洞的完整细节还不为人所知。据悉，苹果尚未回应就其系统存有潜在危险发表评论。 稿源：cnBeta、威锋网，封面源自网络；

据市场研究机构 Blancco Technology Group 最新公布的 2017 年第二季度移动设备性能和健康报告显示，每四台 Android 设备中就有一台存在故障，其全球故障率为 24%。相比之下，iPhone 手机的故障率仅为 Android 设备的一半。另外，北美两者的差距更大，Android 设备和 iPhone 的故障率分别为 24% 和 8%。 值得一提的是，Android 设备和 iPhone 在亚洲市场的故障率对比出现了逆转，在这个市场中，iPhone 的故障率高达 60%，Android 设备的故障率虽然低一些，但是也达到了 28%。今年 4 月到 6 月期间，61% 的 Android 故障设备来自三星手机，随后是 LG 的 11%。事实上，根据这份报告显示，Android 手机中故障率最高的五款手机均来自三星，其中 Galaxy S7 edge、Galaxy S5、Galaxy S7 的故障率均为 6%，Galaxy S7 Active 和 Galaxy Express Prime 的故障率为4%。总体而言，在 Android 手机中，故障率最高的 10 款手机中有 9 款来自三星。 2017 年第二季度最容易出故障的 iPhone 机型是 iPhone 6，其故障率达到 26%，iPhone 6s 和 iPhone 5s 以 11% 的故障率紧随其后。iPhone 用户在第二季度抱怨最多的问题是设备发热（11%），其次是 Wi-Fi 信号（9%）、手机信号（6%）、耳机（5%）和耳麦（4%）。在北美市场，用户抱怨最多的是 Wi-Fi 信号（15%），其次是移动数据问题（7%）。 Android 用户抱怨最多是性能（25%）、USB（11%）、电池充电（11%）、运营商信号（9%）和屏幕（3%）。另外，今年第二季度 iOS 应用崩溃率为 54%，Android 应用崩溃率为 10%。在 iOS 设备上，Instagram 和 Messenger 的崩溃率均为 8%，排在第一位，随后分别是Pinterest（6%）、Facebook 和谷歌（均为5%）、Snapchat（4%）、WhatsApp（3%）和 YouTube（3%）。Android 方面，应用崩溃率最高的几款应用分别是 Facebook（12%）、通讯录（5%）、Google Play 商店（4%）、Messenger（2%）和天气（2%）。 稿源：cnBeta、威锋网，封面源自网络；

美国南加州大学、印第安纳大学和清华大学的五名研究人员近期共同发表一项研究报告，表明苹果使用的 “ 差分隐私 ” 技术在收集数据时，并不足以保护个人信息。 “ 差分隐私 ” 技术是一种将随机噪声嵌入到数据中的方法。结果显示，苹果的 “ 隐私损失参数 ” 仍允许过多的特定数据泄露。 据称，macOS 和 iOS 10 两个平台都存在问题，但人们认为后者问题更大。另一个令人担忧的问题是，苹果保留了它的丢失参数——也被称为 “epsilon – secret”，这意味着该公司可以在没有任何外界审查的情况下改变它。南加州大学教授 Aleksandra Korolova 说：“苹果的隐私损失参数超出了差异隐私研究社区通常认为可以接受的水平。” 调查显示，macOS 的 epsilon 值为 6 分，而 iOS 10 则是 14。相比之下，谷歌声称 Chrome 的差别隐私保护系统在大多数情况下是 0.5，终身最高的上限是 8 到 9。此外，谷歌还开源了相关代码，这使得谷歌可以进行双重检查。不过，作为对这项研究的回应，苹果公司表示，它不同意很多观点，比如在多大程度上可以将数据与特定的人联系起来。 目前，该公司坚持认为，它根据数据的类型来改变噪声，而且研究人员简单地将所有类型的 epsilons 结合在一起，并假设它可以被拼接在一起。此外，它还指出了一些政策，比如数据存储的时间限制、对 IP 地址的拒绝，以及进行收集选择的决定——指的是安装和设置屏幕，人们可以选择是否共享使用和诊断信息。近期，研究人员发现 ios11 测试版的 epsilon 为 43，但这很可能是由于在 9 月 19 日软件发布前进行的常规测试，旨在清除漏洞。 稿源：cnBeta、威锋网，封面源自网络；

据外媒报道，评估苹果 iOS 11 早期版本的安全专家称，苹果加强了隐私保护功能，禁止执法机构在没有密码的情况下镜像设备。 苹果 iOS 11 的另一个隐私保护功能是按电源键五次后可选择关闭 Touch ID。当 iOS 设备连接到电脑时，它会弹出是否信任这台计算机的提示，然后还要求输入密码。这意味着执法部门和边检将无法像以前那样访问被扣押设备的完整镜像。乔治华盛顿大学法学教授 Orin Kerr 认为，政府仍然能手动搜索手机，但将会更困难。 稿源：solidot奇客，封面源自网络；

据外媒报道，周三在社交媒体上出现了一些针对苹果开发者网站的投诉，一些开发账户地址被更改为同一俄罗斯地址，从而引发人们猜测该网站可能存在某种安全漏洞或遭黑客攻击。 一位名叫 David Negron 的开发人员（自称是 Productiontrax.com 的创始人）首先注意到这个问题，他发表推文称：“ 所有开发者的帐户地址都被显示为俄罗斯的一个地址。” 另一位开发人员 @Kaiusee 发表推文称，他检查了四个不同的苹果开发者帐户，发现所有账户都显示了相同的地址：“ bul. Novatorov, Saint-Petesburg, Leningrad, 198216, Russian Federation。” 目前，尚不清楚是否存在某种内部错误，还是受到黑客攻击。苹果开发者网站在几个小时无法访问后恢复正常。 稿源：cnBeta，封面源自网络；