苹果 iOS 11 目前还是测试版，所以系统中难免会出现漏洞，不过有些比较严重的漏洞还是值得使用测试版的用户注意。据悉，在  iOS 11  的前两个测试版中就有一个漏洞：当  iCloud  被锁定时，使用设备的人还是可以激活设备的某些功能和特性。 这完全违背了  iCloud  被锁定之后锁定设备功能和限制的初衷。iPad  或  iPhone  被锁定到特定  iCloud  账户时，在没有正确的账户凭据的情况下，谁都不能够在设备上有任何操作。苹果推出这个 Activation Lock 机制可以远程锁住  iPhone ：即使对方关闭网络连接、关机、iPhone  刷机，也要输入正确的  Apple ID  才能正常使用，否则会一直被锁上，这个机制有效减少了 iPhone 失窃的比例。 可是在  iOS 11 beta 1  和  beta 2  中，因为漏洞的存在用户无需提供凭据就能够使用设备的部分功能。在演示视频中我们可以看到，如果这个问题不解决的话，那么用户会受到多大的威胁。当然目前这是在  iOS 11 测试版中发现的问题，这也是预料之中的。而等到今年秋季正式版推出的时候，希望这个问题已经得到解决，以保护用户的安全。 稿源：TechWeb、威锋网，封面源自网络

用户在使用一个基于地理位置的应用时，并不需要它始终跟踪位置，仅在前台使用就足以。据相关媒体报道，即将发布的 iOS 11 将提供一个选项，允许用户限制应用的位置跟踪。iOS 11 的地理跟踪设置将提供三个选项，分别为：Never、While using the app、Always。而 iOS 10 只提供了两个选项，要么始终启用地理位置跟踪，要么拒绝。 稿源：solidot奇客，封面源自网络

据外媒报道，Sophos 网络安全研究人员 Paul Ducklin 于 6 月 7 日在 Infosecurity Europe 2017 会议上发表主题演讲，旨在分析苹果设备并非免受恶意软件与病毒攻击。 据悉，Ducklin 除了在现场利用恶意软件 Eleanor 入侵已知 Mac 漏洞外，还向公众透露黑客如何使用恶意软件运行命令、渗透核心系统与截取屏幕信息。 安全公司 Malwarebytes 今年的一份报告中就曾透露，2017 年第一季度出现的针对 Mac 的恶意软件就已达到 2016 全年数量，其多数威胁源自不同功能与复杂程度的后门攻击。那么，为什么多数苹果 Mac 用户的表现仍像是自身系统免受恶意软件感染一样呢？因为攻击 Mac 的恶意软件数量极少。 Ducklin 表示，虽然针对 Mac 展开攻击的恶意软件在数量上与 Windows 相比较少，但质量与复杂程度却大同小异。无论在 Windows 上做了什么，此类恶意软件均可根据 Mac 重新编写。研究人员透露，或许网络犯罪分子并未了解如何在 Mac 上利用恶意软件勒索比特币，又或许他们根本不需要那么做，因为从 Windows 上就已经可以赚取大量比特币资金。 网络安全公司 Trend Micro 研究人员 Ferguson 表示，多数情况下，网络犯罪分子针对苹果设备的漏洞最大兴趣源自购买与出售 OSX/iOS 操作系统。目前，研究人员一致认为，苹果用户并未被黑客与网络罪犯分子攻击，在很大程度上是一个奇迹。当然，其他网络犯罪技术也均与设备系统无关。例如，网络钓鱼仍是黑客常用的攻击手段之一，无论操作系统是什么，它均会发生。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据相关媒体报道，苍南警方于近期破获一起非法获取计算机信息系统数据、侵犯公民个人信息案，抓获犯罪嫌疑人 22 人，摧毁该地下黑产业链条。 2017 年 1 月，苍南警方发现，苹果公司国内员工涉嫌以非法手段获取苹果手机关联的公民个人信息并在网上出售，其涉案金额巨大。随即，警方以追源头、摧平台、断链条为目标，开展侦破工作。 经数月侦查后，温州市、苍南县两级公安机关组织人员于 5 月 3 日赴广东、江苏、福建等地统一收网，共抓获黎某、甘某、区某等主要犯罪嫌疑人 22 人，其中涉及苹果国内直销公司及苹果外包公司员工 20 人，扣押一批电脑、手机、银行卡等作案工具，初步查明涉案金额达 5000 万元以上。 据警方调查，该犯罪团伙利用苹果公司内部系统平台，非法查询苹果手机关联的手机号码、姓名、Apple ID 等信息，再将信息以每条 10 -180 元不等的价格售卖。 目前，该案 22 名犯罪嫌疑人已分别被采取刑事拘留等强制措施，案件正在进一步审理中。警方警示：2017 年 6 月 1 日起，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人信息 50 条以上的，即构成犯罪，对掌握公民个人信息的内部工作人员泄露公民个人信息将从重处理。 稿源：网易科技、新华网，封面源自网络

在同莫博士的访谈中，Android 联合创始人、Playground 的首席执行官 Adny Rubin 于近期宣布推出了全新高端 Android 智能手机 Essential Phone 以及 Essential Home 语音助手。此外，他还宣布 Ambient OS 智能家居平台将开源。 目前智能家居领域还处于各平台混战的情况，诸多可交互的标准和无线平台都尝试将家庭的所有设备整合在一起进行管理，而 Essential 正是抓住了这个契机推出了 Ambient OS。然而，这项决定同时也意味着该平台能够避免当前 Android 平台碎片化的问题，而碎片化导致部分用户错过重要升级和优化。 莫博士在谈及 Android 系统在全球各地划分成为各种版本，Rubin 反驳道多种版本反而是 Android 系统的强大之处。Rubin 说道：“ 没有系统能够获得 100% 升级。” Rubin 承认相对于苹果的 iOS 系统，Android 系统的升级率明显低很多，但他的新公司的 Ambient OS 已经提出了合理的解决方案。不过在本次访谈中，他并未透露具体的解决方案，只是说 “ 在后台托管更多的服务 ”。 稿源：cnBeta；封面源自网络

据相关媒体报道，苹果于本周在一份有关政府要求获得用户信息的最新报告中透露，他们于 2016 年首次获得国家安全信函（ NSL ），旨在寻求与客户账号有关的信息。虽然说这份信函是 “ 解密 ”的，但关于该请求的相关细节，苹果目前并未披露。 苹果提到，NSL 通常会被认为是调查过程中的第一步，由于相关人员和部门没有获得法院的命令，所以这些请求其实缺乏获得客户数据的合法授权，而且这些命令在范围内也是有限的。苹果表示，如果收到了相关的信息，这些收件人必须要遵守相关的规定，而 2016 年年末的这个 NSL 命令是苹果自 2013 年开始发布透明度报告以来，收到的第一个 NSL 报告。 苹果指出，从 2016 年的 7 月到 12 月这半年时间里，他们收到了国家安全订单的数量激增。半年时间里，他们收到了 5750-5999 个申请，这影响了 4750-4999 个账户。而在 2016 年的上半年，苹果收到的申请数量从 2750 个增加到 2999 个，影响了 2000-2249 个账户。而美国政府也限制苹果只能在 250 家公司发布安全命令，与过去几年一样，苹果没有收到要求获得批量数据的请求。而美国政府机构也希望获得 4254 个用户信息，这其中涉及超过两万部个人设备，苹果提供了其中 3335 部设备的数据。 尽管说希望获得设备数据的请求大幅增加这种现象几乎无法解释，但是苹果也提到，执法机构通常会将这些文件当作是持续存在的欺诈调查的一部分。而相关机构也会代表那些希望能找回丢失或者说被盗的设备的用户们提出请求。此外，美国执法部门希望从苹果那里获得 1219 个个人账户数据，而苹果拒绝提供其中 211 个账户的数据，同时，他们也在 636 个案例中提供了一部分数据，而内容被披露的账户为 372 个，而部分拒绝或者全部拒绝的账户数量为 71 个。 稿源：据 cnBeta、MacX 内容筛选整理，封面源自网络

据外媒 10 日报道，苹果公司近期修复了允许黑客利用 MitM（中间人）攻击、窃取 iCloud 用户私人信息（姓名、密码、信用卡数据与 Wi-Fi 网络信息）的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store（KVS）传输时，应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉，今年 3 月，研究人员 Alex Radocea 在即时通信加密协议（OTR）中发现这一漏洞，它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出，攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程，还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调，如果用户账户未启用双因素验证，攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示，iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据报道，开源视频转换器应用 Handbrake 的镜像下载服务器最近被黑客攻击，其开发者日前已发布一份针对 Mac 用户的安全提醒。 开发者在声明中表示，镜像服务器上的原始 HandBrake-1.0.7.dmg 安装器文件目前已被恶意文件所替代。被攻击的服务器目前已经关闭，开发者将着手对其进行调查，不过开发者提醒，在 5 月 2 日下午 2:30 至 5 月 6 日上午 11:00 之间下载过文件的用户，你们的系统有 50% 的可能已经被木马入侵。而如果你们在 OS X Activity Monitor 应用中发现 Activity_agent 进程，那说明该系统已被感染。其受感染用户设备需要打开 Terminal ，然后运行以下指令才可删除恶意软件： launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app if ~/Library/VideoFrameworks/ contains proton.zip，删除文件夹 此外，用户还需要将他们在系统上安装的任何 Handbrake.app 全部删除。安全起见，用户最好更改 OSX KeyChain 或者任何浏览器中保存的密码。 据悉，本次的恶意软件是 OSX.PROTON 的变体，苹果今年 2 月份更新了 XProtect 以防范原始 Proton 恶意软件。苹果于本月 6 日再次更新 XProtect 定义，目前用户设备应该已经自动悄然更新了。 Handbrake 用户如果是通过主要下载镜像或 Handbrake 网站下载，或者是应用内置的更新器 1.0 版本下载的话，那么你可以安心，这些地方的文件都没有受到影响。但如果用户使用的是 Handbrake 0.10.5 或更早版本的话，建议你们也检查看看自己的系统是否被感染。其中，带有以下校验和 HandBrake.dmg 文件是已被感染的系统： SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 稿源：威锋网，封面源自网络

4 月 5 日消息，日前苹果通知用户在 iOS 10.3 中存在一个小问题。因为这个问题，用户设备在已经关闭的某些 iCloud 服务会意外地重新激活，目前有一小部分用户会受到这个问题的影响。要解决这个问题很简单，苹果提醒用户进入 iOS 设备应用的 iCloud 菜单，关闭你不需要的服务即可。 日历、通讯簿、备忘录等 iOS 原生应用都是与 iCloud 相连接的。不过有些用户不想将自己的数据上传到网络上。另外，打开 iCloud 还会产生二次影响，比如 iCloud 照片库打开时，禁用与本次文件夹照片同步的功能。 不过苹果表示在昨天发布的 iOS 10.3.1 中，他们已经解决了这个 iCloud 问题。苹果表示 iCloud Photo Library、iCloud Keychain 和 Find My iPhone 都不在受影响的范围之列。 iOS 10.3.1 更新修复了一些 Bug 和一个漏洞，该漏洞可以让黑客通过设备的 Wi-Fi 芯片执行任意恶意程序，威胁程度非常高。 稿源：cnBeta、威锋网；封面源自网络

近日，有外媒曝出，近段时间出现了一种新的 iPhone 手机诈骗手段。据称，诈骗分子假装成苹果技术支持部门的员工然后打电话给 iPhone 用户告诉他们其 iCloud 遭到攻击，而实际上，这些用户的 iCloud 账号此时非常安全。据了解，已经有相当一部分用户遭殃，他们将自己的遭遇分享到了社交媒体平台上。 这位叫做 steff 的 Twitter 用户就很不幸地沦为受害者，她表示自己账号里的钱都被盗走了。 据披露，诈骗分子会要求用户向他们提供验证身份的信息，这也就意味着他们能够轻而易举地获得这些用户账号的登录权限。 此外，诈骗分子还可能执意要求为目标的电脑安装所谓的杀毒软件来盗取受害者的数据。 对于苹果用户来说，或许在怀疑自己 iCloud 账号遭到攻击的时候最好在一台安全的设备上更改密码并启用两步认证登录方式，或自己联系苹果技术支持工作人员来帮助解决这一问题。 稿源：cnBeta；封面源自网络