Security Affairs 网站消息，苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6，解决了蓝牙键盘注入漏洞问题（漏洞被追踪为 CVE-2024-0230）。据悉，该安全漏洞是一个会话管理问题，由 kySafe 公司研究员 Marc Newlin 发现并上报，黑客能够利用漏洞获取键盘物理访问权限，窃取其蓝牙配对密钥并监控蓝牙通信。 苹果公司在公告中指出，威胁攻击者一旦成功对配件进行物理访问，就有可能提取其蓝牙配对密钥并监控蓝牙流量。此外，威胁攻击者还可以利用未经验证的蓝牙连接到受影响的设备并注入恶意程序，从而实现安装应用程序、执行任意命令、转发消息等操作。 未打补丁的设备在以下情况下容易受到网络攻击： 只要启用蓝牙，安卓设备就会受到攻击； Linux/BlueZ 要求蓝牙可被发现/连接； iOS 和 macOS 在启用蓝牙且 Magic Keyboard 已与手机或电脑配对的情况下存在漏洞。 Magic Keyboard 固件更新 2.0.6 适用于 Magic Keyboard、Magic Keyboard (2021)、带数字键盘的 Magic Keyboard、带 Touch ID 的 Magic Keyboard 以及带 Touch ID 和数字键盘的 Magic Keyboard 等版本。 最后，研究人员指出锁定模式并不能阻止黑客利用 CVE-2024-0230 安全漏洞，目前也尚不清楚漏洞是否已被在野攻击被利用。 过去一年，苹果曝出多个高危漏洞 2023 年 2 月份，苹果公司发布安全更新，解决旧款 iPhone 和 iPad 中的零日漏洞  CVE-2023-23529。据悉，该漏洞是一个 WebKit 类型的混淆问题。 CVE-2023-23529 安全漏洞危害极大，一旦被威胁攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 2023 年上半年 ，研究人员还在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373。 威胁攻击者可以利用上述三个漏洞，侵入用户设备访问用户敏感信息，甚至可以诱使受害者目标加载恶意制作的网页（网络内容），在受损设备上执行任意代码。 接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理苹果在 5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应（RSR）补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/389665.html 封面来源于网络，如有侵权请联系删除

用户启用APP推送功能就会被监控！此前苹果和谷歌都被告知要对这一做法保密，直到美国参议员Ron Wyden的信件首度披露此事。 有消息称：美国民主党参议员Ron Wyden日前致信司法部，表示美国联邦政府调查人员曾利用推送通知数据追踪关注对象，首次披露了美国人可以通过智能手机提供的一项基本服务而被追踪的事实。 Wyden在信中表示，司法部曾禁止苹果和谷歌讨论这项追踪技术，并要求这些公司修改规定。Wyden还指出，根据其办公室收到的消息，外国政府也开始要求获取推送通知数据。 用户启用APP推送功能就会被监控 这项追踪技术利用了许多人手机上收到电子邮件或短信时的常见提醒。《华盛顿邮报》通过查阅法庭记录发现，该技术曾用以收集2021年1月6日国会山暴动参与者和其他犯罪嫌疑人的信息。 应用程序利用推送通知向用户的手机或平板电脑提供最新消息或提醒。一旦用户启用了推送通知功能，苹果和谷歌会生成一小段名为“令牌”的数据，将用户设备与他们在这些公司提供的账户信息（例如姓名和电子邮件地址）进行关联。 Wyden在信中指出，联邦政府已开始要求苹果和谷歌提供与这些令牌相关的记录，因为这些公司类似于“数字邮局”，负责转发通知。 这些令牌可能会泄露大量细节信息，例如某人在消息或游戏应用程序中的通信对象、通信时间，甚至可能会透露通知消息的文本内容。 只要用户与联邦调查对象进行过电子邮件、短信或社交媒体消息的交流，调查人员就可以通过令牌数据获取到部分相关信息。获取的信息量取决于用户对推送通知的设定。 苹果谷歌将在透明度报告中公布情况 苹果在一份声明中表示，“联邦政府禁止我们分享任何信息”；鉴于现在这种追踪方法已经公开，苹果将更新即将发布的透明度报告，以“详细说明这类请求”。 苹果的执法指南详细规定了警方和政府调查人员获取用户信息的具体方式。根据当前的指南，可以凭借“传票或更高级的法律程序”获取与推送通知令牌相关联的Apple ID。 Wyden和苹果都没有详细说明已经审核的通知数量，涉及的目标人士，正在调查的犯罪类型，或是哪些政府提出了请求。 谷歌发布声明称，公司已发布透明度报告，详细列出其收到的用户数据请求的数量和类型，并表态支持Wyden提出的“让用户了解这些请求”的承诺。 美国司法部拒绝对此置评。这封信件最初由路透社报道。 美政府曾利用推送通知监控目标 《华盛顿邮报》在法庭记录中找到了二十多份与联邦政府请求推送通知数据相关的搜查令申请和其他文件。尽管许多文件都经过了删减，但仍然能够看出有9份文件涉及联邦政府对2021年1月6日暴动者的追踪行动。另外两份文件要求获取涉嫌洗钱和传播儿童色情材料的嫌疑人的数据。 这些搜查令要求获得与亚马逊、苹果、谷歌、微软等多家公司的应用有关的推送通知数据。 其中一份搜查令申请旨在获得爱达荷州男子Josiah Colt的Facebook账户相关数据。该男子曾在2021年1月6日暴动期间侵入参议院会议厅。提交申请的联邦调查局特工表示，推送通知令牌或能提供“有用信息”，帮助确定用户的账户。 今年早些时候，Colt被判处15个月监禁。暴动当日，他发布了一段视频宣称进入了国会大厦。目前尚不清楚推送通知数据请求在他案件中的作用。 其他国家也开始利用APP推送数据 Wyden在信中指出，他的办公室去年收到消息称，外国政府调查人员已开始向上述公司索取数据。Wyden的发言人拒绝具体指明是哪些政府。 Wyden写道，这些公司告诉他的工作人员，任何“有关这一做法的信息”都被“政府限制，不得公开发布”。Wyden敦促司法部废除任何禁止这些公司讨论“监视做法”的政策。 他强调，“苹果和谷歌应该被允许透明地公开它们所收到的法律要求，尤其是来自外国政府的要求，就像这些公司经常告知用户其他类型的政府数据要求一样。” 政府调查人员通常通过提交传票、搜查令或其他法院命令向科技公司施压，迫使它们提供信息。一些搜查令附带禁令，禁止公司告知用户他们的数据已被交出。 谷歌在最近的透明度报告中提到，去年下半年，他们收到了与全球超过40万个账户相关的19.2万次数据请求，其中约7万次请求来自美国国内。 报告未单独列出有关推送元数据请求的数据。但是指出，2022年1月至6月期间，美国援引《外国情报监视法》进行了多达500次“非内容信息”的请求。这个类别包括推送通知数据，牵涉到3.6万个账户。 谷歌指出，为了配合美国对推送通知和其他非内容信息的请求，需提供受司法监督的法院命令，而不是简单的传票。对于这样的法院命令，联邦官员还必须说服法官请求的数据与正在进行的刑事调查相关，并且具有重要意义。   转自安全内参，原文链接：https://www.secrss.com/articles/61752 封面来源于网络，如有侵权请联系删除

苹果专家解释了为什么一年内没有人成功破解 iPhone。 去年，苹果为记者和活动人士等高危用户推出了新的保护措施。锁定模式旨在限制 iPhone、iPad、Mac和 Apple Watch 设备上的某些功能，以最大程度地降低网络攻击的风险。 发布一年后，苹果代表表示，他们尚未发现任何成功入侵锁定模式设备的案例。苹果的一位高级工程师在 接受 TechCrunch 记者的电话采访时发表了上述评论。谈话的条件是记者不能直接说出或引用该员工的名字。 某些 Apple 应用程序和服务在锁定模式下的工作方式有所不同。例如，大多数附件和链接预览在 iMessage 中被阻止，来自未知联系人的 FaceTime 视频通话被过滤，并且位置信息从拍摄的照片中被删除。它还会阻止某些字体在网站上加载。 这些更改可能会使您的 iPhone 更难使用。例如，某些网站的界面可能变得不可读，或者网站导航可能变得更加困难。但是，用户可以将某些应用程序或网站排除在阻止模式之外，而无需完全关闭它。优点是删除某些功能会使利用某些漏洞并成功侵入用户设备变得更加困难。 4月，研究人员发现了首例已知的封锁案例，阻止使用 NSO 集团的 Pegasus 间谍软件侵入人权活动人士的设备。公民实验室检测到了利用零日漏洞的网络攻击，苹果确认阻止模式阻止了此次攻击。 根据公民实验室的说法，锁定模式似乎可以防止甚至通知零点击攻击的目标，这一事实表明它是一种强大的防御手段，值得乐观。 9月，Citizen Lab 和 Apple 报告称，封锁挫败了另一次针对前埃及议会议员 Ahmed Eltantawi 的攻击，该攻击使用了另一家政府监控技术提供商 Cytrox 的 Predator 间谍软件。 锁定模式只是补充其他安全功能，以及旨在防止设备被黑客攻击的详细工作。这项工作大部分是在幕后完成的。该公司透露了确保设备安全的一些细节。部分工作目前正在巴黎进行。作为巴黎工作的一部分，苹果工程师正在努力破解制造的智能手机。他们使用激光和微调传感器等多种技术，试图找到安全漏洞并在设备上市之前修复它们。 我们还注意到，Jamf 威胁实验室已警告 iPhone 用户面临新的威胁，攻击者可以通过视觉方式欺骗用户，让用户相信他们的 iPhone 处于锁定模式，而实际上并非如此，从而实施隐蔽攻击。   转自安全客，原文链接https://www.anquanke.com/post/id/291832 封面来源于网络，如有侵权请联系删除

苹果周一推出了以安全为主题的 iOS 和 iPadOS 更新，以解决使移动用户遭受恶意黑客攻击的多个严重漏洞。 最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序，其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。 根据库比蒂诺安全响应团队的报告，最严重的问题是 ImageIO 中的内存损坏，可能会导致在处理某些图像时执行任意代码。 iOS 17.2 的推出还解决了 WebKit 渲染引擎中的代码执行缺陷以及允许应用程序突破设备沙箱的内存安全问题。 该公司还修复了帐户中的隐私问题、AVEVideoEncoder 中的信息泄露问题、允许访问敏感用户数据的扩展套件，以及允许具有物理访问权限的攻击者使用语音机器人访问敏感用户数据的 Siri 缺陷。 苹果还推出了iOS 16.7.3和iPadOS 16.7.3，为运行旧版本操作系统的设备提供了一批安全修复程序。这些更新还包括修复之前记录的通过野外利用捕获的 WebKit 零日漏洞。   转自安全客，原文链接https://www.anquanke.com/post/id/291798 封面来源于网络，如有侵权请联系删除

Apple 委托进行的一项研究显示，过去两年中估计有 26 亿条个人记录因数据泄露而遭到泄露，这家科技巨头表示，这凸显了端到端加密的必要性。 这项名为“个人数据的持续威胁：2023 年增长背后的关键因素”的研究由麻省理工学院教授 Stuart Madnick 博士进行。它总结了过去一年中发现的主要数据泄露事件，并强调了一些趋势。 值得注意的是，报告中没有原始数据，被泄露的个人记录数量是通过结合 Verizon 2021 年的数据和 2022 年的预测得出的——2021 年将有 11 亿条记录，2022 年将有 15 亿条记录。 该研究着眼于导致重大数据泄露的勒索软件攻击、反复成为黑客攻击目标的公司、云配置错误导致的事件、针对政府组织及其承包商的攻击，以及影响存储特别敏感个人信息的实体的泄露。 该报告还提供了有关区域数据泄露以及第三方供应商利用造成的大规模事件的信息。 它还强调了过去十年中多家公司的端到端加密举措，包括苹果、谷歌、Meta、Proton、Signal 和 Skiff。 与其他科技巨头类似，苹果长期以来一直反对政府实施加密后门的要求，因为加密后门将使当局更容易调查潜在的犯罪活动。 事实上，该公司一直在越来越多地实施端到端加密，并利用这项新研究来推广其针对 iCloud 的高级数据保护，旨在提高云数据的安全性。 该公司声称，激活该功能后，23个敏感数据类别将受到端到端加密的保护，包括备份、笔记和照片。这提供了保护，包括防止云环境本身受到损害的攻击。   转自安全客，原文链接https://www.anquanke.com/post/id/291754 封面来源于网络，如有侵权请联系删除

苹果公司向十多位反对党领袖和记者发送了一系列警报，警告他们可能受到 “国家支持的攻击者 “的攻击。 针对反对党领导人最近提出的指控，印度电子和信息技术部已与苹果公司联系，要求该科技巨头就其声称的潜在 “国家支持的攻击 “作出澄清并提供证据。 印度电子和信息技术部要求苹果公司迅速做出回应，以澄清其关于手机可能被远程访问，从而导致敏感数据可能泄露的说法。 苹果公司关于国家支持的攻击的通知 苹果公司向十多位反对党领导人和记者发出一系列警告，警告他们可能受到 “国家支持的攻击”。政府已表示打算对这些警报进行调查，同时强调需要具体证据来证实这些说法。 苹果这类信件模板都是一样的：由于你的身份或你做的事情，你被“国家支持的攻击者”盯上了。如果你的手机和苹果账号被攻破，攻击者将能够远程获取你的敏感信息、聊天记录，甚至远程控制摄像头或麦克风。 不过苹果也表示，这有可能是一个错误的警报，但请用户严肃对待。 根据苹果官网的介绍，与传统黑客不同，由“国家支持的攻击”具有开发成本高、攻击高度复杂、上架使用的时间非常短等特点，只会针对非常少的一部分人。一旦苹果检测到这类攻击，将会通过邮件、短信和Apple ID主页置顶警告等方式进行提示。 苹果也表示，公司不会向用户提供公司发出威胁警告的原因，以避免攻击者调整其行为来逃避未来的检测。 自 2021 年以来，苹果公司一直在发送此类更新，但这次更新的发送对象仅限于新闻和政治机构的工作人员。 政府对苹果公司的审查 该部正与网络安全专家一起，密切关注反对党领袖和记者提出的问题。这项调查旨在确保数字设备的安全和安保的重要性。 反对党领导人已主动提出要解决这一问题，国会议员马胡亚-莫伊特拉（Mahua Moitra）致信人民院议长奥姆-贝拉（Om Birla），敦促议会信息技术常设委员会召开会议，进一步深入研究这一问题。 印度国民大会党主席马利卡鲁恩·卡尔格公开表示：“印人党首先使用Pegasus对反对派领导人和其他机构进行间谍活动，现在又用上了其他工具，印度不能被这种威胁吓倒。” Pegasus（又称“飞马”）是以色列网络情报公司NSO开发的一款手机间谍软件，可以入侵iPhone和安卓设备，提取短信、照片、邮件，并秘密启动麦克风、摄像头等功能。NSO曾表示，向几十个国家出售过这款软件。苹果公司也亲自下场起诉NSO，要求永久禁止该公司使用任何苹果软件、服务或装置。 而最先爆发“飞马监听门”事件的地方正是印度，多名政治人物、政府官员和知名记者被发现出现在“监听者名单”上，而且这些人的立场基本都站在莫迪政府的“对立面”。虽然整件事情在莫迪政府的否认下，最终不了了之，但猜疑的种子早已埋下。 对于反对党们的指责，印人党高级干部、前通信部长拉维·尚卡尔·普拉萨德表示这些指责“虚假且毫无根据”。 而现任通信部长阿什维尼·瓦希诺也在社交媒体上表示“将展开调查”，并且还要求苹果公司加入调查，并提供有关涉嫌国家支持的攻击的真实、准确的信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/382729.html 封面来源于网络，如有侵权请联系删除

苹果公司昨天（8月31日）正式宣布开始接受2024 年iPhone安全研究设备计划的申请，iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。 SRD设备是专门向安全研究人员提供的iPhone14Pro，该设备具有专为安全研究而设计的特殊硬件和软件，以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞，苹果方面都会考虑给予一定的安全漏洞赏金。 研究人员在拿到为期12个月（可续借）的SRD后，可以使用它进行以下操作： 安装和启动自定义内核缓存 使用任何权限运行任意代码，包括以平台和 root 身份在沙盒外运行 设置 NVRAM 变量 为 iOS 17 中新增的安全页面表监控器（SPTM）和可信执行监控器（TXM）安装和启动自定义固件 苹果方面补充称，通过 “安全研究设备计划 “提供的 iPhone 只能由授权人员使用，且不得离开安全研究机构的场所。 设备申请截止至10月31日 从即日起至10月31日，苹果邀请安全研究人员申请 2024 年 iPhone 安全研究设备计划 (SRDP)。与苹果安全团队通力合作，帮助保护用户，找出漏洞即可获得苹果安全赏金奖励。 每年苹果都会通过申请程序挑选出数量有限的安全研究人员获得 SRD，该程序主要基于他们在安全研究方面的记录，包括在 iPhone 以外的平台上的研究记录。 苹果还允许大学申请访问 2024 年 iPhone 安全研究设备计划，将其用作计算机科学课程的教学辅助工具。 所有提交的申请将在今年年底前接受全面评估，并计划在 2024 年初公布中选的参与者名单。 你可以在苹果安全研究设备计划页面上找到更多有关该计划资格的信息，并提交安全研究设备申请。 苹果安全研究计划（SRDP）最早于2019 年启动 苹果安全研究计划（SRDP）于 2019 年上线，研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示，研究人员帮助他们实施了“新颖的修补措施”，以保护 iOS 设备。 在过去的六个月里，计划参与者获得了 37 个 CVE 信用点，为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。 参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告，并表示“多个奖项”达到了 50 万美元，中位数奖金接近 1.8 万美元。     转自Freebuf，原文链接:https://www.freebuf.com/news/376697.html 封面来源于网络，如有侵权请联系删除

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.youtube.com/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/66_qEv_K-CS3psoD9EaioQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 根据Guardz的最新报告，网络犯罪分子正持续从专门针对微软Windows用户的攻击转向对macOS用户的攻击。该公司上个月首次注意到这一趋势。 这家网络安全公司表示，他们在7月20日观察到一个名为Rodrigo4的新黑客在暗网的“macOS需求案例研究”横幅下开店。 Guardz说:“该黑客称自己在过去的六个月里，一直在开发macOS信息窃取恶意软件，并愿意将其提供给私人会员。” 今年7月，该公司发现了一种名为ShadowVault的新型恶意软件，目标是macOS系统。长期以来，macOS系统一直被视为比微软更安全的替代品。看来苹果用户再也不能自满了。 Guardz发现的另一种针对macOS系统的恶意软件类型是隐藏虚拟网络计算(HVNC)，这是一种未经合法用户同意或不知情的非法计算机劫持形式。 “这是一个已知的恶意软件模块，目标是Windows操作系统设备，但现在也转向了macOS机器。入侵者默默地加入了他们的计算机，然而用户则完全没有意识到有入侵者创建了一个新的桌面会话。” Guardz警告macOS用户，未来可能会有更多的威胁：“还有多少其他攻击者在黑暗中徘徊，致力于为macOS设备开发恶意软件，还有待观察。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

苹果公司宣布，从今年秋开始，开发者提交的App若需要调用某些API，需要在提交之前给出详细的调用理由，以确保开发人员不会滥用 API 进行用户的指纹识别。 苹果表示，有一小部分 API 可能被滥用，通过指纹识别收集有关用户设备的数据，这是我们的开发者计划许可协议所禁止的。 该项措施旨在保证应用程序遵守“必要原因使用API”的规定，开发人员必须选择一个或多个与其应用程序的 API 使用情况准确一致的调用理由，且仅限于在所选定的范围内调用API。目前苹果已经将Apple Developer 网站上的将部分 API 标记为“Required Reason APIs”（需提供调用理由的API）。 此外，从2024年春季开始，开发人员还必须在应用程序的隐私清单中包含经批准的API调用原因，才能上传新应用程序或应用程序更新。 但苹果也表示，若一些API有调用的确切必要性，但未被列入能够获批的范围内，需要开发人员提供用例，来证明用户能够从中获益。 近一年来苹果在加强系统及应用安全性上采取了不少措施。自iOS16发布以来，苹果带来了新的iPhone 用户安全和隐私的功能，包括锁定模式和安全检查功能。锁定模式旨在保护一些特定群体免受罕见和高度复杂的网络攻击；安全检查功能旨在为那些人身安全受到直接威胁的人提供了一个账户安全和隐私权限的紧急重置选项，切断他们与攻击者的联系。     转自Freebuf，原文链接：https://www.freebuf.com/news/373444.html 封面来源于网络，如有侵权请联系删除