法国监管机构因歧视性 ATT 同意实践对苹果处以 1.5 亿欧元罚款
HackerNews 编译,转载请注明出处: 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元(约 1.62 亿美元)罚款。 法国竞争管理局(Autorité de la concurrence)表示,将对苹果公司处以经济处罚,原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间,滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架,要求移动应用必须获得用户的明确同意,才能访问其设备的唯一广告标识符(即广告商标识符 IDFA),并在应用程序和网站之间跟踪用户,以进行定向广告投放。 “除非您获得用户的许可以启用跟踪,否则设备的广告标识符值将全部为零,您不得对其进行跟踪,”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示,但只有在您展示该提示并用户授予权限后,设备的广告标识符值才会被返回。” 除了请求跟踪权限外,应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题,但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的,也不成比例,”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”,并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求,因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是,用户在同意被跟踪时需要进行两次确认,而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪,但苹果公司在其自有应用中并未向用户请求同意(直到 iOS 15 实施之后),”该机构指出。”由于这一不对称性,法国国家信息与自由委员会(CNIL)对苹果处以罚款,认定其违反了《法国数据保护法》第 82 条,该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在,因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意,而对于第三方数据收集,仍然要求开发者获得双重同意。” 值得注意的是,该命令并未要求对 ATT 框架进行具体更改。据路透社报道,这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说,这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中,该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示,ATT 提示对所有开发者(包括苹果自身)都是一致的,并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
因政府要求加密后门,苹果在英取消 iCloud 高级数据保护功能
HackerNews 编译,转载请注明出处: 苹果公司周五宣布,由于英国政府要求获得加密用户数据的后门访问权限,将立即在英国移除 iCloud 的高级数据保护(ADP)功能。 据彭博社首次报道,ADP 是 iCloud 的一个可选设置,确保用户的受信任设备唯一持有用于解锁存储在云端数据的加密密钥。这包括 iCloud 备份、照片、笔记、提醒、Safari 书签、语音备忘录以及与苹果自家应用相关的数据。 “鉴于数据泄露和其他对客户隐私的威胁不断增加,我们对无法在英国为客户提供 ADP 保护感到非常失望,”苹果公司被引用对彭博社表示。“ADP 通过端到端加密保护 iCloud 数据,这意味着数据只能由拥有它的用户在其受信任设备上解密。” 据报道,已经使用 ADP 的用户需要在尚未指定的时间内手动禁用该功能,因为苹果“无法代表他们自动禁用它。” 这一前所未有的举措仅在数周前,有报道称英国政府已下令苹果建立后门以访问任何苹果用户的 iCloud 内容。 据《华盛顿邮报》报道,该要求由英国内政部根据《调查权力法》(IPA),也称为《窥探者宪章》,发出,“要求全面能力以查看完全加密的材料,而不仅仅是协助破解特定账户。” 随着在该地区移除 ADP,苹果现在只为 iCloud 提供标准数据保护,该保护加密用户数据但将加密密钥存储在其自己的数据中心,从而使执法部门在获得搜查令的情况下可以访问这些数据。 上周,美国参议员罗恩·怀登和众议员安迪·比格斯致函国家情报总监图尔西·加巴德,敦促英国撤回其命令,称这威胁到美国人民和美国政府的隐私和安全。 “如果英国不立即逆转这一危险行为,我们敦促你重新评估美英网络安全安排和项目以及美国与英国的情报共享,”他们补充道。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
苹果修复被用于“极其复杂攻击”的零日漏洞
HackerNews 编译,转载请注明出处: 2025年2月10日,苹果公司发布了紧急安全更新,修复了一个被利用于“极其复杂”的针对性攻击的零日漏洞(CVE-2025-24200)。该漏洞可能被攻击者用于在锁定设备上禁用USB限制模式。 USB限制模式是苹果在iOS 11.4.1中引入的一项安全功能,旨在阻止未经授权的设备通过Lightning接口访问数据。该功能会在设备锁定超过一小时后禁用USB配件的数据连接,但不影响充电功能。 此次修复的零日漏洞影响以下设备: iPhone XS及后续型号; iPad Pro 13英寸、iPad Pro 12.9英寸(第三代及后续)、iPad Pro 11英寸(第一代及后续)、iPad Air(第三代及后续)、iPad(第七代及后续)以及iPad mini(第五代及后续); iPad Pro 12.9英寸(第二代)、iPad Pro 10.5英寸和iPad(第六代)。 苹果建议用户尽快安装iOS 18.3.1、iPadOS 18.3.1和iPadOS 17.7.5更新,以修复该漏洞并增强安全性。 背景信息 攻击目标:该漏洞被用于针对特定个体的复杂攻击,可能涉及商业间谍软件的传播,目标包括记者、反对派政治人士和异议人士。 漏洞细节:该漏洞是一个授权问题,通过改进状态管理得到修复。 类似事件:2023年9月,苹果曾修复了两个零日漏洞(CVE-2023-41061和CVE-2023-41064),这些漏洞被用于零点击攻击链(BLASTPASS),以在最新版iOS的iPhone上安装NSO集团的Pegasus间谍软件。 消息来源:Bleeping Computer, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
英国要求苹果公司为 iCloud 账户设置秘密“后门”
据《华盛顿邮报》报道(https://www.washingtonpost.com/technology/2025/02/07/apple-encryption-backdoor-uk/),英国政府已向苹果公司发出秘密法律要求,要求其提供访问加密 iCloud 账户的权限。 这项要求被称为“技术能力通知”(TCN),是该国《调查权力法》中一项有争议的条款。 执法部门通过TCN 获得权限,但同时要求不得通知受影响的个人账户,否则可能会面临刑事诉讼。 《华盛顿邮报》的报道将这一要求描述为创建一个“后门,允许(英国当局)检索全球任何苹果用户上传到云端的所有内容”,但英国政府辩解称,此类通知只是为了迫使科技公司保留遵守数据合法授权的能力。 2022 年 12 月,苹果为 iCloud 用户推出了可选的端到端加密 (E2EE),尽管英国和美国执法机构抱怨此举将破坏打击恐怖主义和虐待儿童等严重犯罪的努力。 关于端到端加密的类似争论也很普遍,英国一位最资深的执法官员认为,Meta 于 2023 年 12 月转向 E2EE 消息传递是公司放弃保护儿童安全的责任。 科技公司一直主张并游说,替代安全程序可以让执法官员访问用户账户和聊天内容。执法官员则认为,此类元数据不符合针对最严重威胁采取法律行动的证据标准。 苹果和英国政府均未立即回应置评请求。 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/WwovEJuO783NqC_6YlhG4A 封面来源于网络,如有侵权请联系删除
苹果支付 9500 万美元和解“Siri偷听”指控诉讼
HackerNews 编译,转载请注明出处: 苹果公司已同意支付9500万美元,以和解一项指控其利用虚拟助手Siri偷听iPhone及其他时尚设备用户隐私的诉讼。 周二,加利福尼亚州奥克兰联邦法院提交的和解方案,旨在解决这起长达5年的诉讼。该诉讼指控苹果公司在十多年间,秘密激活Siri,通过iPhone及其他配备该虚拟助手的设备记录用户对话。 据称,这些录音甚至在用户没有使用触发词“嘿,Siri”激活虚拟助手时也发生了。诉讼还声称,部分录音被分享给广告商,以便向更可能对产品感兴趣的消费者推销商品和服务。 关于Siri偷听的指控,与苹果公司长期以来保护客户隐私的承诺相悖。苹果公司首席执行官蒂姆·库克经常将此承诺描述为捍卫“一项基本人权”的斗争。 在这项和解中,苹果公司并未承认有任何不当行为,该和解仍需得到美国地区法官杰弗里·怀特的批准。案件律师已提议于2月14日在奥克兰举行法庭听证会,以审查和解条款。 如果和解获得批准,自2014年9月17日至去年年底拥有iPhone及其他苹果设备的数千万消费者可提出索赔。每位消费者可获得最多20美元的赔偿,针对和解覆盖的每台配备Siri的设备,但具体赔偿金额可能会根据索赔数量而增减。据法庭文件估计,预计只有3%至5%的符合条件的消费者会提出索赔。 符合条件的消费者最多只能就五台设备寻求赔偿。 对于苹果公司自2014年9月以来获得的7050亿美元利润而言,这笔和解金额只是九牛一毛。同时,这也远低于消费者代表律师在诉讼中估计的,如果苹果被判违反窃听及其他隐私法律,可能需要支付的约15亿美元罚款的一小部分。 根据法庭文件,提起诉讼的律师可从和解基金中寻求最多2960万美元,以支付其费用和其他开支。 消息来源:Security Week, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Apple 修补了旧款 iPhone 上利用的 WebKit 缺陷
苹果公司周四为其旗舰 macOS 和 iOS 平台推出了安全更新,以修复旧移动设备上已经被利用的两个严重缺陷。 根据库比蒂诺的一系列建议,这些在 WebKit 浏览引擎中标记的漏洞可被用来劫持敏感内容或发起任意代码执行攻击。 该公司推出了iOS 17.1.2 和 iPadOS 17.1.2,修复了 WebKit 缺陷,并警告称,可以通过恶意网页内容发起漏洞利用。 该公司表示:“苹果公司已获悉一份报告,称该问题可能已被针对 iOS 16.7.1 之前的 iOS 版本所利用。” 按照惯例,苹果的公告没有提供有关野外利用的任何其他信息。 该公司将这一发现归功于谷歌威胁分析小组 (TAG) 的 Clément Lecigne。谷歌的研究人员积极发现利用 iPhone 零日漏洞的商业间谍软件供应商和唯利是图的黑客公司。 WebKit 内存安全错误(CVE-2023-42916 和 CVE-2023-42917)也在新的macOS Sonoma 14.1.2和Safari 17.1.2更新中进行了修补。 转自安全客,原文链接:https://www.anquanke.com/post/id/291574 封面来源于网络,如有侵权请联系删除
Apple Touch ID漏洞可能会让攻击者劫持 iCloud 帐户
苹果今年早些时候修复了iOS和macOS中的一个安全漏洞,该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。 IT安全公司Computest的安全专家Thijs Alkemade于2月发现了该漏洞,该漏洞存在于Apple实施的TouchID(或FaceID)生物识别功能上,该功能对用户进行了身份验证以登录Safari上的网站,特别是那些使用Apple ID登录的网站。 该漏洞通过披露程序将问题报告给Apple后,iPhone制造商在服务器端更新中解决了该漏洞。 认证缺陷 漏洞的核心主要是:当用户尝试登录需要Apple ID的网站时,将提示以使用Touch ID对登录进行身份验证。这样做会跳过两因素身份验证步骤,因为它已经利用了多种因素进行标识,例如设备和生物特征信息。 在登录到Apple域(例如“ icloud.com”)时,通常会使用ID和密码进行对比,其中网站嵌入了指向Apple登录验证服务器(“ https://idmsa.apple.com”)的iframe,来处理身份验证过程。 URL还包含其他两个参数-标识服务(例如iCloud)的“ client_id”和具有成功验证后要重定向到的URL的“ redirect_uri”。 但是,在使用TouchID验证用户的情况下,iframe的处理方式有所不同,因为它与AuthKit守护程序(akd)通信以处理生物识别身份验证,并随后检索icloud.com使用的令牌(“ grant_code”)页面以继续登录过程。 为此,daemon与“ gsa.apple.com”上的API通信,向该API发送请求的详细信息,并从该API接收令牌。 Computest发现的安全漏洞存在于上述gsa.apple.com API中,从理论上讲,它可以滥用这些域来验证客户端ID,而无需进行身份验证。 Alkemade指出:“即使akd提交给它的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID相匹配。” “相反,AKAppSSOExtension仅在这些域上应用了白名单。所有以apple.com,icloud.com和icloud.com.cn结尾的域都被允许。”意味着攻击者可以利用Apple任意一个子域上的跨站点脚本漏洞来运行JavaScript代码的恶意代码段,这些代码段可以使用iCloud客户端ID触发登录提示,并使用授权令牌在icloud上获取会话.com。 设置伪热点来接管iCloud帐户 在另一种情况下,可以通过在第一次连接到Wi-Fi网络(通过“ captive.apple.com”)时显示的网页上嵌入JavaScript来执行攻击,从而使攻击者可以访问用户,只需接受该页面上的TouchID提示即可创建该帐户。 “恶意Wi-Fi网络可以与JavaScript启动的OAuth作为iCloud的网页回应,” 艾尔克梅德说。“用户会收到一个TouchID提示,但不清楚含义是什么。如果用户在该提示下进行身份验证,则其会话令牌将被发送到恶意站点,从而使攻击者可以在iCloud上为其帐户提供会话。” “通过在用户希望接收热点的位置(例如,在机场,酒店或火车站)设置一个伪造的热点,就有可能获得访问大量iCloud帐户的权限,允许访问图片的备份,手机的位置,文件等等。” 这并不是Apple第一次在身份验证基础结构中发现安全问题。苹果在5月修补了一个影响其“用Apple登录”系统的漏洞,该漏洞使远程攻击者可以绕过身份验证,并接管已使用Apple登录功能注册的第三方服务和应用程序上目标用户的帐户。 稿件与封面来源:The Hacker News,译者:叶绿体。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Malwarebytes 报告:2019 Mac 威胁检测呈上升趋势
根据 Malwarebytes 发布的 2019 威胁检测报告,今年针对 Mac 平台的威胁有上升的趋势。在排名前 25 的威胁检测中,有六种针对 Mac 平台,占总量的 16% 。尽管看似并不严重,但鉴于 Mac 用户基数只占 PC 用户群体的 1 / 12,这项发现还是不由地让我们提高了警惕。 Mac 广告软件(图自:Malwarebytes,via MacRumors) 回顾 2019 年,Mac 恶意软件首次闯入了前五,并在其中占据了两席(位列第二和第五)。 首先是被称作 NewTab 的 Mac 广告软件,其占据了跨平台检测总数的 4% 。 作为一款基于浏览器扩展程序来修改网页内容的 Adware,其可在 Chrome 浏览器中找到。 因苹果修改了扩展程序的政策,因此其无法再安装到 Safari 浏览器中。 其次是占总检测量 3% 的 PUP.PCVARK: PUP 指代‘可能不需要的程序’,是用户无意间安装的 Mac 程序的集合。 (Windows / Mac 双平台单机检测量对比) Malwarebytes 指出:2019 年,每台 Mac 检测了 9.8 次,而 Windows PC 仅为 4.2 次。 问题在于,长期以来,许多 Mac 用户以为自己并不需要防病毒软件。若悲观猜测,这些 Mac 可能已经受到了某种可疑的感染。 当然,数据仅采集自已经安装了 Malwarebytes 的设备。在现实生活中,所有 Mac 的总体威胁检测率,可能不如样本数据中那样高。 (稿源:cnBeta,封面源自网络。)
iOS 应用程序有望从新提议的 Security.plist 标准中受益
本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。 (题图 via ZDNet) Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。 Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。 分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。 实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。 我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。 通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。 遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。 为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。 不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。 Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。 鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。 不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。 (稿源:cnBeta,封面源自网络。)
当iPhone用户滚动Facebook提要时,Facebook将秘密使用用户的相机
Facebook 又一个隐私问题曝光?iPhone用户Joshua Maddux推测Facebook可能会在用户查看Feed时使用相机。 Maddux在Twitter上发布的素材显示,他的手机摄像头在他滚动Feed时处于激活状态。 “当您在应用中打开照片并向下滑动时,由于存在一个bug,屏幕左侧会出现一个小细条用来摄像,这下子问题便显而易见了。TNW能够独立复现这个漏洞。” The Next Web 报道。 专家成功在iOS 13.2.2 版本中实现了漏洞复现,但是iOS 12不受影响。 Maddux补充说,他在五台运行iOS 13.2.2的iPhone设备上发现了相同的问题,但无法在iOS 12上复现。 “我观察到iPhone正在运行的iOS 12没有显示相机(不是说它没有被使用),” Maddux说。 TNW的人员注意到,仅当用户授予Facebook应用程序对您的相机的访问权限时,才会出现此问题。 在撰写本文时,仍不清楚该问题是否是预期的行为,该问题不适用于Android设备。 奥地利开发人员和Google工程师Felix Krause在2017年10月描述了类似的问题。专家解释说,iOS应用程序开发人员可以利用该漏洞,通过启动用户的前置和后置摄像头,来拍摄照片并录制实时视频。 根据Krause在博客文章中分享的技术文章 ,iPhone用户永远不会收到任何通知。 据专家分析,当前解决此问题的最佳方法是取消其摄像头访问权限。 消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接