HackerNews 编译，转载请注明出处： 苹果即将上线一项新功能，部分 iPhone 用户可通过该功能阻止蜂窝网络采集自身精准位置信息，从而提升执法机构及黑客定位用户实时位置的难度。 近年来，执法机构愈发频繁地传唤蜂窝运营商，调取手机用户的历史及实时行踪记录。 该新功能不会影响用户向应急救援人员共享位置信息，也不会限制用户自主向各类应用授权共享位置数据。 该功能初期将面向运行 iOS 26.3 或更高版本的 iPhone Air、iPhone 16e 以及 iPad Pro (M5) Wi-Fi + Cellular 机型用户开放。 “蜂窝网络可根据您的设备所连接的基站来判断您的位置，”苹果在周一发布的博客文章中说明。 根据博文介绍，开启此功能后，蜂窝网络将仅能识别“您设备所在的大致区域，而无法获得更精确的位置信息（例如具体街道地址）”。 苹果虽未明确阐述推出此功能的具体缘由，但该公司近年来持续将自身塑造为消费者隐私保护的领军者，并通过一系列更新赋予用户对其个人数据更大的控制权。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果的新内存完整性强制（MIE）功能提供始终开启的内存安全保护，覆盖关键攻击面，包括内核和 70 多个用户空间进程。 周二，苹果推出了其新款 iPhone 17 和 iPhone Air 智能手机，其中包括一项新的内存保护功能，以保护设备免受复杂间谍软件攻击。 这项新功能名为内存完整性强制（MIE），这家科技巨头表示，它为最新手机提供了始终开启的内存安全保护。新款 iPhone 系列运行 iOS 26 系统。 苹果指出，尽管其 iOS 操作系统尚未遭受大规模恶意软件攻击，但 iPhone 经常成为资源丰富的威胁行为者的攻击目标。 这些攻击通常涉及由“合法”监视解决方案提供商开发的漏洞利用。这些公司通常被称为雇佣间谍软件供应商，因为尽管他们声称只向政府机构提供服务，用于国家安全和刑事调查目的，但实际上，他们的产品在许多情况下被出售给威权政权，并被用来对付记者、人权活动家和政治异见人士。 这些间谍软件供应商开发的漏洞利用通常涉及内存安全漏洞，而苹果的新 MIE 保护旨在使利用此类漏洞的难度大幅增加。 据苹果称，MIE 功能利用了芯片巨头 Arm 于 2022 年发布的增强型内存标记扩展（EMTE），这是 Arm 在与苹果合作后对其 2019 年内存标记扩展（MTE）规范的更新。 MIE 使用 EMTE 以及安全内存分配器和广泛的标记保密强制政策，在内核、Safari 和信息应用中提供保护。 在针对已知漏洞利用链和最近漏洞测试 MIE 后，苹果发现它在阻止攻击的早期阶段非常高效，能够防止威胁行为者通过替换一个漏洞来复活漏洞利用链。 “不可避免地，攻击者必须在他们的能力仍然非常有限的阶段面对 MIE，这使得可用于利用的途径很少。这导致了脆弱的链条，其中打破一个步骤通常就足以使整个漏洞利用策略无效，”这家科技巨头解释说。 苹果安全工程与架构负责人伊万・克尔什蒂奇（Ivan Krstić）表示：“基于我们对内存完整性强制与过去三年异常复杂的雇佣间谍软件攻击的评估，我们相信 MIE 将使漏洞利用链的开发和维护成本大幅增加和变得更加困难，扰乱过去 25 年中最有效的许多漏洞利用技术，并完全重新定义苹果产品内存安全的格局。” 谷歌也最近宣布了一项名为高级保护模式的新功能，旨在阻止针对安卓用户的间谍软件和其他攻击。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FlirtAI约会助手应用因未受保护的云存储泄露16万张私密聊天截图。该iOS应用由德国柏林公司Buddy Network GmbH开发，主打AI辅助社交功能。用户上传聊天截图后，应用会生成五条定制回复建议。但研究人员发现其谷歌云存储桶未设权限保护，导致超16万张涉及私密对话的截图暴露。 核心风险点： 未成年人数据高危：泄露数据显示青少年为主要用户群体，其上传的截图包含同龄人私密对话。这些未成年人可能完全不知晓自己的聊天内容被截图并外泄。 非用户隐私裸奔：对话截图中的另一方（非应用使用者）个人信息遭泄露，且因聊天软件界面设计特性，其身份标识（如姓名、头像）更易被锁定。 心理伤害隐患：该应用目标用户多存在社交焦虑或自我认同危机，隐私泄露可能加剧其心理压力。 应用机制争议： 用户需手动截取约会软件聊天或个人资料界面，上传至FlirtAI获取回复建议。 应用条款虽要求“上传前需获得对话方授权”，但实际操作中几乎无法执行。 苹果商店标注17+年龄限制，但未有效阻止未成年人使用。 处置进展： 5月6日：研究人员发现漏洞 5月19日：向开发商发出披露通知 6月2日：通报计算机应急响应小组(CERT) 6月16日：存储桶访问权限修复 涉事公司另运营两款AI应用：情感陪伴应用“Angel”及AI日记工具“90 Seconds”。此次事件再次暴露移动应用生态的数据安全顽疾——近期针对15.6万款iOS应用的研究显示，71%的应用存在至少一项敏感数据泄露风险，平均每款应用暴露5.2个安全凭证。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对于注重隐私的人而言，在线生成成人内容通常不是明智之举。例如，苹果应用商店的”Novel AI: Book Creator”因Firebase数据库配置错误导致数据泄露，显示用户生成的内容远不止普通鬼故事那么简单。 “Novel AI: Book Creator”用户生成故事及其他个人数据遭泄露，部分泄露故事涉及少儿不宜内容，攻击者可利用泄露信息进行性勒索和敲诈，Cybernews已联系应用开发者但未获回复。我们用户往往对应用开发者及其隐私保护能力过度信任。以iOS应用”Novel AI: Book Creator”为例，Cybernews研究团队发现该应用因安全规则配置错误导致用户数据泄露。 这款在美国应用商店拥有近2000条评分的应用，允许用户通过人工智能(AI)生成故事。然而安全配置错误使这些故事处于公开可访问状态。此外，用户与客服的互动记录及邮箱地址也遭曝光。 唯一值得庆幸的是，AI提示词本身已匿名化处理，这意味着攻击者只能识别同一用户生成的多篇故事，但无法获取相关个人信息。换句话说，攻击者需要付出更多努力才能确定故事来源。 令人担忧的是，尽管多次尝试联系开发者，该数据库已持续公开访问超过一个月。我们已联系”Novel AI: Book Creator”开发团队寻求置评，收到回复后将更新报道。 “泄露数据包括用户与客服的沟通记录、邮箱等个人身份信息，以及用户生成的各类故事。部分用户生成内容涉及成人题材。”Cybernews信息安全研究员Aras Nazarovas指出。 iOS应用具体泄露哪些数据？数据通过Firebase数据库泄露，该数据库作为临时存储区，在数据量达到阈值后会同步至永久存储系统。研究团队发现泄露的数据库包含：用户与客服的互动记录，用户邮箱地址以及用户借助AI生成的故事。 如前所述，用户故事仅关联用户ID而非真实姓名，但攻击者仍可进行关联匹配。研究人员表示，若用户曾在应用中提交反馈或客服咨询，攻击者即可确定特定故事的创建者。 研究团队特别指出，鉴于部分故事包含大量性内容，有些用户可能非常不愿让人知晓其使用过某些特定AI提示词。 Nazarovas解释：”此类内容的泄露风险极高，可能暴露令人尴尬或社会难以接受的个人偏好，攻击者可利用这些信息进行勒索或性胁迫。” 研究团队认为，攻击者可利用该漏洞设置数据抓取程序，持续从暴露的Firebase数据库中下载敏感信息。此外，网络犯罪分子还能实时获取新的AI提示词提交记录、客服咨询记录（含邮箱地址）等数据。 调查期间，该Firebase数据库已泄露约400封含邮箱地址的客服邮件，以及55,000篇用户生成故事。但考虑到Firebase作为临时数据库的特性，实际存储数据量可能远高于此。 泄露的Firebase数据库不仅暴露用户隐私数据，还公开了应用客户端的多项机密信息，包括：API密钥、客户端ID、数据库URL、Google应用ID、项目ID、反向客户端ID、存储桶、Facebook应用ID、Facebook客户端令牌。API密钥和数据库URL的公开会显著提升安全风险。攻击者可反编译应用，利用泄露凭证访问后端服务，绕过应用安全控制，导致非授权数据访问、账户劫持乃至完整数据库泄露等问题。 此外，API密钥通常具有广泛权限，攻击者可借此篡改或窃取用户敏感数据。而Facebook应用ID等社交媒体凭证则可能被用于实施仿冒攻击。 研究人员建议分别针对Firebase实例和硬编码密钥采取修复措施。针对Firebase相关问题，建议：制定适当的Firebase安全规则，确保只有经授权的认证用户和服务能访问存储数据。研究人员表示。”该应用使用的Firebase实例处于公开可访问状态，攻击者可实时连接数据库并抓取数据，获取包括用户客服沟通记录和AI提示词在内的所有操作信息。” 为防止应用密钥落入不法分子之手，建议：将敏感密钥从应用客户端移除，转存至服务器端，通过自有基础设施代理应用与第三方服务的通信。Nazarovas解释称。”硬编码密钥使攻击者可枚举应用使用的基础设施。若存在认证密钥，攻击者还可能滥用相关服务窃取用户数据，或将服务用于非授权用途。” “Novel AI: Book Creator”远非首个存在密钥泄露问题的iOS应用。研究团队近期发现多款应用存在严重安全隐患。例如，多个BDSM、LGBTQ+和sugar dating应用被曝泄露用户私密照片，部分甚至泄露私聊信息中的图片。 其他案例中，用于追踪家人行踪或秘密存储敏感数据的应用也被发现存在大规模数据泄露。 最新泄露事件是在大规模调查中发现的——Cybernews研究人员下载了156,000个iOS应用（约占苹果商店应用的8%），发现开发者普遍在应用代码中明文存储密钥凭证。 调查结果显示，71%的被分析应用至少泄露一个密钥，平均每个应用代码暴露5.2个密钥。     消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

雇佣间谍软件通常涉及政府和执法机构试图监视某些关键目标。苹果公司表示，攻击是“持续性的和全球性的”。 苹果公司正在向部分 iPhone 用户发出有关间谍软件攻击的另一条警告。 距离上一轮警告发布已过去三个月，此次新警报引起了安全研究人员和隐私组织的关注。间谍软件监督组织 Citizen Lab 的研究员 John Scott-Railton 在推特上写道：“认真对待这些警报，寻求专家帮助。” 据TechCrunch 报道，苹果已向 98 个国家的用户发出警告。警告内容据称是：“苹果检测到您正受到雇佣间谍软件攻击，该软件正试图远程入侵与您的 Apple ID -xxx- 关联的 iPhone。” 目前尚不清楚此次攻击涉及哪种间谍软件，以及攻击了多少部 iPhone。但雇佣间谍软件攻击通常涉及那些关键人物、社会活动人士，通常通过零点击攻击（受害者完全无法察觉）。 最臭名昭著的雇佣间谍软件之一是 Pegasus(飞马间谍软件)，它来自一家以色列公司。近年来，Pegasus 被发现出现在记者甚至英国首相办公室成员的手机上。 在一份支持文件中，苹果表示“绝大多数用户永远不会成为此类攻击的目标”，因为雇佣间谍软件通常依赖于罕见的软件漏洞，而这些漏洞的发现和开发成本可能高达数百万美元。 苹果公司表示：“尽管雇佣间谍软件攻击的对象是极少数个人——通常是记者、活动家、政客和外交官——但它们仍在持续进行，而且遍布全球。” 自 2021 年以来，苹果一直在向用户发出间谍软件警报。今年 4 月，苹果向 92 个国家的消费者发出了警报。苹果公司周三发送的警告并未透露攻击者的身份或用户收到通知的国家/地区。 为了防范间谍软件威胁，苹果为 iPhone 创建了一种锁定模式，该模式可禁用某些功能以阻止间谍软件攻击成功瞄准设备。 锁定模式时将采取的安全措施： Messages：除图片外，大多数信息附件类型均被屏蔽。部分功能（如链接预览）被禁用。 网页浏览：除非用户将受信任的站点从锁定模式中排除，否则某些复杂的网页技术（如即时 JavaScript 编译）将被禁用。 Apple 服务：如果用户之前没有向发起者发送呼叫或请求，则传入的邀请和服务请求（包括 FaceTime 呼叫）将被阻止。 FaceTime：之前没有呼叫过的人的 FaceTime 来电将被阻止。 共享相册：共享相册将从照片应用中删除，并且新的共享相册邀请将被阻止。 当 iPhone 被锁定时，与电脑或配件的有线连接将被阻止。 当锁定模式处于开启状态时，无法安装配置文件，并且设备无法注册到移动设备管理 (MDM)。 注：普通人不必启用锁定模式，锁定模式会限制大量正常功能，大多数消费者是不会喜欢的。普通人也不必担心上述间谍软件的攻击，因此类攻击所需要的的成本太高了。非关键人物不会成为此类攻击的目标。 该公司还建议用户使用最新软件版本更新他们的 Apple 设备，并在他们的帐户中使用多因素身份验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hd5dm71j4x9pFHQbbzsHLQ 封面来源于网络，如有侵权请联系删除

据俄罗斯新闻媒体报道，应俄罗斯国家通信监管机构 Roskomnadzor 的要求，苹果公司于 2024 年 7 月 4 日从其 App Store 中移除了俄罗斯的一些虚拟专用网络 (VPN) 应用程序。 据MediaZona报道，这包括 25 家 VPN 服务提供商的移动应用程序，包括 ProtonVPN、Red Shield VPN、NordVPN 和 Le VPN 。值得注意的是，NordVPN此前已于 2019 年 3 月关闭了其所有俄罗斯服务器。 Red Shield VPN 在一份声明中表示： “苹果的行为是出于保留俄罗斯市场收入的动机，这不仅是鲁莽的，也是对公民社会的犯罪。” Le VPN 在类似的通知中表示，此次删除行动是根据 2006 年 7 月 27 日第 149-FZ 号联邦法律“关于信息、信息技术和信息保护”第 15.1 条第 7 款进行的，并且其应用程序在收到监管机构的正式通知之前就已被删除。 为此，VPN服务已被列入俄罗斯禁止公开分发的互联网资源“统一登记册”。 俄罗斯联邦通信监管局表示：“此次事件标志着该局在管控俄罗斯境内互联网接入和内容方面迈出了重要一步。” 为了应对大规模打击，Le VPN 此后推出了一项名为 Le VPN Give 的替代服务，声称“允许您使用第三方开源软件和混淆的 VPN 连接连接到我们的秘密服务器”。 此举是克里姆林宫自 2022 年 2 月俄乌冲突爆发以来宣布的一系列审查举措的一部分，这些举措已导致多家媒体以及 Facebook、Instagram 和 X 等社交媒体应用程序被封锁。   转自e安全，原文链接：https://mp.weixin.qq.com/s/DwPNAWVLFdzkkdLKW03wxA 封面来源于网络，如有侵权请联系删除

苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中，马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP，甚至不需要苹果设备或任何类型的权限。 苹果如何暴露全球 AP 您是否曾经想过，您的手机如何知道它在世界上的位置？ 当然，全球定位系统 (GPS) 是它使用的工具之一，但它并不完美。当设备与天空失去清晰的联系时，它的效率就会降低，而且它会消耗大量电量，这对于如此持久的任务来说并不理想。 这就是 Wi-Fi 定位系统的用武之地。如果用 Wi-Fi 接入点 (AP) 替代卫星，WPS 的工作原理有点像 GPS。 首先，运行 Apple 或 Google 操作系统的设备会定期报告其位置（通过 GPS 或手机信号塔三角测量）以及来自附近网络的相对信号强度（用其基本服务集标识符或 BSSID 标记），从而提供一些距离指示。通过这种众包，这些公司开发了有关全球 AP 位置的庞大数据库。 正如 Rye 所解释的那样，“您可能不拥有任何 Apple 设备，但尽管如此，您的 Wi-Fi 接入点仍将进入此系统，这仅仅是因为拥有 Apple 设备的人会路过您的家、给您送包裹或住在您隔壁。” 然后，单个设备可以通过扫描附近的 Wi-Fi 网络并向公司服务器报告来确定其位置。在 Apple 的案例中，WPS 服务器将返回这些 Wi-Fi 网络的位置，设备可以将其与观察到的信号强度进行比较以确定其相对位置。那么，问题是什么呢？ Apple 的 WPS API 是开放且免费的。它是为 Apple 设备设计的，但任何人都可以从非 Apple 设备查询它，而无需任何类型的身份验证或 API 密钥。使用用 Go 编写并在 Linux 上运行的程序，Rye 暴力猜测了大量 BSSID 号码，直到他最终找到一个真正的 BSSID，为此，WPS API 端点向他赠送了一组靠近它的其他 BSSID。 “一旦开始获得命中，你就可以进行所谓的‘滚雪球抽样’，然后将其反馈回去，并不断反复抽样。”他解释道。“在不到一周的时间内，我们能够积累大约 5 亿个唯一的 BSSID。” 苹果 WPS 的一个特殊功能让这一过程变得更加高效。在响应位置查询时，它会主动返回最多 400 个结果，而不仅仅是几个附近的网络。 有什么风险？ “我们基本上可以创建一张地球的 Wi-Fi 地图，其中包括一些最偏远的地方：南极洲、大西洋中部的小岛等等。”Rye 说。 他的研究成果包括：一张为饱受战争蹂躏的乌克兰提供互联网接入的 Starlink AP 地图，以及一幅加沙地带互联网接入不断变化的图景，这些都可能是有价值的军事情报。 更有针对性的隐私攻击可能涉及在个人搬家或使用移动 AP（例如，在房车中）旅行时跟踪他们。 “这很有趣——每个人都有自己想要了解的案例研究。”赖伊说。“有人问过我们关于火人节的问题，这个问题很容易回答，因为火人节位于偏僻的地方。所以如果你的接入点出现在那里，我们就知道你来参加火人节了。” 什么可以做（什么不可以做） 细心的读者可能会问：如果苹果和谷歌都有 WPS，为什么我们只挑选一个呢？ 这两个系统都使用庞大的全球 BSSID 数据库来三角测量设备位置。但是，当 Android 设备查询 Google 的 WPS API 时，Google 的服务器会进行三角测量并回复结果，而不是回复一长串 BSSID。因此，所有额外数据都不会被暴露。 Google 还需要一个 API 密钥，它用它来对查询收取费用（最多每两次请求收取一分钱）。对于普通用户来说，这笔小费用微不足道，但对于需要猜测大量 BSSID 才能找到真实 BSSID 的攻击者来说，这笔费用是高得离谱的，就像 Rye 在测试中所做的那样。 这只是苹果、接入点制造商甚至立法者可以改善接入点安全性的众多方法中的两种。与此同时，个人也可以采取一些预防措施。 “如果你是一个技术娴熟的用户——运行OpenWrt 或类似程序——你可以手动随机化你的 BSSID。但这超出了大多数人的能力范围。”Rye 说。 特别处于危险中的个人可以完全避免使用旅行 AP，并在每次搬家时采用新的 AP。Rye 补充道：“Apple 已实施了选择退出功能。如果您在网络名称末尾添加‘_nomap’，Apple 表示这将阻止您的 Wi-Fi 接入点进入他们的系统。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/teziza2UEcX8a0U9G-7_KQ 封面来源于网络，如有侵权请联系删除

在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。 随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple Intelligence），宣布与OpenAI合作将ChatGPT引入iPhone，标志着苹果在AI领域迈出了一大步，同时也引发了外界对苹果隐私保护的广泛关注。除了消费者外，苹果智能还面临着虎视眈眈的欧盟《数字市场法案》（DMA）。就在苹果全球开发者大会结束后不久，6月25日欧盟委员会通知苹果公司将对其展开调查，因为苹果公司（阻挠第三方应用商店的反市场竞争）行为违反了欧盟DMA法律，可能被处以全球总营业额10%的天价罚款。 苹果打造AI隐私新标准：隐私云计算 在全球开发者大会上，苹果的软件工程高级副总裁Craig Federighi表示，苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行，提供一种创新的隐私保护方式。“苹果通过PCC设计了一种新的端到端AI架构，扩展了用户iPhone的私人云环境，允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上，这意味着苹果可以掩盖AI请求的来源，防止包括苹果在内的任何人访问用户数据。Doffman表示，“理论上，这接近于云端AI的端到端加密。” Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出，苹果的目标是确保AI的使用，即便在云端，也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素，但他认为苹果已经做得相当出色。 遗憾的是，虽然将隐私保护作为重要卖点，但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能，原因是“《数字市场法案》带来的监管不确定性”。 安卓的“混合AI” 三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示，这种方法旨在提供强大AI功能的同时，尽可能保护隐私。然而，这种混合AI处理方式仍存在风险，因为部分数据需要传输到云端服务器，可能更容易被截获或滥用。谷歌和其硬件合作伙伴则认为，隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说，其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施，包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示，谷歌的AI功能依赖于其自身的云端模型，确保敏感信息不会被发送给第三方处理。 第三方风险 与安卓AI不同，“苹果智能”还面临第三方风险。事实上，苹果与OpenAI的合作一开始就引发了外界的广泛质疑，尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称，苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁，如果苹果在操作系统层面整合OpenAI，其公司将禁止使用苹果设备。苹果反驳了马斯克的指控，称与OpenAI的合作不会影响iPhone的安全性，并强调了为用户隐私提供的保护措施，包括查询共享前需征得用户同意和IP地址的匿名处理。然而，安全专家仍对合作的隐私影响和“第三方风险”表示担忧。 AI手机的隐私保护竞赛 苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭，其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式，为PCC的软件图像提供公开访问，让外部安全研究人员能够检查其软件功能并识别问题。随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能，隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的，“苹果（宣称的）的隐私保护能力仍然是重视数据安全的用户的关注重点。” 选择苹果iOS还是安卓AI手机，最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看，“苹果智能”在隐私保护方面的表现已经领先安卓。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jowNVqYE1YXhq3hUCWB72g 封面来源于网络，如有侵权请联系删除

Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞，可能被利用来发起软件供应链攻击，使下游客户面临严重风险。 EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin在今天发布的一份报告（https://www.evasec.io/blog/eva-discovered-supply-chain-vulnerabities-in-cocoapods）中表示，这些漏洞允许“任何恶意攻击者声称拥有数千个无人认领的 pod，并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中”。 这家以色列应用安全公司表示，截至 2023 年 10 月，这三个漏洞已被CocoaPods修补。为了应对这些披露，它还重置了当时的所有用户会话。 其中一个漏洞是 CVE-2024-38368（CVSS 评分：9.3），攻击者可以利用该漏洞滥用“ Claim Your Pods ”流程并控制软件包，从而有效地篡改源代码并引入恶意更改。但是，这需要所有先前的维护者都已从项目中移除。 问题的根源可以追溯到 2014 年，当时迁移到Trunk 服务器时留下了数千个所有者不明（或无人认领）的软件包，这允许攻击者使用公共 API 来认领 pod 以及 CocoaPods 源代码中提供的电子邮件地址（“unclaimed-pods@cocoapods.org”）来接管控制权。 第二个漏洞更为严重（CVE-2024-38366，CVSS 评分：10.0），它利用不安全的电子邮件验证工作流程在 Trunk 服务器上运行任意代码，然后可用于操纵或替换软件包。 该服务中还发现了电子邮件地址验证组件中的第二个问题（CVE-2024-38367，CVSS 评分：8.2），该问题可能会诱使收件人点击看似无害的验证链接，而实际上，它会将请求重新路由到攻击者控制的域以获取对开发人员会话令牌的访问权限。 更糟糕的是，通过欺骗 HTTP 标头（即修改X-Forwarded-Host标头字段）并利用配置错误的电子邮件安全工具，这可以升级为零点击帐户接管攻击。 研究人员表示：“我们发现几乎每个 pod 所有者都在 Trunk 服务器上注册了他们的组织电子邮件，这使得他们容易受到我们的零点击接管漏洞的攻击。” 这并不是 CocoaPods 第一次受到关注。2023 年 3 月，Checkmarx透露，与依赖项管理器关联的废弃子域（“cdn2.cocoapods[.]org”）可能已被攻击者通过 GitHub Pages 劫持，目的是托管他们的有效载荷。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JKVTO7h2qdZ8aNLr6m-rSg 封面来源于网络，如有侵权请联系删除

臭名昭著的IntelBroker黑客曾涉嫌入侵大型公司和政府实体，此次他声称入侵了苹果公司并窃取了三种内部工具的源代码。 根据Breach Forums上的一篇帖子，IntelBroker 声称于 2024 年 6 月访问了 Apple 的系统，并获取了以下工具的源代码： AppleConnect-SSO AppleMacro插件 Apple-HWE-Confluence-Advanced 黑客没有提供关于此次入侵事件或窃取代码的具体用途的更多细节。不过，值得一提的是，此次所谓的入侵事件不会对苹果客户或客户信息造成任何影响。 Intel Broker 在 Breach Forums 上发布的帖子截图 虽然关于 AppleMacroPlugin 和 Apple-HWE-Confluence-Advanced 工具的信息并不多，但 AppleConnect-SSO 是 Apple 开发的内部单点登录 (SSO) 和身份验证系统。它允许员工安全地访问 Apple 网络内的各种应用程序。该系统与 Apple 的目录服务数据库集成，有助于安全访问内部资源。 在 iOS 设备上，它包含基于手势的登录选项，可替代传统密码，在保持安全性的同时增强易用性。AppleConnect 通过 iOS 和 macOS 上的应用程序使用，可以涉及各种验证方法，包括两步验证和 YubiKey 等硬件令牌。 IntelBroker 黑客组织的过往记录 就在此次最新指控发布前几个小时，IntelBroker宣布入侵美国知名半导体公司AMD，称窃取了AMD员工和产品信息并将其出售。 IntelBroker 的过往记录令人十分担忧，其先前声称的攻击行动针对范围广泛的实体，其中包括： 欧洲警察组织 亚洲科技（Tech in Asia） 太空之眼（Space-Eyes） 家得宝 Facebook 市场 美国承包商 Acuity Inc. 人力资源巨头 Robert Half 洛杉矶国际机场 汇丰银行和巴克莱银行 虽然该组织的来源和成员尚不清楚，但据美国政府称，IntelBroker 被指控为 T-Mobile 数据泄露事件的幕后黑手。 该黑客组织的动机和相关背景仍不清楚，但上述涉嫌入侵的频率和严重程度凸显了老练的网络犯罪分子所构成的越来越大的威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tZpqB2oyTE4NVntShcl8iQ 封面来源于网络，如有侵权请联系删除