adv

solidot新版网站常见问题,请点击这里查看。
安全
pigcanfly(38602)
发表于2016年04月15日 12时51分 星期五
来自没人在Windows上安装QuickTime
如果你的Windows电脑安装了QuickTime,是时候将其卸载了。从今年1月以来,苹果没有向Windows版QuickTime释出任何更新,而至少有2个漏洞正威胁着用户。趋势科技的安全研究人员在官方博客上指出,未来它将不会收到任何安全修正。研究人员建议用户尽可能快的卸载QuickTime。苹果正在淘汰Windows版QuickTime,QuickTime也没有正式支持Windows 8 或10,今年一月的更新则移除了QuickTime的浏览器插件。Ars认为苹果应该礼貌的通知Windows用户该应用被终止支持。
苹果
pigcanfly(38602)
发表于2016年04月13日 11时23分 星期三
来自0day
《华盛顿邮报》援引知情人士的消息报道,专业黑客利用至少一个先前未知的软件漏洞帮助破解了San Bernardino枪击案枪手的iPhone 5c手机,而FBI则为此向黑客支付一次性的费用。这些安全研究人员非常低调,他们专注于搜寻软件的漏洞,在某些情况下将漏洞信息出售给美国政府。根据FBI的估计,破解手机四位Pin码本身并不困难,挑战在于如何避开手机操作系统的安全功能。iPhone手机的系统在输错10次之后会抹掉数据。破解枪手的iPhone 5c手机,FBI没有借助以色列公司 Cellebrite的帮助。现在的问题将是FBI是否将软件漏洞披露给苹果公司。
iPhone
pigcanfly(38602)
发表于2016年04月08日 19时37分 星期五
来自信还是不信
FBI在第三方帮助下解锁了San Bernardino枪击案枪手的iPhone 5c手机。路透社报道,FBI局长James Comey在Kenyon学院的一个关于加密监控的会议上称,解锁iPhone 5c的方法对新款的iPhone无用。也就是该方法不适用于iPhone 5s、iPhone 6及iPhone 6s。iPhone 5c是苹果已经停产的一个廉价版本,被认为在安全性上弱于新款的手机。 James Comey说,为了解锁手机政府从私人方购买了一个工具。
Google
pigcanfly(38602)
发表于2016年04月08日 17时31分 星期五
来自远离甲骨文
The Next Web援引知情人士的消息报道,Google考虑将苹果的面向对象语言Swift作为Android的第一等语言,但这并不意味着Google将用Swift取代目前的第一等语言Java,至少一开始是如此。报道称,在Swift开源的时候,Google、Facebook 和Uber的代表在伦敦的一个会议上讨论了新语言Swift,Google认为Swift比Java有更多的优势。如果Android要支持Swift,Google有很多工作要做,它需要开发Swift运行时,开发支持Swift的标准库、API和SDK,一些用C++开发的底层API需要重写,用Java写的较高层API也需要重写。如果有足够的动机,在Android上支持Swift并非是不可能的事情。除了Swift,Google还考虑过其它语言如Kotlin,但不幸的是Google发现它的编译速度太慢。
iOS
pigcanfly(38602)
发表于2016年04月07日 15时28分 星期四
来自卸载 iTunes 不被接受
苹果CEO Tim Cook去年表示,该公司正在考虑为用户提供方法卸载预装的但用户并不需要的应用。现在,这一功能有望在不久之后提供给用户。苹果过去几周在iTunes元数据中加入了两个值——“isFirstParty”和“isFirstPartyHideableApp”,这些值暗示部分第一方应用(也就是预装的应用)可以被隐藏或移除。Tim Cook去年曾说过,“不是我们想要占着你们的地盘,我们没有动机这么做,我们想要你们快乐。”
加密技术
AnkhMorpork(36532)
发表于2016年03月29日 11时11分 星期二
来自国家级攻击
美国司法部向法庭递交文件(PDF),称FBI已经破解了San Bernardino枪击案枪手Syed Rizwan Farook的iPhone 5C手机,请求撤销强制要求苹果帮助解锁手机的法庭诉讼。撤销诉讼暂时化解了科技公司与美国政府之间有关加密后门的冲突,但也引发了政府在掌握了加密漏洞之后是否通知苹果公司的疑问,如果苹果没有堵上安全漏洞那么会有更多的普通用户受到影响。美国政府曾公布了一份漏洞披露政策Vulnerabilities Equities Process (VEP) 。法庭文件没有披露FBI使用什么方法破解手机,但有人推测可能与iPhone 5C使用的A6处理器有关,A6组合使用了密码和唯一设备ID生成256比特位密钥,它存在漏洞允许拷贝闪存记忆器内的数据,然后进行暴力破解(4位到6位密码的组成次数十分有限)。但苹果在较新手机中使用的A7处理器基本上堵上了这个漏洞,它使用了一个硬件级的安全区域secure enclave去防止镜像数据和暴力破解密码。
苹果
AnkhMorpork(36532)
发表于2016年03月24日 09时55分 星期四
来自NSA
liuyanjun0826 写道 "苹果担心它买的一些服务器和云服务被安装了后门,根据Amir Efrati和Steve Nellis的报告,许多苹果的云服务包像iTunes,App Store,iCloud都需要大量的数据中心进行部署,苹果现在没有能力建立起如此大的数据中心,所以不得不使用竞争对手如亚马逊和微软以及谷歌。但是苹果也准备建立它自己的数据中心,代号McQueen。现在项目受到阻碍,苹果怀疑购买的服务器被安装了后门。"
USA
AnkhMorpork(36532)
发表于2016年03月22日 11时54分 星期二
来自系统需要升级
在即将举行的法庭听证会前,美国司法部递交动议请求推迟但并没有取消针对苹果拒绝开发后门固件帮助解锁iPhone的法庭诉讼。据《纽约时报》报道,原因可能是FBI找到了方法不需要苹果帮助就能解锁手机。在法庭文件中,美国政府称有第三方向FBI演示了方法可能能解锁 San Bernardino枪击案枪手Syed Rizwan Farook的手机,司法部表示需要测试判断它是否是一种能在不危及数据的情况下解锁手机的可行方法。如果方法可行,那么FBI将不再需要苹果的帮助。司法部将在4月5日递交解锁进度的报告。法官Sheri N. Pym批准了司法部推迟听证会的动议。
iPhone
AnkhMorpork(36532)
发表于2016年03月22日 10时21分 星期二
来自海淘更便宜
苹果周一在发布会上宣布了至今最廉价的新款iPhone手机:4英寸iPhone SE在配置上与iPhone 6S相近——1136 x 640 像素显示屏,A9处理器和M9运动协处理器,1200 万像素 iSight 摄像头,能拍摄4K分辨率视频,Touch ID指纹传感器,支持AirPlay但不支持3D Touch。iPhone SE价格相当平民,16GB版售价399美元(约合人民币2592元),64GB版售价499美元(约合人民币3241元),但中国区的售价总是要高一点,两款手机分别售3288元和4088元,用户可以在3月24日预购,3月31日发货。苹果还发布了9.7英寸的iPad Pro。库克在发布会开始时对观众表示,苹果在保护用户iPhone数据安全上的立场不会妥协。库克说,美国需要决定政府对于个人数据及隐私拥有多大权限。他表示,苹果对其用户乃至国家都具有保护数据的责任。
加密技术
AnkhMorpork(36532)
发表于2016年03月21日 16时36分 星期一
来自非普通黑客
约翰霍普金斯大学的研究人员发现了苹果的一个加密弱点,但这对于想要解锁手机的FBI可能没有什么帮助。苹果表示今天发布的iOS 9.3将修复这个漏洞,它感谢了研究人员的帮助,称安全需要不断的努力。Matthew D. Green教授领导的团队在iMessage中发现了一个加密漏洞,允许攻击者解密通过iMessage发送的照片和视频。他和他的研究生开发了一个软件去模拟苹果的服务器,拦截加密传输,他们拦截的内容是一个储存在 iCloud服务器上的照片链接和解密照片的64位数字密钥。他们发现可以通过一个重复数千次的过程去猜测出正确的密钥。
安全
AnkhMorpork(36532)
发表于2016年03月21日 11时38分 星期一
来自只有伪果粉才买假冒产品
Google工程师Ken Shirriff拆解了一款假冒的Macbook充电器,假冒产品与苹果的真品外形惟妙惟肖,而内部别有天地,这并不出人意料。它比其它假冒充电器要逼真,但拆开一看就原形毕露了。相比苹果的充电器(右图),它的电路板非常简单,元件很少,苹果的充电器有着更好的供电质量和安全性能,示波器测试显示假冒产品的输出功率并不平衡。Shirriff对使用假冒产品发出了警告,指出它们缺乏必要的安全标准,虽然便宜但可能会对机器造成严重损害。
苹果
AnkhMorpork(36532)
发表于2016年03月18日 15时39分 星期五
来自全部关起来
即使FBI赢了法庭诉讼,强迫苹果去开发后门固件解锁手机,它可能还会面临新的障碍:苹果工程师。《纽约时报》援引现任和前任苹果雇员的消息报道,苹果雇员内部讨论了如果他们接到了帮助FBI的法庭命令他们能做什么。一些雇员可能会选择回避,另一些雇员甚至可能会辞职而不是去破坏他们所创造软件的安全功能。接受采访的苹果雇员包括了参与开发移动产品和安全的工程师,以及前安全工程师和执行官。今天的苹果仍然继承了其联合创始人乔布斯和沃茨的独立叛逆文化。
云计算
AnkhMorpork(36532)
发表于2016年03月18日 10时39分 星期五
来自速度可能更慢了
《华尔街日报》援引知情人士的消息报道,苹果将把部分数据从亚马逊AWS平台迁移到Google云计算平台,这对Google说是一个重大胜利,它正在与亚马逊和微软竞争云计算服务。亚马逊过去10年来在云计算市场占据领先地位,占据了约30%的市场份额。但它面临的竞争也越来越激烈。苹果公司从2012年左右开始使用AWS来存储上传到其iCloud服务的数据。据知情人士透露,苹果公司是亚马逊云服务最大的客户之一,年收费近10亿美元。据知情人士称,苹果两个月前开始使用Google的云平台,最终金额可能高达5亿美元。
iOS
AnkhMorpork(36532)
发表于2016年03月17日 11时34分 星期四
来自赶超世界水平
安全公司 Palo Alto Networks报告了深圳为爱普信息技术有限公司开发的爱思助手,利用苹果DRM系统设计漏洞传播恶意程序,窃取苹果用户的敏感信息,安全研究人员建议用户立即卸载电脑和手机上安装的爱思助手及其安装的所有iOS应用。 研究人员将该恶意程序家族命名为AceDeceiver,它利用了苹果DRM保护机制 FairPlay的设计漏洞在iOS设备上安装恶意程序,利用该漏洞的攻击方法被称为FairPlay中间人攻击,早在2013年就已被利用传播盗版iOS应用。攻击者首先从App Store购买一个应用,拦截和储存授权码,然后开发PC软件去模拟 iTunes客户端的行为,诱骗iOS设备以为该应用被购买了,用户因此能够安装他们没有付费的软件,而软件的开发者能在其不知情下安装潜在恶意的应用。AceDeceiver家族的三种不同iOS应用伪装成墙纸应用通过了苹果的审查在2015年7月到2016年2月之间上传到了官方应用商店,对恶意程序指令控制中心(C2)的分析发现,AceDeceiver非常有欺骗性,能在应用审查期间关闭恶意功能,而恶意功能只面向中国IP地址开放。用于执行FairPlay中间人攻击的Windows客户端叫爱思助手,它一开始没有表现出恶意行为,到2014年12月它积累了超过1500万用户,2015年3月它嵌入的iOS应用加入了密码窃取功能,它会自动在连接到PC上的iOS设备上安装恶意应用。研究人员在2016年2月的调查期间发现,官方的所有Windows 客户端和iOS客户端都包含了AceDeceiver恶意程序。它还创造性的在官网的法律文件中免除自己恶意行为的责任,“任何由于黑客攻击、计算机病毒侵入或发作,因政府管制而造成的暂时性关闭等影响网络正常浏览的不可抗力而造成的个人资料泄露、丢失、被盗用或被窜改等,本网站均得免责。”AceDeceiver能窃取用户的Apple ID和密码,C2域名与官网的域名(i4.cn)相同。
苹果
AnkhMorpork(36532)
发表于2016年03月16日 20时40分 星期三
来自苹果中国用户对时延表示不服
苹果周二在递交到法庭的文件中披露了其备受争议的中国数据中心的最新细节。苹果软件工程部门主管Craig Federighi表示,“苹果从未让任何国家的政府从技术上更容易获取苹果用户的数据,无论它们是存储在iPhone上,还是存储在iCloud上。我的理解是,苹果从未配合任何国家的任何政府机构在我们的任何产品或服务上创建‘后门’。”苹果律师表示,该公司中国服务器上存储的数据是完全加密的,服务器设在中国是为了缩短中国苹果用户的时延。律师表示,只有中国公民的数据存储在中国,而且服务器的物理位置在中国并不要紧,因为秘钥在美国。苹果是在2014年于中国发售iPhone6前开始把中国用户的数据存储在中国服务器上的。去年上半年,苹果收到了中国政府提出的逾4000次数据请求,遵从了其中的四分之三。相比之下同期苹果收到的美国政府提出的数据请求超过9000次。FBI想要解锁的枪手手机有很大的可能性并没有多少有价值的信息。苹果认为政府擅长设计新的监控技术,手机解锁并无必要性。
加密技术
AnkhMorpork(36532)
发表于2016年03月16日 12时41分 星期三
来自中国政府不会同意
《华尔街日报》援引知情人士的消息报道,苹果拒绝了开发特定固件解锁枪手Syed Rizwan Farook手机的要求,但移交了该手机在iCloud服务上的备份数据。以后可能就不会那么简单了。苹果正在采取措施加强加密保护,这样就无法破解存储在iCloud上的用户信息了。但苹果高管在如何不给用户带来不便的情况下加强iCloud加密方面拿不定注意。例如,如果用户忘记密码,苹果也无法解锁,那么用户可能就无法获取照片和其他重要数据。这个问题在现实世界也是一样:加强安全保护意味着更多障碍,例如增加门锁或者是家庭报警系统的密码等都会带来不便。苹果的方法推测是端对端加密。
iOS
AnkhMorpork(36532)
发表于2016年03月16日 12时05分 星期三
来自故意让代码看不懂
美国司法部对苹果发出了扣押iOS源代码的威胁。司法部此前要求苹果为FBI开发定制固件移除安全功能帮助解锁 San Bernardino枪击案枪手使用的手机,这一要求遭到了苹果的公开拒绝。在最近递交到法庭的文件中,司法部将苹果拒绝法庭命令的行为称为是错误的和具有破坏性的,谴责苹果认为FBI的要求会导向警察国家的说法。司法部称,在没有获得源代码和苹果数字签名的情况下FBI自己是不能修改枪手iPhone上的软件的,政府没有强迫要求苹果交出源代码因为政府相信这一要求对苹果来说可能不那么愉快,但如果苹果宁愿这么做,那么替代的方法可以减轻苹果程序员的工作。此举被认为是典型的警察恐吓手法。
苹果
AnkhMorpork(36532)
发表于2016年03月11日 15时49分 星期五
来自美国要变成中国
上个月,FBI根据1789年的All Writs Act法案要求苹果开发后门固件帮助它破解San Bernardino袭击案枪手的 iPhone 5C 手机,这一要求遭到了苹果的拒绝。美国政府律师Eileen Decker在递交到法庭的最新文件中称,这一要求是适度的,只针对一部iPhone手机,而政府本来有信心苹果会保密。美国政府还用苹果配合中国的例子为其行为辩护:苹果向中国当局交出了4000部 iPhone相关的数据,并配合中国政府要求将 iCloud中国用户的数据储存在中国境内的服务器上。苹果首席法律顾问Bruce Sewell回应称,这一说法是荒谬的,中国的iCloud数据经过了加密,除非通过美国的司法程序,否则中国当局无法访问数据。Bruce Sewell还指出,苹果手机支持中国的WIFI标准WAPI是一个贸易问题而不是一个安全问题。
苹果
AnkhMorpork(36532)
发表于2016年03月04日 13时10分 星期五
来自中国政府有任意后门
苹果拒绝帮助FBI开发特定固件解锁iPhone的做法在中国也引起了热议,部分人认为苹果此举是出于营销,另一部分人表示支持,但认为苹果可能不敢与中国政府较真对抗。乐博律师事务所驻北京的合伙人裘伯纯说,如果苹果在与FBI的交锋中失败,中国政府将有足够的理由提出类似要求。他称,和中国政府相比,FBI只能算是个软柿子。中国科技公司一向对中国政府的要求言听计从。公司高管们说,无论政府要什么样的用户信息,他们都只能给。某中国互联网公司的一位高管说:政府说往东,我们不敢往西。
苹果
AnkhMorpork(36532)
发表于2016年03月04日 11时47分 星期五
来自旁观
在苹果抗拒FBI要求开发特定固件解锁手机的案件中,基本上整个美国科技行业都站在了苹果一边:Google、微软、Facebook、Evernote、雅虎、Mozilla、思科、Dropbox、Box等在周四递交了非当事人意见陈述(PDF),声援苹果;Twitter、Reddit、Github、Ebay和 CloudFlare等在联合署名的另一份非当事人意见陈述(PDF)中表达对苹果的支持;WordPress和Automattic以及英特尔(PDF)也都递交了各自的支持苹果的意见陈述;此外递交非当事人意见陈述的还有安全专家和行业组织 如BSA(PDF), 非赢利组织如ACLUEFF,隐私保护组织隐私国际,等等。不是所有的意见陈述都支持苹果,与执法机构相关的组织如联邦执法人员协会、检察官协会等在意见陈述中站在了FBI一边,AT&T认为应该将此案交给议会裁决。