adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
加密技术
AnkhMorpork(36532)
发表于2016年03月29日 11时11分 星期二
来自国家级攻击
美国司法部向法庭递交文件(PDF),称FBI已经破解了San Bernardino枪击案枪手Syed Rizwan Farook的iPhone 5C手机,请求撤销强制要求苹果帮助解锁手机的法庭诉讼。撤销诉讼暂时化解了科技公司与美国政府之间有关加密后门的冲突,但也引发了政府在掌握了加密漏洞之后是否通知苹果公司的疑问,如果苹果没有堵上安全漏洞那么会有更多的普通用户受到影响。美国政府曾公布了一份漏洞披露政策Vulnerabilities Equities Process (VEP) 。法庭文件没有披露FBI使用什么方法破解手机,但有人推测可能与iPhone 5C使用的A6处理器有关,A6组合使用了密码和唯一设备ID生成256比特位密钥,它存在漏洞允许拷贝闪存记忆器内的数据,然后进行暴力破解(4位到6位密码的组成次数十分有限)。但苹果在较新手机中使用的A7处理器基本上堵上了这个漏洞,它使用了一个硬件级的安全区域secure enclave去防止镜像数据和暴力破解密码。
苹果
AnkhMorpork(36532)
发表于2016年03月24日 09时55分 星期四
来自NSA
liuyanjun0826 写道 "苹果担心它买的一些服务器和云服务被安装了后门,根据Amir Efrati和Steve Nellis的报告,许多苹果的云服务包像iTunes,App Store,iCloud都需要大量的数据中心进行部署,苹果现在没有能力建立起如此大的数据中心,所以不得不使用竞争对手如亚马逊和微软以及谷歌。但是苹果也准备建立它自己的数据中心,代号McQueen。现在项目受到阻碍,苹果怀疑购买的服务器被安装了后门。"
USA
AnkhMorpork(36532)
发表于2016年03月22日 11时54分 星期二
来自系统需要升级
在即将举行的法庭听证会前,美国司法部递交动议请求推迟但并没有取消针对苹果拒绝开发后门固件帮助解锁iPhone的法庭诉讼。据《纽约时报》报道,原因可能是FBI找到了方法不需要苹果帮助就能解锁手机。在法庭文件中,美国政府称有第三方向FBI演示了方法可能能解锁 San Bernardino枪击案枪手Syed Rizwan Farook的手机,司法部表示需要测试判断它是否是一种能在不危及数据的情况下解锁手机的可行方法。如果方法可行,那么FBI将不再需要苹果的帮助。司法部将在4月5日递交解锁进度的报告。法官Sheri N. Pym批准了司法部推迟听证会的动议。
iPhone
AnkhMorpork(36532)
发表于2016年03月22日 10时21分 星期二
来自海淘更便宜
苹果周一在发布会上宣布了至今最廉价的新款iPhone手机:4英寸iPhone SE在配置上与iPhone 6S相近——1136 x 640 像素显示屏,A9处理器和M9运动协处理器,1200 万像素 iSight 摄像头,能拍摄4K分辨率视频,Touch ID指纹传感器,支持AirPlay但不支持3D Touch。iPhone SE价格相当平民,16GB版售价399美元(约合人民币2592元),64GB版售价499美元(约合人民币3241元),但中国区的售价总是要高一点,两款手机分别售3288元和4088元,用户可以在3月24日预购,3月31日发货。苹果还发布了9.7英寸的iPad Pro。库克在发布会开始时对观众表示,苹果在保护用户iPhone数据安全上的立场不会妥协。库克说,美国需要决定政府对于个人数据及隐私拥有多大权限。他表示,苹果对其用户乃至国家都具有保护数据的责任。
加密技术
AnkhMorpork(36532)
发表于2016年03月21日 16时36分 星期一
来自非普通黑客
约翰霍普金斯大学的研究人员发现了苹果的一个加密弱点,但这对于想要解锁手机的FBI可能没有什么帮助。苹果表示今天发布的iOS 9.3将修复这个漏洞,它感谢了研究人员的帮助,称安全需要不断的努力。Matthew D. Green教授领导的团队在iMessage中发现了一个加密漏洞,允许攻击者解密通过iMessage发送的照片和视频。他和他的研究生开发了一个软件去模拟苹果的服务器,拦截加密传输,他们拦截的内容是一个储存在 iCloud服务器上的照片链接和解密照片的64位数字密钥。他们发现可以通过一个重复数千次的过程去猜测出正确的密钥。
安全
AnkhMorpork(36532)
发表于2016年03月21日 11时38分 星期一
来自只有伪果粉才买假冒产品
Google工程师Ken Shirriff拆解了一款假冒的Macbook充电器,假冒产品与苹果的真品外形惟妙惟肖,而内部别有天地,这并不出人意料。它比其它假冒充电器要逼真,但拆开一看就原形毕露了。相比苹果的充电器(右图),它的电路板非常简单,元件很少,苹果的充电器有着更好的供电质量和安全性能,示波器测试显示假冒产品的输出功率并不平衡。Shirriff对使用假冒产品发出了警告,指出它们缺乏必要的安全标准,虽然便宜但可能会对机器造成严重损害。
苹果
AnkhMorpork(36532)
发表于2016年03月18日 15时39分 星期五
来自全部关起来
即使FBI赢了法庭诉讼,强迫苹果去开发后门固件解锁手机,它可能还会面临新的障碍:苹果工程师。《纽约时报》援引现任和前任苹果雇员的消息报道,苹果雇员内部讨论了如果他们接到了帮助FBI的法庭命令他们能做什么。一些雇员可能会选择回避,另一些雇员甚至可能会辞职而不是去破坏他们所创造软件的安全功能。接受采访的苹果雇员包括了参与开发移动产品和安全的工程师,以及前安全工程师和执行官。今天的苹果仍然继承了其联合创始人乔布斯和沃茨的独立叛逆文化。
云计算
AnkhMorpork(36532)
发表于2016年03月18日 10时39分 星期五
来自速度可能更慢了
《华尔街日报》援引知情人士的消息报道,苹果将把部分数据从亚马逊AWS平台迁移到Google云计算平台,这对Google说是一个重大胜利,它正在与亚马逊和微软竞争云计算服务。亚马逊过去10年来在云计算市场占据领先地位,占据了约30%的市场份额。但它面临的竞争也越来越激烈。苹果公司从2012年左右开始使用AWS来存储上传到其iCloud服务的数据。据知情人士透露,苹果公司是亚马逊云服务最大的客户之一,年收费近10亿美元。据知情人士称,苹果两个月前开始使用Google的云平台,最终金额可能高达5亿美元。
iOS
AnkhMorpork(36532)
发表于2016年03月17日 11时34分 星期四
来自赶超世界水平
安全公司 Palo Alto Networks报告了深圳为爱普信息技术有限公司开发的爱思助手,利用苹果DRM系统设计漏洞传播恶意程序,窃取苹果用户的敏感信息,安全研究人员建议用户立即卸载电脑和手机上安装的爱思助手及其安装的所有iOS应用。 研究人员将该恶意程序家族命名为AceDeceiver,它利用了苹果DRM保护机制 FairPlay的设计漏洞在iOS设备上安装恶意程序,利用该漏洞的攻击方法被称为FairPlay中间人攻击,早在2013年就已被利用传播盗版iOS应用。攻击者首先从App Store购买一个应用,拦截和储存授权码,然后开发PC软件去模拟 iTunes客户端的行为,诱骗iOS设备以为该应用被购买了,用户因此能够安装他们没有付费的软件,而软件的开发者能在其不知情下安装潜在恶意的应用。AceDeceiver家族的三种不同iOS应用伪装成墙纸应用通过了苹果的审查在2015年7月到2016年2月之间上传到了官方应用商店,对恶意程序指令控制中心(C2)的分析发现,AceDeceiver非常有欺骗性,能在应用审查期间关闭恶意功能,而恶意功能只面向中国IP地址开放。用于执行FairPlay中间人攻击的Windows客户端叫爱思助手,它一开始没有表现出恶意行为,到2014年12月它积累了超过1500万用户,2015年3月它嵌入的iOS应用加入了密码窃取功能,它会自动在连接到PC上的iOS设备上安装恶意应用。研究人员在2016年2月的调查期间发现,官方的所有Windows 客户端和iOS客户端都包含了AceDeceiver恶意程序。它还创造性的在官网的法律文件中免除自己恶意行为的责任,“任何由于黑客攻击、计算机病毒侵入或发作,因政府管制而造成的暂时性关闭等影响网络正常浏览的不可抗力而造成的个人资料泄露、丢失、被盗用或被窜改等,本网站均得免责。”AceDeceiver能窃取用户的Apple ID和密码,C2域名与官网的域名(i4.cn)相同。
苹果
AnkhMorpork(36532)
发表于2016年03月16日 20时40分 星期三
来自苹果中国用户对时延表示不服
苹果周二在递交到法庭的文件中披露了其备受争议的中国数据中心的最新细节。苹果软件工程部门主管Craig Federighi表示,“苹果从未让任何国家的政府从技术上更容易获取苹果用户的数据,无论它们是存储在iPhone上,还是存储在iCloud上。我的理解是,苹果从未配合任何国家的任何政府机构在我们的任何产品或服务上创建‘后门’。”苹果律师表示,该公司中国服务器上存储的数据是完全加密的,服务器设在中国是为了缩短中国苹果用户的时延。律师表示,只有中国公民的数据存储在中国,而且服务器的物理位置在中国并不要紧,因为秘钥在美国。苹果是在2014年于中国发售iPhone6前开始把中国用户的数据存储在中国服务器上的。去年上半年,苹果收到了中国政府提出的逾4000次数据请求,遵从了其中的四分之三。相比之下同期苹果收到的美国政府提出的数据请求超过9000次。FBI想要解锁的枪手手机有很大的可能性并没有多少有价值的信息。苹果认为政府擅长设计新的监控技术,手机解锁并无必要性。
加密技术
AnkhMorpork(36532)
发表于2016年03月16日 12时41分 星期三
来自中国政府不会同意
《华尔街日报》援引知情人士的消息报道,苹果拒绝了开发特定固件解锁枪手Syed Rizwan Farook手机的要求,但移交了该手机在iCloud服务上的备份数据。以后可能就不会那么简单了。苹果正在采取措施加强加密保护,这样就无法破解存储在iCloud上的用户信息了。但苹果高管在如何不给用户带来不便的情况下加强iCloud加密方面拿不定注意。例如,如果用户忘记密码,苹果也无法解锁,那么用户可能就无法获取照片和其他重要数据。这个问题在现实世界也是一样:加强安全保护意味着更多障碍,例如增加门锁或者是家庭报警系统的密码等都会带来不便。苹果的方法推测是端对端加密。
iOS
AnkhMorpork(36532)
发表于2016年03月16日 12时05分 星期三
来自故意让代码看不懂
美国司法部对苹果发出了扣押iOS源代码的威胁。司法部此前要求苹果为FBI开发定制固件移除安全功能帮助解锁 San Bernardino枪击案枪手使用的手机,这一要求遭到了苹果的公开拒绝。在最近递交到法庭的文件中,司法部将苹果拒绝法庭命令的行为称为是错误的和具有破坏性的,谴责苹果认为FBI的要求会导向警察国家的说法。司法部称,在没有获得源代码和苹果数字签名的情况下FBI自己是不能修改枪手iPhone上的软件的,政府没有强迫要求苹果交出源代码因为政府相信这一要求对苹果来说可能不那么愉快,但如果苹果宁愿这么做,那么替代的方法可以减轻苹果程序员的工作。此举被认为是典型的警察恐吓手法。
苹果
AnkhMorpork(36532)
发表于2016年03月11日 15时49分 星期五
来自美国要变成中国
上个月,FBI根据1789年的All Writs Act法案要求苹果开发后门固件帮助它破解San Bernardino袭击案枪手的 iPhone 5C 手机,这一要求遭到了苹果的拒绝。美国政府律师Eileen Decker在递交到法庭的最新文件中称,这一要求是适度的,只针对一部iPhone手机,而政府本来有信心苹果会保密。美国政府还用苹果配合中国的例子为其行为辩护:苹果向中国当局交出了4000部 iPhone相关的数据,并配合中国政府要求将 iCloud中国用户的数据储存在中国境内的服务器上。苹果首席法律顾问Bruce Sewell回应称,这一说法是荒谬的,中国的iCloud数据经过了加密,除非通过美国的司法程序,否则中国当局无法访问数据。Bruce Sewell还指出,苹果手机支持中国的WIFI标准WAPI是一个贸易问题而不是一个安全问题。
苹果
AnkhMorpork(36532)
发表于2016年03月04日 13时10分 星期五
来自中国政府有任意后门
苹果拒绝帮助FBI开发特定固件解锁iPhone的做法在中国也引起了热议,部分人认为苹果此举是出于营销,另一部分人表示支持,但认为苹果可能不敢与中国政府较真对抗。乐博律师事务所驻北京的合伙人裘伯纯说,如果苹果在与FBI的交锋中失败,中国政府将有足够的理由提出类似要求。他称,和中国政府相比,FBI只能算是个软柿子。中国科技公司一向对中国政府的要求言听计从。公司高管们说,无论政府要什么样的用户信息,他们都只能给。某中国互联网公司的一位高管说:政府说往东,我们不敢往西。
苹果
AnkhMorpork(36532)
发表于2016年03月04日 11时47分 星期五
来自旁观
在苹果抗拒FBI要求开发特定固件解锁手机的案件中,基本上整个美国科技行业都站在了苹果一边:Google、微软、Facebook、Evernote、雅虎、Mozilla、思科、Dropbox、Box等在周四递交了非当事人意见陈述(PDF),声援苹果;Twitter、Reddit、Github、Ebay和 CloudFlare等在联合署名的另一份非当事人意见陈述(PDF)中表达对苹果的支持;WordPress和Automattic以及英特尔(PDF)也都递交了各自的支持苹果的意见陈述;此外递交非当事人意见陈述的还有安全专家和行业组织 如BSA(PDF), 非赢利组织如ACLUEFF,隐私保护组织隐私国际,等等。不是所有的意见陈述都支持苹果,与执法机构相关的组织如联邦执法人员协会、检察官协会等在意见陈述中站在了FBI一边,AT&T认为应该将此案交给议会裁决。
审判
AnkhMorpork(36532)
发表于2016年03月01日 10时39分 星期二
来自吃饭砸锅
在一起与 San Bernardino枪击案无关的贩毒案件中,FBI想要苹果解锁一位已认罪毒贩的iPhone手机,以帮助识别其他毒贩。FBI使用1789年的All Writs Act法案强迫苹果合作。纽约布鲁克林法官James Orenstein对此案作出了裁决(PDF),站在了苹果一边和美国司法部的对立面。美国司法部对此裁决表达了失望。Orenstein法官在裁决书中指出,All Writs Act法案不是设计如此使用的,这样的诠释是荒谬的,因为这将会违反第一届国会自己制定的宪法。Orenstein称,涉及21世纪隐私和技术的重大问题应由当今的立法者决定,而不是由对旧法律的重新解读来决定。
隐私
AnkhMorpork(36532)
发表于2016年02月29日 20时36分 星期一
来自已经是了
苹果律师Ted Olson接受CNN采访时称,政府真正想要苹果做的是不受限制。如果政府想要的解锁手机工具创造出来,那么任何地方的法官都可以下令要求更多的数据,包括任何客户的对话和跟踪位置。Ted Olson认为这将创造一个奥威尔式的老大哥监视一切的社会。对于如何帮助政府对抗恐怖主义,Olson称苹果将会在它能做的每一方面帮助政府,但它不会通过违反宪法的方式帮助政府。
苹果
AnkhMorpork(36532)
发表于2016年02月26日 11时09分 星期五
来自公司大战FBI
美国的科技公司将联合声援苹果抗拒法庭要求它开发特别软件解锁手机的命令。微软将在下周递交意见书支持苹果,Google母公司 Alphabet和Facebook也都计划递交类似的意见书。Twitter也表示将会加入,雅虎Mozilla也都表态支持苹果。苹果在递交给法庭的文件中表示,已要求法院驳回执法机构要求该公司协助破解一部手机的命令,称该命令没有先例且没有法律依据。苹果公司称,政府想让苹果开发将来可能用于其它手机的新软件。没有法院曾批准政府现在作出的要求,也没有法律支持这种无限度的司法程序,这是违反宪法的。
iPhone
AnkhMorpork(36532)
发表于2016年02月25日 10时44分 星期四
来自谷歌不会这么做
《纽约时报》援引知情人士的消息报道,苹果工程师正在开发新的安全措施,将让苹果自己也无法破解iPhone。这将意味着即使执法机构赢得了法律诉讼,苹果也无法帮助他们解锁手机。专家认为摆脱这一局面的唯一方法是负责立法的国会参与进来。iPhone系统的一个安全弱点是允许在不输入用户密码的情况下更新固件——此举被认为是方便苹果修理设备,这就是为什么FBI要求苹果开发专门的固件绕过现有安全措施,使得它能更容易的暴力破解密码。苹果工程师正试图加固系统补上这个漏洞。《华尔街日报》的一篇报道称。相比其他很多硅谷公司,采取保护隐私的立场对苹果来说更加容易,因为苹果没有根据手机用户数据销售定向广告的大规模广告业务。
苹果
AnkhMorpork(36532)
发表于2016年02月24日 18时47分 星期三
来自政府想得远
《纽约时报》报道,美国司法部正要求苹果帮助解锁另外至少9部Phone手机。苹果律师Marc J. Zwillinger透露,这九起案件中至少七起苹果正在抗拒政府要求。美国司法部根据1789年的All Writs Act法案强迫苹果合作。San Bernardino案件的特别之处是FBI想要苹果开发特殊工具降低密码破解难度,因为隐私和安全方面的担忧苹果公开拒绝了这一要求。由于许多案件仍然保密,苹果没有透露细节,但这些案件主要与贩毒和色情相关,不涉及恐怖主义调查。其中一个发生在布鲁克林的案件与冰毒贩毒集团有关,手机的拥有者Jun Feng已经认罪,但检方仍然想要强迫苹果解锁手机,理由是手机中的数据可能帮助他们找到其他贩毒嫌疑人。苹果一开始同意了要求,但法官James Orenstein却提出了异议,质疑All Writs Act是否能如此使用,他要求苹果律师提出反对意见。另一名苹果律师Theodore J. Boutrous透露,苹果想要使用宪法第一修正案为自己辩护,认为强迫解锁手机的要求违反了第一修正案。