苹果

我们习惯于将IT安全概念分为两个不平等的类别进行讨论：硬件和受到高度重视的软件。硬件通常被认为相对安全和干净—而与之相反的是，软件常常遭受bug和恶意软件的危害。 这一评估体系已存在很长一段时间，但最近却显示出改变的迹象。负责管理各独立硬件部件的特定固件也变得愈加复杂起来，因此其漏洞更容易被利用。最糟糕的是，很多情况下现有威胁检测系统根本形同虚设。 为了进一步了解这一危险趋势，下面我们将介绍在如今PC电脑内近期所发现的5个最危险硬件漏洞。 #1. RAM 如果要列一个硬件威胁排行榜，毫无疑问DDR DRAM安全问题将排在首位，而且这个问题无法通过任何软件补丁予以解决。这个漏洞被冠以”Rowhammer”之名，但令人意想不到的是，该漏洞是由硅产业进步所造成的。 由于集成电路的几何结构不断变小，焊接在芯片上的临近硬件元件之间的距离也越来越近，竟然开始互相干扰。在如今的存储芯片内，一旦从临近的单元随机发出电脉冲，可能会导致记忆单元之间的自发性转换。 直到最近，这一现象无法适用于任何现实中通过PoC（概念验证）来利用漏洞（可能有助于网络攻击者获取对受影响PC电脑的控制）的观点才被广泛认可。然而，一支研究人员团队通过使用PoC，设法在总共29台笔记本电脑中的15台提高了系统权限。 这正是PoC的工作方式：为确保安全，只有指定程序或操作系统进程被允许更改RAM内的某个数据区块。简单地说，一些重要的处理功能被允许在”一座受到良好保护的建筑”内进行，而其它非信任的程序则全部被挡在”前门”的外面。 然而，事实证明如果有人门前重重地跺脚（即快速且高频地更改存储单元的内容），则这扇门的锁肯定会损坏。”门锁”如此不可靠的事实也只是最近才了解到的… 而基于更新标准的DDR4以及启用奇偶校验的RAM模块（成本更为昂贵）可抵御此类攻击。这是好消息。但坏消息是，很大一部分的现代PC电脑dom盘在上述提到的黑客攻击下极易受遭受黑客入侵，且没有任何解决方法。唯一可行的解决方案是更换所有RAM模块。 #2. 硬盘 既然我们谈到了RAM，那就不得不再提到硬盘的问题。正巧近期卡巴斯基受委托对Equation网络犯罪小组进行调查研究，我们才能得知硬盘内控制器固件可能含有大量有趣的”古董技术”。 例如，这些包含恶意软件模块的固件会夺取受感染PC电脑和运行的控制权，基本上都在’上帝模式’下进行。一旦遭受此类黑客攻击后，硬盘将遭受无法修复的损失：受到恶意代码感染的控制器固件会隐藏含有恶意软件的扇区，并阻止任何修复固件的尝试。即使格式化也无济于事：清除恶意软件的最可靠方法就是彻底销毁受黑客入侵的硬盘。 好消息是此类网络攻击不仅需要耗费很长时间，也需要支出不菲的成本。因此，绝大多数用户完全可以高枕无忧，无须担心自己的硬盘被黑客入侵。除了那些储存有宝贵数据的硬盘，但过高的攻击成本也让黑客们不得不三思而行。 #3. USB接口 占据我们排名榜第三位的是影响USB接口的漏洞（尽管有点过时但影响依然巨大）。但最近的新闻显示这一长久以来存在的bug似乎已得到修复。如你所知，最新的苹果MacBook和Google Pixel笔记本电脑均配备有万能USB端口，除了传输数据以外还可用于充电。 乍一看下并没有什么问题，最新的USB修正版是一种出色的接口统一方法。然而，通过USB连接任何设备都有可能存在一定的危险性。我们之前曾介绍过BadUSB，是于去年夏天发现的一个重要漏洞。 这一bug能让不法分子将恶意代码植入USB设备控制器（无论是拇指驱动器、键盘还是其它）。任何一款反病毒软件（包括功能最强大的产品）均无法检测出来。那些高度重视数据安全的用户应该听从itsec专家的建议：为了降低风险而不再使用USB端口。而对于最新的MacBook笔记本而言，这一建议毫无用处：因为不管怎么样，笔记本都是需要充电！ 怀疑论者可能会指出通过充电器植入恶意代码根本不可能（因为没有数据存储空间）。但这一’问题’可通过对充电器进行’强化’得以解决（早在两年前，就曾演示过通过充电器将恶意代码植入iPhone手机方法的PoC）。 在将恶意软件植入充电器后，黑客攻击者需要将”含有木马病毒”的充电器放置在公共区域；或在锁定攻击目标后，将原有充电器换成”含有木马病毒”的充电器。 #4. Thunderbolt接口 排名第4的是另一个接口漏洞，将Thunderbolt接口作为攻击目标。不幸的是，通过Thunderbolt连接设备也可能会产生危险。将Mac OS X产品作为攻击目标的单独PoC是于去年年末由安全研究人员Tremmel

每当看到那些生产普通电子产品的非垂直整合科技制造商因听到有关苹果即将进军另一个产品类别的传闻而紧张不安的时候，总是让人感到非常有趣。这些公司无一例外都缺乏自己的平台以及用户体验。此外，这些公司还总是想通过闭门造车力图赶上那些永远引领科技最前沿的公司，但往往事与愿违，最终以失败而告终。在这里请原谅我开玩笑式的幸灾乐祸。 Apple Watch正是其中最典型的一个例子：一听说苹果即将发布Apple Watch，包括三星和阿尔卡特在内的众多高科技公司立即放下手上的一切工作，匆忙地赶制出一些半成品的所谓”智能手表”。有时候，在苹果发布新产品之前，往往这些公司早已推出了第二代甚至第三代的类似产品，尽管可能外观看上去非常精美，但实际上却充满了各种漏洞和缺陷。 就这一点而言，我不得不提到在2015世界移动通信大会上所发布的两款智能手表：LG Urbane LTE和Huawei Watch。这两款智能手表均获得了极大的关注度和极高的评价。有些人甚至评价后者为外形最精致的安卓可穿戴设备。可惜的是，单从设计角度而言这两款产品可谓彻头彻尾的失败作品。 人们总是最先会关注到外表，但设计并非只是外表好看而已，还需要考虑到戴上后的感受以及感知，还有就是人机交互的功能。如果从这个角度看Huawei Watch的话，再考虑到所有安卓可穿戴设备的潜在问题，你就会立即发现其中存在众多的缺陷。 苹果公司设计师乔纳森·伊夫于近期向消费者阐述了自己的观点，圆形屏幕并非是最理想的用户界面形状，因为许多屏幕空间会因此而被浪费。可能的解决方案则是将选择项目放大，就如同Dock工具栏在Mac OS X系统内的工作方式。但1)Google的材质设计避开了拟物化设计；2)这一解决方案将无法适用于其它许多场合，例如：显示带二维码的登机牌。 LG的Urbane智能手表的设计则要合理许多，除了部署了网络操作系统资源，同样也采用了圆形用户界面，但看上去似乎经过了一番深思熟虑并针对特殊硬件进行了适当调整。但可惜的是，类似于发短信和打电话的功能在圆形屏幕上依然看着有些变扭。为什么有人在智能手表上需要有蜂窝网络连接功能呢？Omate还是其它设备？原装电池的电量似乎也不足以长时间使用这些功能。 这两款智能手表均存在重大缺陷：设计得过于中规中矩，毫无智能亮点。过于突出的边缘以及又长又厚的表带看上去感觉过于男性化，让人无法将注意力放在屏幕显示上！作为一款智能手表，屏幕显示的功能才是其核心所在。 有些评论家以下面的Huawei Watch图片作为证据，说明相比Moto 360而言其外观要酷得多。但于我而言，这却是一个反面的证据：摩托罗拉的设计师显然更为出色，因为他们对于何谓”智能手表”有着自己更深层次的理解。但苹果却拥有更为顶尖的设计师，他们”无情地”将所有不适用该产品特性的元素全部摒弃。 目前所有安卓可穿戴设备以及其它智能手表产品似乎是专为那些极客而量身定制的，这类人根本无需了解产品的价值、功能以及该产品类别的潜力。似乎苹果将再一次在整个市场上掀起营销风暴，小心翼翼并耐心地将其产品推广给普通消费者，从而大幅拓展其目标市场。苹果将因此收益颇多：就算苹果最终只获得了10%的市场占有率，但就这10%的消费者将能为苹果带来超过50%的利润。 而对于普通消费者来说也有好的地方，他们并不会对售价仅为19.99美元的电子产品抱有太大的功能期望。他们一直会等到相关功能技术都成熟以后才会出手购买，例如：工作出色、整体体验良好以及日常使用方便等。在其它方面，还可能将LTE技术引入智能手表：事实上还是有些为时尚早，主要是考虑到现有蜂窝网络的覆盖密度以及智能手表电池的技术水平。WiFi是最佳的折中解决方案，Google已在研究中，预计下一次对安卓可穿戴设备进行更新升级时会将WiFi功能加入其中。 然而，这并不是意味着蜂窝模块就永远也不会出现在Apple Watch上。恰恰相反，苹果习惯于将每一种新产品类别与另一种功能更为强大的产品类别相连接，随后再逐步分离，这方面早已有成功的过往案例。起先，消费者必须有一台拥有成熟操作系统的个人电脑，才能拥有并使用一款便携式的苹果设备。目前，无论是iPod touch、iPhone还是iPad只需在iCloud的帮助下，即可完全独立开启、设置和运行。 对于那些以浏览内容为主的用户而言，iPad早已成为了苹果笔记本电脑完美的替代品。苹果并不担心Apple Watch会冲击到苹果其它产品的销量，因为Apple Watch总有一天会演变成为一款”独立自主”的解决方案，超越iPhone甚至完全取而代之。苹果产品的演变路径：个人电脑->移动设备->可穿戴设备。 而可穿戴设备何尝不是通往”生物技术大门”的一个中转站呢。生物技术作为一项产业，显然将在提高全球人类生活质量方面超越IT行业，让某些人和企业变得非常非常的富有。目前成套的内置传感器以及开放ResearchKit源代码的举措表明了苹果已经明白这一未来趋势即将来临，而在即将到来的科技变革面前每一家科技公司的机会都是均等的。

私下交易市场往往充斥着各种骗子。许多人会通过类似于易趣的网上拍卖和网购平台购买智能手机和其它手机配件。 每天有数千种手机配件在这样的网站上进行交易，其中就包括了流行的苹果设备。那些想在网上购买/卖出手机的人可能会遭受各式各样的欺诈，因为有些第三方买家/卖家很可能就是网络骗子。本篇博客将为您提供目前最流行的几种欺诈方法。 1.价格过低和预先付款 如果有卖家的货品价格极低且需要预先付款的，这时候你就要留一份心了。这样的卖家通常有理有据（例如：急需用钱和免费赠送两台类似设备等）–一旦付款后，你收到的很可能是一台二手设备（而不是事先说好的新货）、损坏的设备或根本什么都收不到。大多数情况下千万不要在收到货品前预先付款。只有一种情况例外：卖家的信誉度极高—比如有几百个好评的易趣账号。 2.损坏的设备以及塞满蜡烛和废纸的包装盒 甚至一些本地实体店和网上商城都会欺骗你。许多骗子以电池电量过低需要充电才能打开，因此不能立即检查的借口向实体店出售损坏的设备。这些骗子都是老手且巧令辞色。 当受害人满心欢喜地拿着新买的设备回家后，打开包装才发现根本就不能使用，郁闷的心情可想而知。相同的情况也在那些通过Craigslist免费广告购买iPad Mini和iPhone 4S手机的人身上时有发生。骗子卖家一旦收到货款后，即消失得无影无踪，受害人根本无从寻找。受害人打开包装盒，满怀期待的苹果设备不翼而飞，只剩下一块熔化的蜡烛和一本笔记本。 3.使用安卓系统的中国山寨iPhone手机 许多人明知是中国生产的山寨iPhone手机也会去买，只是因为价格便宜。只能说每个人的选择不同。但有时候山寨的却被当成正品来卖。有些山寨手机从外观看上去几乎可以以假乱真。比如，在这段视频中，你们可以看到一款以Goophone品牌出售的山寨iPhone手机。你能分辨出它的真伪吗？ 有一个简单的技巧可以检查是否是山寨机。由于山寨iPhone手机运行的是安卓操作系统，因此你只需开机看看支持哪种应用商店：Google Play（山寨）还是App Store（正品iPhone手机）。 4. 被盗设备 如果你打算买二手iPhone手机，收到被偷手机的机会很大。没有一种可以直接验证的方法；但可以间接调查是否是偷来的。查看卖家资料和其他买家的评论。浏览由该卖家账号发布的其它广告。如果你想亲自检查的话，可以比较包装盒上的代码、序列号和IMEI（移动设备国际身份码）是否与手机设置内所提供信息相符。 5.翻新机 购买原厂翻新iPhone手机可以为你节省部分额外费用，因为原厂会仔细检查机器的内部和外部，并细心修正所有存在的问题。如果是第三方公司翻新的话，机器的维修质量将无法保证。 6.远程锁定和勒索 谨防不法之徒！有时候，当你购买了一台二手手机后发现”发现我的iPhone” 功能（仅iOS 6及以上版本）被锁住了。不久之后，这些不法之徒会恐吓受害人：例如，受害人所购买手机是他们被偷走的手机，并威胁要报警。要想让设备正常工作，可以在购买之前重置为默认设置。 如果你想出售自己用过的手机，确保已清除里面的所有资料。否则的话，那就要做好被勒索或敲诈的准备，尤其是内存卡里还存储了重要信息的手机。如果真的不幸发生的话，应该立即将手机远程锁定。 7. 虚假网店和不正当的买家/卖家 有时候网络黑客会建造一些临时的网站，事实上却是虚假的网上商场，目的旨在收集信用卡信息和其它敏感数据。受害人因在这些网站上出售手机而导致自己的详细银行信息遭泄露，里面的钱也被转走。此外，这些数据还会被用于从你的信用卡内窃取资金。 8.抢劫、假币、欺诈和其它一些老式的行骗方法 如果你从本地卖家手上购买二手iPhone手机的话，为了防止被抢劫，记得在有免费Wi-Fi的公共场所交易，并现场检查设备是否正常运行。 如果是付现金的话，最好支付准确的数目。这不管对卖家还是买家而言都有好处，这样可以防止找钱时收到假币。千万不要向对方换零钱。时刻保持警惕，也不要碍于面子而不多数两遍钱或多检查几次设备是否完好无损。

我们信赖上帝；但上帝以外的我们需要好好再检查一番-在网络安全方面我们都有一套聪明行事方法，这其中当然包括了对流行二维码的使用。很少有人会怀疑张贴在银行、公共交通工具甚至博物馆这样场所内的正式广告上的二维码都会被”掉包”。然而近期发生的众多案件表明一些合法的二维码竟然被不法分子巧妙地调换成恶意代码。 扫描之前检查是否安全！ 有一些方法可以防范和解决针对二维码的网络钓鱼攻击，但这离不开你自身的防范和警惕意识。在你准备扫描任何二维码时，你必须使用抱有怀疑态度–万一这个是替代合法二维码的恶意代码呢？检查即将扫描的二维码链接可能听起来并不好玩，但却有可能避免遭受二维码网络钓鱼攻击。幸运的是，在如今这个数字时代，有一种更简单的方法可以保护你自己，例如：免费的卡巴斯基二维码扫描器应用程序。 其运行方式和普通的二维码扫描器并无二异，但加入了一些必不可少的功能：该应用程序会检查每一个扫描的二维码。卡巴斯基二维码扫描器能让你快速、简单和安全地访问网站、图片和文本，还能为你安全连接Wi-Fi并迅速保存名片内的联系方式而无需手动输入。 该应用程序提供苹果iOS和Google安卓两个版本。(目前在中国地区，只有iOS版本）。其操作界面整洁、简单且使用方便，不存在任何不必要的功能：先扫描和检查，如果安全的话再自动打开。一旦发现危险，即会发出警告。 使用卡巴斯基二维码扫描器可确保移动设备安全，免遭二维码欺诈。确保借助卡巴斯基的安全移动经验来检查其它应用程序，例如：卡巴斯基安全浏览器（iOS版和Windows手机版）、卡巴斯基安全网络安卓版以及卡巴斯基密码管理器（iOS版和安卓版）。

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上，提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上，该漏洞是该操作系统的一部分。据报道，Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问，Thunderstrike像所有boot-和rootkit类病毒一样，是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒：通过传染病毒产生毁灭性的后果，但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件，存在于计算机操作系统内的引导进程内，通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统，bootkit依然存在。因此bootkit难以被发现和移除，只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件，可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况，通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上，可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件，只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体，即通过雷电连接进行感染的可行性相对更高一些。事实上，我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”，通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样，只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后，才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱，但传输速度更快。打个比方，感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”，尽管事实上感冒并不会致命。 同样的，旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike，但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机，且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒，因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统，使其记录包括磁盘加密密钥在内的键盘按键，还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说，如果你能小心提防窃贼的话，就能有效防范。 在此期间，你可以听些AC/DC乐队的歌放松一下：

我总共有三个孩子。老大已经懂事了，现在拥有属于自己的平板电脑，并且我也成功在他的平板电脑上安装并升级了上网管理功能，以防止 “突然跳出”不适当的内容。老二刚接触网络不久，也是苹果iPad的”初学者”。一些有责任心的家长可能会问我：”那应该如何对孩子使用数字娱乐进行管理呢？” 对那些即将进入崭新互联网世界的人来说，必须了解这样一个事实：孩子往往更容易疯狂迷恋于PC电脑。但重要的是，对孩子这一爱好完全可通过适当管理加以约束；一旦缺少我们称之为”儿童管理”的保护措施，这一兴趣很有可能会演变为对电脑的沉迷并最终难以自拔，从而在儿童早期形成孤独性格，并在将来造成无法预计的后果。这一”症状”会造成孩子在离开电脑时有极大不适反应，当家长试图将他们带回”现实世界”时，这些孩子会变得歇斯底里且无法控制。 “儿童管理”是一个相当复杂的心理学概念，每一名家长都需要针对自己孩子的不同特点选择或开发属于自己的与孩子沟通方式。每个家长并非天生就能聪明地管理’平板娱乐’，往往需要融入整体的教育系统。 https://vine.co/v/MdxaI0ALd5I 在目前被广泛采用的教育系统中，有一个理念我实在不敢苟同，即：PC电脑从根本上说是”有危害”的，应该禁止孩子使用计算机。我们必须承认，孩子的世界与我们大人的世界完全不同。电子设备作为孩子未来世界的中心，因此教会他们使用这些设备的一些必要知识就显得相当重要了。如此他们才能更好地融入这个社会，同时在孩子成长过程中起到有益的作用，因而根本不存在什么风险问题。今天，我们所面临的主要挑战是找到一种在学习和娱乐之间的最佳平衡，教会孩子如何适度地使用电脑、提高自制能力以及避免沉迷于电脑。 是你在#使用设备#，而不是设备在”利用”你 然而，本篇博文并非讨论儿童心理学，当然你可以在下方的评论区就这方面的想法畅所欲言。在这里，我想与您分享一些iPad设置小技巧，可助您防止孩子过度使用PC电脑，并降低”突然跳出”不适当内容的风险。这些设置小贴士还可让您避免一些令人不快的意外费用支出。 没有网络，一切问题迎刃而解 首先，你应该切断所有互联网的连接。尽管我们的孩子还不能认字，但很有可能在玩游戏时碰巧开启了网络浏览器，看到了一些不恰当的内容。 为解决这一问题（以及其它麻烦），只需对功能出色的iOS选项”访问限制”进行设置，即能轻松禁用Safari。需要注意的是，”访问限制”选项仅适用于默认浏览器，如果您在平板电脑上安装了其它非默认浏览器（例如：就像Yandex.Browser），建议卸载。 将来我的孩子长大开始对互联网产生了兴趣的话，我一定会安装一款拥有内容过滤功能的强大浏览器。在App Store中有众多带有此类功能的强大浏览器可供选择–其中就包括我们的卡巴斯基安全浏览器。 锁住你的钱包 正如你所知，世界上没有免费的午餐，移动应用也毫不例外。移动应用开发商说白了，最终目的还是为了赚钱。专为孩子而开发的游戏几乎全部采用’免费增值’的收费模式，且几乎全部包含了所谓的”内置购买“功能。如果你使用的是默认iOS设置，充满好奇心的孩子们将能很容易地发现”内置购买”的方法，最终你每个月的账单中将多出一笔金额不菲的额外开支，虽然他们并非故意而为之。 那如何才能避免此类情况的发生呢？再说一遍，只需对功能出色的”访问限制”选项进行设置！此外，苹果设备还拥有另一个用处极大的功能选项： 欲了解更多有关此设置的内容，请点击链接。 无形屏障 那么，是不是一次要勾选”访问限制”区域的全部选项呢？当然！在与孩子一起玩了几次iPad后，现在我会逐个禁用每一项功能，包括禁止应用安装/卸载以及限制对iTunes、FaceTime、摄像机功能和Siri的访问。如果你需要用到其中一项功能，则可以临时开启。 让孩子”专心玩耍”的小技巧 还有一种便利的方法可以控制”好奇心强烈”的孩子使用ipad，那就是被称为”Guided Access”（导向访问）的新功能（设置->通用-> Accessibility-> Guided Access）。该功能旨在使用户专注于某一项特定任务，而不会被其它内容分散注意力。因此，这不仅能够限定你的孩子每次只使用一个应用，同时也能禁止某些应用启动其他应用。 一切尽在掌握 “Guided Access”拥有许多有用的功能。比如，你可以禁用触摸输入、”Home”键、屏幕自动旋转、音量控制和虚拟键盘，甚至还可任意选择活动的屏幕部分，例如：针对应用图标设计的可点击屏幕区域，不设置的话对孩子来说有些不安全。 “小精灵” 最后但同样重要的是，有一种温和且可控的方法来限制孩子使用平板电脑的时间，同时也不会导致孩子情绪激动并苦苦哀求家长能再多玩一会儿。在此之前，我通常借助第三方应用的帮助来解决这一问题，但事实证明效率相当低。现在幸亏有了苹果iOS

就在昨天，有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞，该恶意软件将iOS移动设备作为攻击目标，通过USB连接Mac OS X系统和Windows系统设备进行感染。 这一漏洞被称为”Masque“，它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是，尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备，但就在昨天，来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而，要想通过短信或电邮感染设备，前提条件是攻击者必须要让受害者点击下载恶意应用的链接。 有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞# 从技术上讲，Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用，且不会出现任何通知。从某种程度上看，之所以所存在这一漏洞，很大原因是因为当应用开发商没有向App Store上载应用时，iOS企业无法对给定应用的数字证明进行反复检查，进而也无法确定应用的真实身份。 因此在这样的情况下，iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同，WireLurker可以感染那些没有越狱的设备。 #WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL — Kaspersky Lab (@kaspersky)

苹果OS X Yosemite（10.10）来了，让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面，专门讨论OS X的安全性，此页面的文字说明冗长 － 非常长，但易读易懂。唯一遗憾的是，其中并没有多少内容与新功能相关。 首先，苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此，但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的，至少它是这么说的。 涉及的大多数安全工具都有具体名称 － Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段，但确实也让人顾名思义，用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。 Gatekeeper 这不算是一项新工具（OS X Mountain Lion 10.8中已经有此工具），它用于保护Mac不受恶意软件的攻击，也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制（UAC）非常类似。简而言之，Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有，则不会启动此应用，除非更改相应设置。 默认情况下，Gatekeeper支持用户从Mac App Store下载应用，也支持下载具有开发者标识的应用。若没有开发者标识，则会阻止应用，但你可手动管控此设置。其他选项包括”任何来源”（最不安全）和”Mac App Store”（其他来源全部排除在外，是安全性最高的设置）。 FileVault 2 此安全工具用于对Mac电脑进行全驱动器加密，是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快，可在后台执行，不影响工作。它还可加密任何可插拔驱动器，帮助用户保护Time Machine备份或其他外接驱动器。 RT @threatpost:

昨天，一款名为WireLurker的全新系列恶意软件突然出现，让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁，并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来，专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临，而狂热的果粉们则以同样夸张的方式回应称，苹果设备对恶意软件完全免疫。但和其他事物一样，现实情况总是介于两种极端说法之间：苹果恶意软件确实介于两者之间，但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月，有467款受感染的应用被下载了356,104次，受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁，并当作木马病毒Downloader.OSX.WireLurker.a予以拦截，所以您若使用的是卡巴斯基，则可完全安枕无忧。 须明确的一点是：虽然此威胁只感染了中国一个流行应用商店中的用户，但这并不意味着不会再散布到其他地方。 但有意思的是，WireLurker与之前大多数iOS威胁不同，它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是：WireLurker的传播规模相当之大，之前的苹果恶意软件系列与之相比可谓小巫见大巫；这是第二个能够通过USB攻击iOS设备的已知威胁（如通过USB接口插入Mac的iOS设备）；它能自动生成恶意应用；也是已知恶意软件中，第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备，然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下：借助标准感染载体先感染Mac设备，然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后，WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后，WireLurker会卸载这些应用的合法版本，而用恶意版本取而代之。 研究人员称，WireLurker还处于积极开发阶段，因此很可能会变化，目前还没法确定它的目的是什么。就在本文发布前不久，Palo Alto Networks告诉Threatpost说，苹果公司已迅速采取行动，撤销了WireLurkers的恶意证书，并且此病毒的作者们已经收手，不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的，但其中有些内容我们想再次强调，以保护您的设备： 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”，在”允许从以下位置下载的应用程序”中，选中”App

最近几周，移动安全领域分外热闹，苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密，且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意，因为这意味着即便有正当的理由，这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时，隐私与安全倡议者们又进一步推出了新的全盘加密方案，似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽；另一些人则将此举视为对现有安全环境所进行的一场彻底变革，因为目前情况下，政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘，也将启用默认全#加密#。 本月早些时候，我们曾撰写过一篇关于”苹果新默认启用加密“的文章，你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统（简称为”Android 5.0″或”Android L”）的默认加密功能，”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示，自Android 3.0发布以后，安卓用户即可自行选择是否需部署全盘加密（FDE），同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变，直到Google在Android 4.4内对其进行了进一步强化。在Android L中，该功能将再次得以增强，并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而，其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话，暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间，” Elenkov解释道。”然而，由于安卓已选择重新使用锁屏PIN码或密码（最长可达16位），但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说：安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下，加密强度都极其脆弱，因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行，因为攻击者一旦输错登录密码次数达到一定数量，则永远无法再重新进行尝试。当然，Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番，请随意去阅读他所做的分析内容，但这里就不多做探讨。问题在于：的确存在暴力攻破弱PIN码或密码的方法，为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码，毫不夸张地说，只需几秒钟即能解密用户的数据。 在Android 4.4系统中，Google进一步增强了其加密系统的能力。尽管如此，但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码，不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。

有多少个人隐私你觉得会从iPhone手机泄露出去？即使手机拿在手中，放在桌子上，或是接在笔记本电脑上充电，都有可能会泄露一些个人隐私—从个人通信和照片到资金信息和登录凭证。那么又该如何保护自己的iPhone手机呢？接下来，我们将为您提供10个安全小贴士，从而最大提升您iPhone手机的安全性。 首先需要提醒的是，以下任何方法都会导致你iPhone手机的一些有用功能失灵，但为了更好地保护你的个人数据，这些方法绝对值得一试。你不必逐一采用以下所有的方法，只需挑选一些既适合自己又能提升安全性的方法—选择哪些完全取决于你自己。 十大安全小贴士：如何才能让你的#iPhone#手机避免泄露个人隐私 1. 使用强大的密码取代4位pin码 保护个人数据最简单和有效的方法是使用强大的密码用于屏幕解锁，从而取代原先的4位pin码。建议采用由字母、数字和符号混合组成的复杂密码。最好是在锁定屏幕后即要求输入密码，且没有任何的延迟。此外，你还可以打开”清除数据”功能选项，在尝试密码错误10次以后设备即会自动清除保存的所有内容。但需要提醒的是，所有数据一旦被清除以后即无法恢复，因此最好还是不要忘记自己的解锁密码。 这样做到底有什么好处？这将能有效降低犯罪分子猜出你密码的可能性。 可以在哪里进行设置？前往”设置”–>”密码”（或”指纹识别和密码”）–>”需要密码”：立即；”简单密码：关闭”。 2. 关闭锁屏通知 当有通知出现在锁屏上时，再强大的密码也无法保护你的个人数据免遭外泄。手机应用内的消息、邮件和其它信息可能会包括像”确认码、私人约会和财务数据”这样的敏感数据。你iPhone手机锁屏上显示的通知越少，你个人资料就越安全。 这样做到底有什么好处？这将能阻止陌生人窥探显示在锁屏上的信息。 可以在哪里进行设置？前往 “设置”–>”密码”（或”指纹识别和密码”）–>”锁定时允许访问”部分。 3. 打开Apple ID和iCloud两步验证 相比单一验证而言，两步验证无疑为你的iPhone手机又添了一把锁。因此无论对于Apple ID还是iCloud而言，我们都强烈建议您采用两步验证方法。在创建两步验证时，你可以通过短信或Find My iPhone服务注册一个或多个信任设备（你所拥有的），随后会收到4位验证码。完成后，每次你在新设备上登录Apple ID、iCloud，或者通过iTunes、iBooks或App Store购买产品时，你都需要输入密码和4位验证码方能通过ID验证。 这样做到底有什么好处？这将能有效防止自己的苹果账户被未经授权的他人所使用。 可以在哪里进行设置？前往https://appleid.apple.com –>”管理您的Apple ID” –>”密码和安全”–>”两步验证”。 4. 在锁屏状态下禁用Siri

上周，在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议，与Black Hat安全大会一样，今年的会议一改往年单纯面向企业的陈述报告，还有更多消费者参与到其中，会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上，我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报（全面披露）：对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释；以及关于现代家庭入侵方面的陈述。此外，还有一些会议内容同样吸引眼球：将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告，以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题：…如果我们无法保护自己设备免遭当前的威胁，那就算能发现未来可能的新威胁又有何用呢？ 他之所以提出这样一个问题，是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上，但问题是当前几乎没有什么人会拥有这些设备。而与此同时，我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少，例如：智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前，Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员，工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时，他大为震惊。 本周早些时候，在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中，Jacoby注意到一个有趣的观点：随着人们愈来愈注重保护自己的移动设备和传统计算机，似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明，在过去5年内，OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年，苹果曾发表过这样的声明：”Mac计算机不会受到任何PC病毒的感染，同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看，毫无疑问第二句话是正确的。然而，按照Wardle所陈述的内容，第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑，但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标，在上世纪80年代广为传播。就在去年，Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比，这一数字几乎可以忽略不计。 然而，Wardle断言随着市场上Mac计算机数量的增加，以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具，因此可能会带来一系列麻烦，这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件，[如此]我们才能更好地保护我们的Mac计算机。”

不管你喜欢与否，就在我们居住的这个地球上，政府总能有大量的理由和机会控制整个数字空间，或至少能对本国居民进行严密监控。据传言，名声不佳的NSA（美国国家安全局）不仅资金充裕，并且为了能有效地进行监控，无所不用其极地进行各类研究、开发及贿赂活动。幸运的是，目前已有多种方法可防范此类组织的”侵扰”。 就目前而言，为防止政府机构的监控，我们可以借助的安全工具有虚拟私人网络和Tor网络。目前许多公司都具备让用户远离NSA及其它政府组织侵扰的能力，同时也能帮助保护我们的个人隐私。就在一年前，此类”保护措施”还只是停留在许多公司的口头承诺上，诸如”我们不隶属于NSA”或者”我们的一切经营都符合法律监管范围”这样不痛不痒的声明，但现在许多公司真正地开始行动起来了。 其中最显著的变化莫过于苹果公司，该公司就在最近发表了Tim Cook至全体用户的有关新用户数据政策的公开信，同时还发布了其它有关隐私和安全的文件。其中有一份文件是这样写：由于技术上的原因，公司无法提取所有运行最新iOS版本设备上的个人数据，因此也无从将这些数据交予包括执法机构在内的第三方。 苹果到底做了些什么？ 简单地说，根据苹果官网所发布的文件来看，苹果的的确确舍去了影响个人安全的”备用钥匙”，从此只有你本人才能访问以下内容：iOS 8设备内包括照片、消息、邮件、联系方式和个人记录在内的所有个人数据都将受到用户密码的保护，苹果再也无法绕过密码直接访问。这同时也意味着苹果公司将无法访问用户设备上的所有数据，因此也无从将这些数据转交给任何机构。但现在棘手的问题是：所有这些声明未必就表示有关部门就真的无法再访问你的iPhone手机或iPad上所保存的信息。我会在下文中详细解释其中的原因。 除了最新iOS系统版本以外，还有更多安全和隐私功能值得一提。比如，一种全新功能可随机生成MAC地址，对于那些时刻监视Wi-Fi流量的窥探者而言，将无法持续追踪到设备。此外，常常被提及的虚拟私人网络选项极大方便了企业IT安全部门的工作。 #苹果宣称自己将无法访问用户个人数据，因此也无从将信息交予有关部门，但这并非是事实的全部真相。 在Tim Cook所传达的信息中，他一再声明苹果从未在其任何产品或服务中”与任何国家的任何政府机构合作建立后门”，并且也从未允许任何机构访问苹果的服务器，以后也绝对不会。 其实苹果是否曾与NSA合作都无关紧要，目前最重要的是苹果能否保护用户免遭政府的监控。 苹果做这一切的原因何在？ 臭名昭著的”好莱坞艳照门事件”并不只是苹果决心强化用户隐私的唯一原因。还有更重要的深层次原因。当然，你可能还记得爱德华•斯诺登：在他去年所解密的大量NSA文件中曝光了许多与该部门合作的公司，其中就有苹果的名字。该事件对苹果公司的声誉造成了极大的损害，苹果迄今为止所做的一切就是为了极大地转变其在人们心中的印象。苹果是否曾与NSA合作其实都无关紧要，目前最重要的是苹果是否能保护其客户免遭政府的监控。这些天的形势发展也正好说明了这一点：如果公司无法对用户隐私和个人数据引起足够重视的话，那公司自身就将出现问题从而将无法获得用户的信任。苹果要么站在用户的一边，要么只能被用户所抛弃。 显然，苹果依旧还是市场的宠儿，并被成千上万的”果粉”所敬仰，因此也不太可能立即就被数百万用户所抛弃，但这并不能成为苹果不立刻采取措施的理由。尤其是公司即将推出的智能手表和支付系统—这两项新开发产品受到众多安全领域专家的诟病。 对于消费者意味着什么？ 新版本iOS系统除了加强数据保护的一些改进外，还加入了许多更为重要的积极因素。通过更改用户数据政策，苹果还鼓励业内其它公司一道向同一个方向努力，例如：对客户安全与隐私给予更多关注。当然没有一家公司会公开与NSA或其它政府机构作对，事实上也根本没有这个必要：他们需要做的只是提升个人数据安全性，增加这些机构收集或窃取信息的难度。 针对用户数据政策的改变仅限于提升个人数据安全性使信息使之难以被他人所访问，但对警察或其它的执法机构依然无效。 苹果将如何应对相关部门的要求？ 要回答这个问题，首先你需要明白两件重要的事情。与其他所有公司一样，苹果永远将企业的利润放在第一位。因此苹果一定会在当地法律允许范围内经营业务，因为一旦违反相关法律即会对自身业务造成不必要的损害。因此，只要有当地政府部门合法要求获取某一名用户的个人数据，公司几乎没有选择的余地，不听从的结果只会惹上一身的麻烦。绝大多数公司都会选择听从，这早已不是什么秘密，而苹果也绝不会成为那个特例。 苹果新的用户数据政策看似不错，实则依旧无法阻止有关部门在必要时访问个人信息。 首先，新版本的iOS系统所做的一切改变只是让你的数据更难以被他人所获取，但并不是代表警察或其它的执法机构就真的无法访问这些信息。所增加的安全性仅适用于iOS设备本身，但对云存储则毫无作用可言。（目前采用双重认证形式）。因此，只要你的数据在iCloud内备份，也就意味着这些信息已经复制到苹果服务器，那政府部门还是有合法权限进行访问。获取过程可能需要耗费不少时间和精力，但最终还是能获得信息。其次，Tim Cook对于服务器完整性的声明表示苹果不会让任何人访问存储在内的信息，但并不代表苹果不会将这些数据进行内部备份以及必要时与有关部门共享。就好像你的银行账户：安全且可靠，但只要你允许，任何人都可以从中取走钱款。 那苹果到底有没有提升你个人数据的安全性？答案是肯定的。那NSA及相关政府机构是否从此就无法访问这些信息了呢？绝对不会。

“可穿戴”一词最早只是用来形容易于穿戴在身上的衣着类物品。而现在，”可穿戴”一词则指的是用户可穿戴在身上的移动设备，而后者正是上周在全球范围热议的话题。 这一话题之所以引起了多方讨论，原因在于每年9月份的苹果新品发布会上通常只发布一款iPhone手机产品。而今年的新品发布会则与往年有所不同，发布会上的关注焦点变成了自Google Glass（Google眼镜）发布以来可能最令全球期待的可穿戴设备：Apple Watch（苹果智能手表）。 我的同事Alex Savitsky在对苹果全新支付平台安全性的分析中，将对这类设备抱有期待的人群分为了三类， 而在这里我想三类改为四类：第一类人，依然顽固地拒绝购买任何苹果产品，就好像自己受到了已故史蒂夫•乔布斯的不公正待遇一样；第二类人，使用自己心爱的采用retina显示屏的Macbook Pro（苹果笔记本电脑）在推特和博客上对苹果产品的缺点大肆冷嘲热讽；第三类人，有意购买苹果产品，如果看到类似”苹果产品与其它品牌产品并无二异”的文章时，会整天盯着此类文章下面的评论不放； 最后一类人，只要市面上出现拥有各种有趣用途的新产品，都会兴奋不已。 在这里我还想借用另一名同事Peter Beardmore的说法，虽然用在了不同的背景下：”高端”用户会买下所有最新流行的产品，无论是是Apple Watch、Google Glass或者只是一种新的洗碗机，而从不会考虑其安全性。购买后他会询问你的看法，并认真听取你的意见，即使你的观点是这个产品根本一无是处，他也丝毫不会后悔。 Google Glass基于安卓系统，因此毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。 问题出现了：创新设备不仅同样要面对传统的威胁，而有时甚至更易于受到这些威胁的攻击。甚至更糟，创新设备迟早还将面临创新的威胁。从Apple Watch这样奥威尔式的名字看，也必将难逃厄运。网络犯罪分子将通过Apple Watch和其它所有可穿戴设备来窥视你在互联网上的一举一动，收集你的所有在线信息然后提供给第三方。 卡巴斯基实验室全球研究与分析团队的安全和恶意软件分析师Roberto Martinez在其刊登于Securelist上最新一篇文章中分析了Google Glass的优缺点，切中了问题的要点。 “无论是目前的设备还是新发布设备，都有着许多共同之处：使用相同的协议并用类似的应用来与其它设备进行互联。没有任何解决的办法。传统的攻击途径主要是以中间人（MiTM）、对操作系统的漏洞窥探或应用本身对网络层发起攻击。由于同样采用安卓系统，因此Google Glass也会毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。” Martinez还介绍了一种难以置信的简单攻击方法，最初由移动安全公司Lookout发现。由于Google Glass是通过扫描由一款特定移动应用生成的二维码来实现互联网连接。只要Google Glass扫描这些二维码，就能自动联网。如此，Lookout所要做的只是创建自己的二维码，让Google Glass扫描，随后该设备就能与任一可能由恶意方控制的无线网络配对。这是一个利用现有威胁（恶意二维码）对新设备进行有效攻击的典型例子。 类似于#AppleWatch和#GoogleGlass这样的可穿戴设备将像传统电脑一样面临同样的#安全威胁 “但可穿戴设备的潜在风险来源却与电脑或移动设备不太一样，Google Glass界面是通过”卡片”进行导航，滚动不同的应用和设置，因而限制了配置选项。有时候，用户只需发出极其简单指令，Google

iCloud数据泄露导致包括詹妮弗•劳伦斯、凯特•阿普顿等大量一线好莱坞女星艳照曝光后，这几天各路网络隐私极客展开了热烈讨论。 假设你对此事有所了解，但不想浪费时间去关注相关细节，或者你是刚刚度完无网络假期归来，您可以在这里了解事件摘要。 iCloud（或其他任何苹果服务）是否泄露，是否利用了”查找我的iPhone”中的漏洞，或者利用了什么工具来实施这一卑劣的行为，这些都不是导致根本问题的原因。 即便有些东西不免费，也往往存在同样的问题，相比于免费版，付费版的价值并非体现在安全性和隐私保护上。 真正的问题在于大多数消费者对哪些数据放在某个地方的云中没有什么概念。就算有人知道，但也没人能说清楚这些数据的实际位置，谁有权访问这些数据，或者怎样保护这些数据的安全性。我敢打赌，詹妮弗•劳伦斯和凯特•阿普顿的网络隐私意识很谈，但我认为，即便是很重视网络隐私的人，对于上述问题的了解其实与劳伦斯和阿普顿也不会有太大区别。 想想吧，Google、Facebook、苹果等各大技术公司陆续不断推出的服务可谓日新月异。再想想，这些公司的隐私策略和设置也同样千变万化。这还不算层出不穷的漏洞和安全更新，后者往往依赖于不情愿或不知情的消费者，但这在很大程度上都不是重点。重点是，你没法跟上他们的节奏！ 几年前，我有一位同事就是这类情况的受害者。那大概是苹果第一次开始在所有iOS设备上启用iCloud服务。我同事通过iMessage和朋友进行了如下聊天： 朋友：今晚去哪儿喝一杯？ 同事：随便。只要离得近，有一个辣妹就行。 十分常见的对话吧？但实际上绝非如此，因为就在当天，iCloud在他的所有苹果设备上同步了所有iMessenger数据。我想你能猜到后来发生了什么。反正，我同事的儿子在iPad上看到了这条消息，然后他把iPad拿给了妈妈看。接下来你应该能猜到结果了。 当然，苹果从推出云服务到现在，已经（在某种程度上）解决了这种小问题。多数为人父母的电子产品使用者都对归入”iSpend”服务的缺点有所了解，所以他们会建立单独的帐户供孩子使用。 但问题仍然存在：数据到底在哪儿？谁有权访问这些数据？如何保护这些数据的安全性？ 关于云服务的安全性（尤其是消费者云服务）：身份验证不仅让人厌烦，而且使用简单的社交工程或现成的黑客工具，无需具备任何专业技术就能轻松入侵；现在提供了双重身份验证，但坦白说，也同样让人讨厌（主要是因为不方便）。 除此之外，用户并不了解哪些数据是自己的，哪些不是，部分原因是没有任何人会去阅读最终用户许可协议。用户自己的数据（或者应该是自己的数据）实际上不可能，或者至少是非常难以控制或管理。 那你可能会说：”云服务是免费的”，你不是第一个这么说的，也不会是最后一个。 这样说确实公正，但在我们生活的世界中，免费是很难避免的。即便有些东西不免费，也往往存在同样的问题，相比于免费版，付费版的价值并非体现在安全性和隐私保护上。 最后，事实是外表光鲜靓丽的iPhone、Mac和iPad正在静悄悄地将你的数据上传到神秘的云上，你应该知道的是这些数据实际上是存储在加州库比蒂诺（苹果公司总部）的一些服务器上，但别忘了，iPhone、Mac和iPad可绝不是免费的。 思考一下在线效率工具领域。如果你是一家小型企业所有者或者是其中的一名员工，并且没有使用这类效率工具，那么你实际的花费要比本来需要的更多。这样一来，不使用效率工具就会让你处于竞争劣势。 与涉及互联网和计算机的所有东西一样，这类效率工具也会创建、传送、存储数据流量，但数据到底在哪儿？如果你在某些地方，比如在欧洲开展业务，那么这就是大问题了。数据被索引了吗？谁有权访问这些数据？这些索引可能受到监视吗，比如说被某些地方的政府？或者，更糟糕的是被竞争对手所利用？此情境准确表达了为什么说无隐私者无畏是种愚蠢的说法。因为”没有隐私的人”根本不存在。隐藏并不等同于犯罪。 这些都是严重的问题，而且会变得越来越严重，上述小型企业的比喻调整一下就适用于用户的个人生活：所有免费健康应用中的数据都存储在哪儿？谁能查看这些数据？从什么时候起这些应用开始影响您的医疗保健开支？消费者和企业将渐渐意识到这些问题。如果您是Facebook上的营销人员，那么肯定已经发现这些问题。那些Facebook Messenger下载会产生怎样的影响？ 但是假装愤慨并不是我们要的答案。苹果和其他技术公司正大量投资正视解决这些缺点的服务。好吧，苹果，照你们声明中的暗示来看，对媒体宠儿詹妮弗和凯特发起的可能是高级持续性威胁类攻击。如今这些高级的攻击在你读完本篇文章的时候就已经变成过去式了。我们都会遇到严重的问题，我们应该予以正面承认。 卡巴斯基已经敏锐地意识到这些问题。我们会认真对待的。卡巴斯基清楚知道，虽然我们赖以生存的端点安全产品可能能够降低风险，但并非是一个全面的解决方法。我们将继续努力。有谁能助我们一臂之力吗？ 大多数消费者对哪些数据会放在#某个地方的云中完全没有概念#iCloud

今夏最后一个周末以网络重磅新闻画上句号：匿名黑客（可能是一个人）窃取并在网上发布了大量好莱坞女星的艳照，其中包括珍妮佛•劳伦斯等在内的众多一线明星。此类泄露事件绝不是什么新鲜事，只是这次闹出的动静实在太大。从一开始，人们就猜测这些照片是从明星的苹果iCloud帐户中被直接窃取的。有这种可能吗？如果是真的，应该怎样做才防范资料被窃呢？ 可能的泄露场景 目前，还没有确切的证据能证明这些照片是通过iCloud被盗的。苹果公司和FBI目前正在调查这一事件，我们期待他们的调查结果。但有一些事实表明，由于下面多种因素，擅自入侵用户帐户是完全可能的。第一，iCloud平台实施中有一个小缺陷，即允许无限次尝试输入帐户密码。一般情况下，用户重试登录的次数超过3-5次后，网络服务会锁定帐户。iCloud的普通网页界面上的确实施了此机制，但”查找我的iPhone”界面上却没有此限制。通过这一缺陷，黑客得以实施”暴力攻击法”，即系统化地尝试各种常用密码，直到最终黑客放弃，或者成功破解密码为止。为了通过暴力攻击法来访问iCloud帐户，黑客可能使用了开源应用，这种应用在流行的编程网站GitHub上出现过，时间就在艳照事件发生之前。 第二，许多明星可能忽视了强密码策略，而选择使用的是非常基本的密码。黑客只要在使用”暴力攻击法”时，将排名前500位的最常用密码挨个试个遍，就能收获颇丰。 第三，这也是最重要的一点。苹果公司实施的双重身份验证正是针对此类攻击的防御机制。毫无疑问，受害用户未采用这种本不该忽视的有效防御工具。 根据一些报告，这一缺陷立即得到了修复，截止到本周一，利用”暴力攻击法”已经不可能再攻破iCloud帐户。但是，没法保证没有别的漏洞存在。 此外，犯罪分子们攻击iCloud和”查找我的iPhone”的苹果用户也不是头一次了。今年夏天，有一些国家就遇到过一波网络勒索事件，受害用户突然发现自己的iPhone/iPad被锁定，其中犯罪分子们利用的正是苹果的防盗功能”查找我的iPhone”。锁定屏幕上会显示消息，要求用户支付赎金才能解锁设备。 保护自身及数据 这次的艳照事件证明，如今我们的隐私越来越脆弱，不管是明星还是普通人都不例外。基于云的文件存储设备因其无可争议的服务便利性，长期以来一直受到网络用户的追捧，但如今多少受一些严重风险的影响而有所降温。 例如，许多用户会在云上存储护照和其他敏感文件（或敏感照片）的扫描件，但云服务中时不时出现的漏洞会危及这些个人数据的安全性。人们谈到云安全性时，往往会忽视端点的安全性。如果设备受到具有间谍功能的恶意软件攻击，则设备本身可能就是泄露根源，它会将云内的文件和凭证向犯罪分子拱手相送。 为了避免因私人数据通过计算机、移动设备或云服务外泄而可能导致的问题，卡巴斯基实验室高级安全研究员Christian Funk给出了以下建议措施： 1.使用高强度密码，且为每个帐户设置独一无二的密码。 2.使用端点安全软件来保护设备，因为每个设备都是云存储的一道关卡。 3.尽可能启用并使用双重身份验证服务。 4.对信息分类，确定哪些应该存储在云中，哪些不应该。大多数敏感数据（不管是与您个人相关还是与职业生涯相关的信息）切不可放在云中。 5.移动设备很容易丢失或被盗，所以确保设备本身不存储任何敏感数据。如果没法做到这一点，请确保对设备实施相应的加密。 6.如果打算存储敏感数据（包括照片和视频），请仔细检查设备，确定设备不会自动将数据上传到云。 7.共享个人数据或允许他人获取您的照片之前，请确保对方设备也足够安全，以防您的私人数据不慎外泄。 #卡巴斯基专家就如何避免#iCloud照片#泄露给出的七大建议

苹果公司为其手机操作系统推出了全新软件更新—iOS 8—几乎同一时间，其主要竞争对手三星公司则正式确认将推广基于全新Tizen操作系统的设备。与此同时，Google及其安卓系统方面则几乎没有什么动静。尽管Google这一手机系统巨人没有出现在头版头条的位置，但在这里，我们依然有许多可以谈论的话题。 苹果的最新iOS操作系统 IOS 8最为显著的变化，似乎是更加开放和更具客制化了。完全出乎意料，苹果竟决定允许第三方开发者（i）替换苹果手机屏幕上标准的输入键；（ii）使用Touch ID界面；（iii）将他们的窗口小部件与消息中心相结合；（iv）扩展应用（包括针对某些家庭和医疗应用开发者的整个应用程序接口）间交换的数据类型，等等。 所有这些迟早会发生的。毕竟，与全球开发者社区在操作系统开发方面进行竞争太过艰难。唯一的出路则是变得更加灵活。您等着看好了：两三年后，Safari可能将失去其作为默认浏览器的垄断地位。 这并不是我的凭空想象 – 因为谁又曾料想过手机需要外置键盘呢？ 在果粉一贯疯狂的支持下，反对声音似乎寥寥无几，更不用说各种类型的有趣素材迅速成为了人们热议的话题。 事例：至顶网率先公布了全新功能对安全方面影响的分析—攻击面将增大。Ars Technica也迅速发布了IOS 8新功能与安卓系统各功能之间的比较文章，抓住了那些始终对苹果创新抱有强烈怀疑态度的读者的眼球。尽管增加众多的功能，但情况依然没有什么改变，乔布斯的忠实粉丝们对此根本不屑一顾，”如果乔布斯还在的话，他根本不会这么设计!” 那么，让我们来看看苹果是如何保持IOS一贯的安全性的。软件的预调节系统将被保留，但是对于苹果应用来说，依然有更多在恶意功能方面保持优势。新的Swift编程语言似乎防止了大量开发者在应用软件开发初期所犯的错误。不过，Swift将不是唯一强制性的开发环境（招聘启事：’寻找至少具有三年经验的Swift程序员’）。我仍支持尤金•卡巴斯基的意见，即苹果仍需要改变其维护安全性的方法。 Tizen Tizen.。Tizen？ 到底谁是Tizen（中文叫”泰泽”）？！对于那些知道维基百科的人来说，答案太简单了，Tizen就是安卓的”半个兄弟”，它的”继父”就是Linux或类似的系统。 我仍然不清楚开发这一操作系统的具体技术原因。我的意思是：这操作系统中的哪些功能是安卓系统所没有的？似乎他们开发的目的只是： 减少对Google的依赖; 获得最大量的数据量、流量和其它有价值的有关用户的非人性化信息； 是为了在选择目标和实现目标方面更自由一些。另一方面，Tizen将不仅能解决安卓储存残片的问题（阅读：存在于大量的版本中），还将继承所有集体创造力项目的全部先天缺陷 – 每位参与者将会设法分得最大的”一块蛋糕”（Tizen的主赞助商竟已达10家）。 更加自相矛盾的是三星目前的定位。三星拥有自己独家研发的Bada操作系统，该系统推出后一路顺风顺水（2012年，该系统一举超越了Windows系统手机的普及度），且很容易在此基础上创建生态系统。与苹果系统极为相似，只是没有苹果系统的缺陷。目前，三星似乎已另起炉灶，（包括将重心向新的Tizen应用商店转移以及花费数百万来激励开发者），而现在三星将不得不面临众多的竞争对手！ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ 答案可能是否定的。 Tizen最有可能只是在家用电器领域实现突破，在这一领域，产品更倾向于稳定发展而非跳跃式的发展， 且低储存碎片和自身开发平台的可行性是这一领域的主要特点。开源代码能够实现广泛的漏洞检查，这对用户极为有利（若三星公司能够快速提供补丁）。

新出现的勒索软件开始瞄准苹果用户，目前受害者主要是澳大利亚苹果用户。据称，被感染用户会在主屏幕上收到一条警告消息，要求用户支付50和100美元来解锁受影响设备。 据报道，最早发现这类感染的用户称，是自己的iOS和OSX设备发出”手机丢失”的提示音，这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时，用户看到屏幕上显示一条消息：”手机被Oleg Pliss所黑。若要解锁，请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元，已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚，但大家一致认为黑客是窃取了对用户iCloud帐户的访问权，进而劫持了手机本身。到底谁是Oleg Pliss，是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件，它能锁定被感染设备，要求用户支付费用后方可解锁。在某些情况下，恶意软件只是让计算机看上去不能用，或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似，这类勒索软件会加密被感染设备上的重要文件，并要求付费获取专用密钥，才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动，因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据，则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道，昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者，另有几则报道称，新西兰用户也受到了类似攻击。到目前为止，美国和欧洲的用户似乎暂未受影响，但如果此问题扩散到其他大洲，我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示，最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密，并且用户在多个服务上使用了同样的密码，则很容易在强力攻击中被用于访问iCloud等在线帐户。显然，受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚，但之前，因密码泄露而导致的数据外泄（包括已知和未知的）都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权，则iCloud服务的双重认证功能可提供相当可靠的防御。事实上，现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏，其中清楚显示了该如何开始设置流程（我们的视频只包含实际启用双重认证之前的内容，但其余部分我想你们能搞定）。