记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华在苹果应用商店发布 App 必须遵守的合规要求
如果您的企业通过苹果公司的 App Store 发布应用程序,那么您需要了解某些要求,以防止您的应用程序被苹果官方删除。本文将向您介绍这些要求,并向您介绍使您的应用程序在苹果 App Store 中可用所需了解的一切。苹果商店上架应用程序的要求苹果的 App Store 有一套要求,称为 App Store 审核指南,涉及安全、性能、业务、设计和法律问题。您的企业必须遵守这些要求,以避免您的应用程序被苹果官方删除。您应用程序的所有功能,包括您的应用程序使用的任何广告网络或第三方分析服务或软件开发工具包 (SDK),也需要符合苹果的要求。
2022 年漏洞统计:谷歌以 1372 个位居榜首、苹果以 456 个排在第六,Fedora 发行版漏洞最多
IT之家 3 月 16 日消息,根据安全公司 Atlas 公布的最新报告,谷歌、Fedora、微软产品存在的漏洞数量最多。苹果公司以 456 个漏洞位居第六、华为以 303 个漏洞位居第十。
韩国政府拒绝苹果将高精度地图数据输出境外
1、国务院机构改革方案提请审议:组建国家数据局日前,十四届全国人大一次会议在北京人民大会堂举行第二次全体会议。会上,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。中央网信办承担研究拟订数字中国建设方案、协调国家重要信息资源开发利用与共享等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略等职责划入国家数据局。2、元宇宙游戏The Sandbox遭攻击发送大量恶意邮件The Sandbox发布公告表示,遭遇了安全事件导致一些用户收到带有恶意软件的虚假电子邮件。
考虑安全因素,韩国政府拒绝苹果将高精度地图数据输出境外
据韩联社报道,一名韩国政府官员周一表示,韩国政府以安全问题为由,拒绝了美国科技巨头苹果提出的向海外传输韩国高精度地图数据的要求。据韩国国土交通部的官员透露,苹果公司向隶属于韩国国土交通部的韩国国家地理信息院申请获取 1:5000 比例尺的韩国地图数据,但其请求在 2 月 16 日被拒绝。“主要是因为安全问题”,该部门官员说,目前,韩国只允许向海外传输 1:25000 比例尺的地图数据,而更高精度的地图数据则不允许。此前,谷歌也曾多次向韩国政府要求将地图数据带到海外,但都遭到了拒绝。
苹果 iOS 16.4 Beta 3 代码出现快速安全响应更新的新描述:不兼容问题会导致一些应用意外关闭
IT之家 3 月 8 日消息,根据 iOS 16.4 Beta 3 测试版更新代码显示,苹果正在继续改进 iOS 16、iPadOS 16 和 macOS 13 Ventura 中内置的快速安全响应 (IT之家注:下文简称 RSR) 功能。iOS 16.4 Beta 3 中新的快速安全响应添加了有关可能与安全更新不兼容的应用程序的措辞。“由于与最新的 iOS 快速安全响应不兼容,一些应用程序可能会意外关闭。删除安全响应可能会解决这个问题,”苹果在日志中写道。还有回滚提醒通知可以让用户知道 RSR 版本是否存在问题。“可能存在 iOS 安全响应问题”预计是用户将来看到的文本提醒。
苹果向 iOS 16.4 / macOS 13.3 Beta 推送第二个快速安全响应(RSR)更新
IT之家 3 月 7 日消息,苹果今天再次面向 iOS 16.4 / macOS 13.3 推送了第二个快速安全响应(RSR)更新,这也是自苹果引入快速安全响应更新机制以来第 4 次 RSR 更新。苹果打算在未来使用快速安全响应更新来快速解决已发现的正在被积极利用的安全漏洞。这样苹果可以不需要等到常规更新再向用户推送,而是能够针对某些漏洞快速修复。IT之家提醒,该更新与正常更新出现的位置相同,可以在“设置”应用中找到。此更新显示为 iOS 安全响应 16.4 (b) 和 macOS 安全响应 13.3 (b)。触发安全响应更新的用户可以在此测试期间恢复到以前的 iOS 或 macOS 版本。
担心安全问题,韩国政府拒绝苹果将高精度地图数据输出境外
IT之家 3 月 6 日消息,据韩联社报道,一名韩国政府官员周一表示,韩国政府以安全问题为由,拒绝了美国科技巨头苹果提出的向海外传输韩国高精度地图数据的要求。据韩国国土交通部的官员透露,苹果公司向隶属于韩国国土交通部的韩国国家地理信息院申请获取 1:5000 比例尺的韩国地图数据,但其请求在 2 月 16 日被拒绝。“主要是因为安全问题”,该部门官员说,目前,韩国只允许向海外传输 1:25000 比例尺的地图数据,而更高精度的地图数据则不允许。此前,谷歌也曾多次向韩国政府要求将地图数据带到海外,但都遭到了拒绝。
基于内容安全担忧,苹果阻止一款基于 ChatGPT 的应用进行更新
IT之家 3 月 2 日消息,据华尔街日报报道,苹果阻止了一款使用人工智能语言工具 ChatGPT 的电子邮件应用的更新,原因是担心该应用可能会为儿童生成不适当的内容,该应用开发者对苹果公司的做法表示不认同。图源 Pixabay这一消息来自苹果公司发给该应用开发者的邮件,这款应用名为 BlueMail,开发公司为 Blix,其联合创始人本・沃拉赫(Ben Volach)介绍,上周,苹果公司采取措施阻止了 BlueMail 的更新,因为担心该应用中一个新的人工智能功能可能会显示不适当的内容。
苹果为 iOS 16.4 / macOS 13.3 Beta 2 用户发布快速安全响应更新
IT之家 3 月 2 日消息,苹果 iOS 16.4 和 macOS 13.3 Beta 2 的用户已经获得了新的快速安全响应更新。苹果打算在未来使用快速安全响应更新来快速解决已发现的正在被积极利用的安全漏洞。这是针对 iOS 16.4 和 macOS Ventura 13.3 Beta 测试人员的第一个快速安全响应(Security Response)更新。IT之家提醒,该更新可以在“设置”应用中找到,与正常更新出现的位置相同。此更新显示为 iOS 安全响应 16.4 (a) 和 macOS 安全响应 13.3 (a)。
美国网络安全局局长点名微软和推特,要求在保护用户隐私方面多向苹果学习
IT之家 2 月 28 日消息,美国网络安全和基础设施安全局(CISA)局长珍・伊斯特利(Jen Easterly)今天在卡内基梅隆大学发表讲话,高度赞扬了苹果公司对用户隐私和安全的关注和保护,并点名微软和推特等公司应效仿苹果,为用户推出更有效的隐私保护措施。根据 CNBC 报道,伊斯特利在演讲中指出苹果是安全实践的“问责制和透明度的正面标杆”。演讲中她特别强调,95% 的 iCloud 用户启用了双因素身份验证。伊斯特利认为苹果将多因素身份验证设为默认选项,从而推高了用户的安全性。伊斯特利高度赞扬苹果这种主动担起用户安全的行为。
苹果 macOS 内置防病毒工具 XProtect 发布 2166 更新,修复两处漏洞
IT之家 2 月 25 日消息,苹果于 2 月 22 日悄然发布了 XProtect 2166 版本更新,只是苹果并未发布有关本次更新的安全说明。Howard Oakley 在最新博文中表示,本次 XProtect 更新修复了 MACOS.KEYSTEAL.A 和 HONKBOX_A / B / C 两个漏洞,并将其添加到 Yara 工具中。用户可以通过“应用程序”>“实用工具”中的“系统信息”应用程序,来查看是否已经更新到新版本。该更新版本为 2166,适用于从 El Capitan 之后的 macOS 版本。
苹果警告影响iPhone、iPad和Mac设备的3个新漏洞
苹果修改了其上个月发布的安全公告,以包含影响iOS、iPadOS和macOS的三个新漏洞。 苹果修改了其上个月发布的安全公告,以包含影响iOS、iPadOS和macOS的三个新漏洞。第一个缺陷是Crash Reporter组件 (CVE-2023-23520) 中的竞争条件,它可能使恶意行为者能够以root 身份读取任意文件。这家iPhone 制造商表示,它通过额外验证解决了这个问题。归功于Trellix研究员Austin Emmitt的另外两个漏洞存在于Foundation 框架中(CVE-2023-23530 和 CVE-2023-23531),可以将其武器化以实现代码执行。
苹果设备发现新漏洞,可以恶意访问用户数据
苹果公司修订了它上个月发布的安全公告,更新了影响iOS、iPadOS和macOS的三个新漏洞。
第一个漏洞是Crash Reporter组件中的一个竞赛条件(CVE-2023-23520),可使恶意攻击者以root身份读取任意文件。iPhone制造商表示,它通过额外的验证来解决这个问题。
另外两个漏洞,归功于Trellix研究员Austin Emmitt,位于Foundation框架中(CVE-2023-23530和CVE-2023-23531),可以武器化来实现代码执行。
又见史诗级数据泄漏?阿里、华为、苹果、微软全部受影响
据彭博社报道,亚洲最大的两家数据中心遭遇黑客组织入侵,并悄悄潜伏其中近2年时间。在如此漫长的时间里,两大数据中心没有任何发现,而黑客却早已掌握已掌握了大量企业的亚洲数据中心登录凭证。影响范围包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马等国际巨头在内的2000多家企业。这是一起标志性网络安全事件,再一次凸显出全球计算机网络的脆弱性。通过这些登录凭证,黑客可以堂而皇之地进入上述国际巨头企业,那些机密数据如同一座座安保森严的宝藏,可悲的是,黑客组织手里拿着打开大门的钥匙。更要命的是,初步估计黑客组织掌握这些登录凭证的时间已经超过1年,黑客组织至少登录了五家企业的账号。
阿里、腾讯、亚马逊、微软、苹果等巨头服务器物理访问权限疑遭窃取
图片作者:Hokyoung Kim安全公司Resecurity披露,黑客于2021年入侵两个亚洲数据中心运营商的客户支持网站,窃取了阿里、腾讯、亚马逊、微软、苹果等超2000家组织的登录凭证,掌握时间超过一年之久;安全专家认为,攻击者可以此获取受影响组织的服务器物理访问权限;万国数据承认客户支持网站遭入侵,新科电信媒体GDC否认受漏洞影响,但均声称凭证外泄没有对客户的IT系统或数据构成风险,两家运营商在今年1月强制所有用户重置密码。
安全专家披露 iOS / macOS 漏洞:可获取苹果用户位置数据、照片、通话记录等信息
IT之家 2 月 22 日消息,Trellix 高级研究中心今天发布博文,披露了存在于 iOS 和 macOS 系统中的权限执行漏洞,攻击者利用该漏洞可以获取 iPhone 和 Mac 用户的消息、位置数据、照片、通话记录等。 Trellix 在 coreduetd 进程中发现了第一个漏洞,攻击者可以利用该漏洞访问个人的日历、地址簿和照片。此外攻击者还可以在 Springboard 中,利用 OSLogService 和 NSPredicate 中的漏洞,获取摄像头、麦克风、通话记录等的访问权限。Trellix 在发现漏洞之后已经报告了苹果公司。
苹果扩展通信安全功能至荷兰等6个国家/地区
日前,苹果公司于本月初发布新闻稿,表示将通信安全(Communication Safety)将扩展到更多国家和地区。根据苹果公司最新公告,将会在未来几周内在荷兰、比利时、瑞典、日本、韩国和巴西六个国家上线这项功能。如果在儿童收到的照片中检测到裸体内容,照片将被模糊化,并向儿童提供儿童安全团体的资源。儿童发送的照片中的裸体内容将触发警告,告知儿童不要发送该图片。苹果于2021年在美国率先推出通信安全功能,几个月后扩展到英国、加拿大、澳大利亚和新西兰。苹果在最近几个月,将这项服务进一步扩展到法国、德国、意大利和西班牙。
苹果扩展通信安全功能至荷兰等 6 个国家 / 地区,进一步增强对儿童信息的保护
IT之家 2 月 21 日消息,苹果公司于本月初发布新闻稿,表示将通信安全(Communication Safety)将扩展到更多国家和地区。根据苹果公司最新公告,将会在未来几周内在荷兰、比利时、瑞典、日本、韩国和巴西六个国家上线这项功能。IT之家小课堂:Messages 中的通信安全功能旨在扫描儿童设备上发送和接收的 iMessage 图像是否有裸体内容,在发现有害内容之后会发出警告。如果在儿童收到的照片中检测到裸体内容,照片将被模糊化,并向儿童提供儿童安全团体的资源。儿童发送的照片中的裸体内容将触发警告,告知儿童不要发送该图片。
苹果披露多个新安全漏洞,已在 iOS 16.3 中修复
IT之家 2 月 21 日消息,在上周的 iOS 16.3.1 中,苹果为 iPhone 和 iPad 用户带来了多个安全补丁。苹果公司现在已经更新了其安全网页,揭示了在最新的 iOS 更新中哪些漏洞被修复。IT之家查看苹果官网获知,苹果为 iOS 16.3.1 增加了一个新的“通用漏洞披露”(CVE),为 1 月份发布的 iOS 16.3 增加了三个新的 CVE。苹果列出的 iOS 16.3.1 修补的新漏洞与“恶意制作的证书”有关,可能导致拒绝服务(DoS)攻击,即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。苹果公司表示,DoS 问题已经通过“改进的输入验证”得到了修复。
先是苹果,后是微软,这个星期不太平呀!
前两天苹果出了个 0Day, 今天微软又爆了个后门。我们来看看,这个叫 Frebniis 的新恶意软件是怎么滥用 Microsoft IIS 功能建立后门。 Broadcom Software 旗下的赛门铁克发现了一种新的恶意软件,它滥用 Microsoft 的 Internet 信息服务 (IIS) 的一项功能,在目标系统上部署后门。该恶意软件被称为 Frebniis,目前未知的威胁行为者使用它来攻击台湾的目标。Frebniis 使用的技术涉及将恶意代码注入与 IIS 功能相关的 DLL 文件 (iisfreb.dll) 的内存中,该 IIS 功能用于对失败的网页请求进行故障排除和分析。
苹果iOS16.3.1和macOS13.2.1修复已被黑客利用的高危漏洞
日前,苹果发布了 macOS Ventura 13.2.1、iPadOS 16.3.1和iOS 16.3.1更新,本次更新幅度相对来说并不大。不过本次更新修复了已经被黑客利用攻击的一个漏洞,推荐用户尽快升级。根据苹果的官方更新日志,本次更新修复了存在于 WebKit 中的漏洞,允许恶意制作的 Web 内容来执行任意代码。苹果表示已经有证据表明,黑客已经利用该漏洞发起攻击。该漏洞是一个类型混淆问题,苹果表示已通过改进检查解决了该问题。
苹果正式发布 macOS Ventura 13.2.1,修复重要漏洞
IT之家 2 月 14 日消息,苹果今日向 Mac 电脑用户推送了 macOS 13.2.1 更新(内部版本号:22D68),本次更新距离上次发布隔了 21 天。苹果表示,macOS Ventura 13.2.1 修复了 WebKit 中的一个安全漏洞,该漏洞已被攻击者“积极利用”。简单来说,这个漏洞可能会让恶意网页内容导致任意代码执行。这一漏洞同样也会影响旧版 macOS 用户,因此苹果还发布了适用于 macOS Big Sur 和 macOS Monterey 的 Safari 16.3.1 版本更新。
推荐尽快升级:苹果 iOS 16.3.1 和 macOS 13.2.1 修复了已被黑客利用的高危漏洞
IT之家 2 月 14 日消息,苹果于今天发布了 macOS Ventura 13.2.1、iPadOS 16.3.1 和 iOS 16.3.1 更新,本次更新幅度相对来说并不大。不过本次更新修复了已经被黑客利用攻击的一个漏洞,IT之家推荐用户尽快升级。根据苹果的官方更新日志,本次更新修复了存在于 WebKit 中的漏洞,允许恶意制作的 Web 内容来执行任意代码。苹果表示已经有证据表明,黑客已经利用该漏洞发起攻击。该漏洞是一个类型混淆问题,苹果表示已通过改进检查解决了该问题。macOS Ventura 13.2.1 中没有其他值得注意的修复。
苹果称 Apple Maps 隐私漏洞并未影响 iPhone,否认有 App 未经同意使用位置数据
IT之家 2 月 11 日消息,巴西记者 Rodrigo Ghedin 于本月初报道称,Apple Maps 存在一个隐私 BUG,可以在未经用户许可的情况下,允许 App 收集用户位置数据。苹果在最新发布的 iOS 16.3 更新中已经修复了这个 BUG。苹果公司于本周五向 AppleInsider 等多家科技媒体发布声明,表示目前没有证据表明有 App 利用了该漏洞。Apple 表示 iOS 从未面临风险,并表示报道中提及的 iFood 外卖应用没有绕过用户设置的隐私控制。IT之家将声明翻译如下:苹果始终认为何时共享数据以及和谁共享数据,这个权利应该握在用户自己手中。
更妥善保护儿童信息,苹果 iPhone 的通信安全功能将扩展到更多国家 / 地区
IT之家 2 月 8 日消息,苹果为庆祝国际互联网安全日(Safer Internet Day),在欧洲市场发布新闻稿,重点介绍了“屏幕时间”(Screen Time)和通信安全(Communication Safety)等保护在线儿童的软件功能和工具。IT之家小课堂:Messages 中的通信安全功能旨在扫描儿童设备上发送和接收的 iMessage 图像是否有裸体内容,在发现有害内容之后会发出警告。如果在儿童收到的照片中检测到裸体内容,照片将被模糊化,并向儿童提供儿童安全团体的资源。儿童发送的照片中的裸体内容将触发警告,告知儿童不要发送该图片。
苹果在 iOS 16.3 中修复 Apple Maps 的隐私 BUG:未经用户允许,应用可收集位置数据
Apple Maps 存在一个隐私 BUG,可以在未经用户许可的情况下,允许应用收集用户位置数据。苹果在最新发布的 iOS 16.3 更新中已经修复了这个 BUG。根据巴西记者 Rodrigo Ghedin 报道,当地外卖应用 iFood 在 iOS 16.2 系统中,即便用户关闭了该应用访问位置的权限,但该应用依然可以利用上述 BUG 来追踪用户位置。IT之家了解到,iFood 是巴西最大的外卖应用程序,公司估值 54 亿美元。该应用在关闭访问位置的权限之后,iFood 的应用程序依然可以获取用户的位置信息。
VUL337 团队发现苹果操作系统高危漏洞 2
#漏洞披露 2个 近期,清华大学 VUL337 团队发现 macOS / iOS / iPadOS 内核扩展 AppleEmbeddedSimpleSPINORFlasher 存在高危漏洞,漏洞编号为 CVE-2022-32829。CVSS 漏洞评分为 7.8,漏洞等级为高危。团队已将漏洞信息反馈给苹果安全团队,漏洞修复版本系统已发布,建议用户及时升级。漏洞基本信息:AppleEmbeddedSimpleSPINORFlasher 是苹果操作系统安全启动链相关的关键内核扩展。
VUL337 团队发现苹果操作系统高危漏洞 1
#漏洞披露 1个 近期,清华大学 VUL337 团队发现 macOS / iOS / iPadOS 内核扩展 IOAVBFamily 存在高危漏洞,漏洞编号为 CVE-2022-42806。CVSS 漏洞评分 7.0,漏洞等级为高危。团队已将漏洞信息反馈给苹果安全团队,漏洞修复版本系统已发布,建议用户及时升级。漏洞基本信息:该漏洞属于释放后使用漏洞 (use-after-free,uaf)。IOAVBFamily 内核扩展是音频处理相关驱动,该驱动在操作内核指针类型全局变量时缺少锁保护,导致用户态进程可以并发访问该变量。
“杀猪盘”APP成功潜入苹果和谷歌应用商店
当地时间2月1日,安全公司 表示,他们中发现了“杀猪盘”App。这些“杀猪盘”App经过精心设计,欺骗人们将大笔资金投入虚假投资骗局。 Sophos以诈骗团伙 CryptoRom 为例介绍了诈骗过程。欺诈者在与受害者通过约会应用程序(Facebook 和 Tinder)接触并培养“感情”,然后他们被要求转移到 WhatsApp。建立了比较融洽的关系后,诈骗者称自己的亲戚在某个金融分析公司工作,并邀请受害者一起进行加密货币交易。
苹果推荐用于 iPhone、iPad 和 Mac 的物理安全密钥:至少买两个
IT之家 1 月 30 日消息,iOS 16.3 、iPadOS 16.3 和 macOS 13.2 带来的主要新功能是支持 Apple ID 帐户的物理安全密钥。苹果表示,可选的安全功能专为希望“针对网络钓鱼或社会诈骗等针对性攻击提供额外保护”的个人而设计。启用后,登录 Apple ID 需要输入用户的帐户密码,然后使用 FIDO 认证的安全密钥来完成双因素身份验证,而不是来自另一台 Apple 设备的传统六位数验证码。那些启用该功能的用户必须非常小心,不能丢失他们的安全密钥,因为这可能会导致永久失去对 Apple ID 帐户的访问权限。因此,用户必须设置至少两个安全密钥,总共最多支持六个。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
