任何人都可以登录你的苹果Mac

昨天，安全研究人员揭露了苹果macOS High Sierra系统的一个非常低端的漏洞，有多低端呢？很多外媒直接在标题上打出“Stupid bug”。

任何人只要在登录Mac笔记本时，在用户名中填入“root”，密码留空，单击两次“unlock”，就可以成功访问该笔记本，而且获得的是root权限。

Synack安全研究员Patrick Wardle说：“我们经常看到恶意软件想方设法去获得root权限。但苹果似乎很大方，直接就给出了。”

苹果目前已经证实存在这个问题，在一份声明中建议为root添加一个密码。一位苹果发言人补充说：“我们正在研究一个软件更新来解决该bug。”

美国国家安全局泄露超过100GB绝密数据

据ZDNet报道，美国国家安全局（NSA）部分硬盘资料被公开在亚马逊的AWS云存储服务器上（好吧，不知道这是亚马逊AWS的第几次事故了）。该服务器包含了来自代号为“红色磁盘”的陆军情报项目的超过100GB的数据，位于AWS子域名“inscom”上，该域名是美国陆军情报和安全司令部的缩写。

展开全文

不过此事发生在今年9月底，安全公司UpGuard的网络风险研究主管Chris Vickery发现了此次泄露，并在10月份通知了美国政府，直到此时才在媒体上曝光。

亚马逊AWS云存储已经发生了数不清的泄露事故，不过美国国家安全局的“安全性”似乎也不怎么样。最有名的是2013年爱德华·斯诺登（Edward Snowden）对该机构大规模监视计划的揭露。

随后NSA的黑客工具又被Shadow Brokers偷走，今年全球爆发的WannaCry勒索病毒也与这些被盗走的工具有关；另外一个NSA承包商也因为窃取绝密文件面临长达11年的监禁。

NSA没有回应置评请求。

Android应用程序跟踪用户

耶鲁大学隐私实验室和法国研究机构Exodus Privacy对谷歌商店中数百款应用程序的分析结果显示，有超过3/4的APP使用第三方工具跟踪用户，其中包括Tinder、Spotify和Uber。

这些应用程序使用各种技术来收集用户的个人信息，以便更好地针对他们推出广告和服务。

例如Google提供的服务Crashlytics，主要跟踪应用程序崩溃报告，但也可以“了解用户正在做什么以及注入实时社交内容以取悦他们”。

FidZup，一家法国的追踪供应商，其技术可以使用超声波来定位手机的存在。与之类似的是另一家公司Teemo，它曾研究了1000万法国公民的地理位置信息。而SafeGraph在去年感恩节期间则收集了17万个位置标记（例如大型商圈）10米范围内的智能手机数据，以便向他们推送定制广告。

耶鲁隐私实验室通过这些研究呼吁开发人员以及Google，“为了提高隐私安全，应该对这些跟踪器作出一定的限制以及透明度说明。”

Uber官司缠身

上周，Uber发布声明称：黑客在2016年10月从公司的网络偷走了大批数据，包括60万名司机的姓名和驾驶证信息，更糟的是，还有5700万Uber用户的姓名、电话号码和电子邮件地址。

据彭博社报道，Uber向黑客支付了10万美元的赎金，以掩盖这起严重数据泄露事件长达一年。

本周一，美国国会参议员正式就此次事件向Uber提出质询。第一起正式的地方政府起诉来自于伊利诺伊州芝加哥市。芝加哥市长拉姆·伊曼纽尔（Lahm Emanuel）指责：“芝加哥市不会容忍这种不负责任的做法，这就是为什么我们要采取法律行动让Uber为他们鲁莽的行为负责。”

周二，华盛顿州检察长Bob Ferguson接过接力棒，继续提起诉讼，“本州的信息技术安全违规法要求在45天内通知消费者”。华盛顿州比较狠，要求法院评估每个受影响的个体损失高达2000美元，这意味着仅司机就可能达到12亿美元的赔偿。而Uber去年亏损了大约28亿美元。

后面还有美国的48个州……还不只是美国，Uber此次数据泄露据证实也影响了欧洲，英国、荷兰、意大利已经正式对其发起了调查。今天还增加了个菲律宾。

Uber为什么这么惹人恨呢？其中一部分原因是Uber一向以蔑视法律著称，和中国的滴滴类似，这种打车平台还是动了地方政府的蛋糕，加之又带来了不少监管安全隐患，所以不少政府才借此机会要求严惩之。

除了官方诉讼，也已经有数十个团体和个人宣称将要起诉Uber。

360上榜Win 10最好杀毒软件

位于德国AV-Test测试实验室会每年会定期评估Windows、Mac和Android的防病毒软件。

今年排名最高的是AhnLab V3和卡巴斯基实验室，都得到了18分的满分；其次是Avira Antivirus，Bitdefender，McAfee以及Norton Security，都得到了17.5分。

中国的奇虎360也上榜，不过名次偏低，13分。完整榜单见：