发布者：Editor

发布于：2020-06-01 18:41

因美国警察跪压锁脖黑人致死事件引发美国持续暴乱，事件不断升级发酵。近日，黑客组织“匿名者（Anonymous）”发布一个视频。视频中其成员戴着电影《V字仇杀队》中标志性的面具，谴责尼阿波利斯警察局，计划将该警局多项罪行公诸于世，似乎已在暗中掌握多项重要机密情报。

1 苹果「Apple 登录」爆出严重安全漏洞

现在，我们经常会使用一个账户绑定登录多个应用，这给我们的生活带来了极大的便利。但同时，我们常用的账户若存在安全风险，就会“牵一发而动全身”。

近期就有外媒报道，印度研究人员 Bhavuk Jain 发现了一个严重的「使用 Apple 登录」漏洞。该漏洞能让黑客绕过身份验证对目标用户进行远程攻击，接管使用“通过Apple登录”注册的第三方服务及对方的帐户。

据了解，「使用 Apple 登录」允许用户使用第三方应用程序注册帐户，无需透露实际的电子邮箱地址用作苹果ID，并通过 JWT（JSON Web 令牌）或苹果服务器生成的代码对用户进行身份验证。

但这个机制却有个致命的缺陷。

苹果虽要求用户要先登录Apple帐户才能发起 JWT请求进行身份验证。但事实上，JWT请求可以来自Apple的任何电子邮件ID，且使用Apple的公钥验证JWT令牌的签名后，就都会显示为有效。

这就意味着攻击者能通过链接任何Email ID并获得访问权限来欺骗Apple服务器,生成有效的JWT，从而获得目标用户的帐户。

此外，即使用户从第三方服务中隐藏电子邮件ID，该漏洞仍然有效。利用该漏洞，黑客甚至还能用受害者的Apple ID来注册新的帐户。

该研究员表示目前很多开发人员已将「使用 Apple 登录」集成在一起，因为对于支持其它社交登录的应用是强制性的，会对用户造成严重的影响。但苹果调查后表示在修补漏洞前，没有任何帐户使用该方法被破坏，并向其支付了10万美元的巨额赏金。

咸鱼想翻身：你最常用什么账户在其他应用上绑定登录呢？微信还是QQ？

2 “大气层” 作者与任天堂再度交锋

在任天堂Switch的Tegra X芯片被黑客破解后不久，为打击盗版，任天堂近日使用代号为“Mariko”的全新芯片并推出了续航版Switch以及Switch Lite。
但黑客与任天堂间的较量却从未停止。

继破解芯片团队TX宣布已完成对续航版Switch和Lite的破解后，昨日著名的Switch自制系统“大气层”的作者便在自己的个人推特上公开了以上两款Switch产品所用芯片的加密密钥。

虽然这并不代表着马上就可以在续航版Switch和Lite上使用“大气层”等自制系统，但通过密钥就能获取续航版Switch和Lite主板上内置存储器的全部文件，无疑已为软件破解打开了一扇大门，便于进行后门和漏洞的发掘工作。

以下是在持续更新中的“大气层”系统网盘地址，感兴趣的可尝试下载。

链接：https://pan.baidu.com/s/1iJqXS5i83T1-aiFojW1yYg提取码：sd9a

咸鱼想翻身：你有用过”大气层“系统吗？

近日，微信发布《关于规范公众号内虚拟支付行为的公告》，提出了“基于iOS对开发者的管理规范”，要求相关公众号进行整改。这次涉及的虚拟支付违规问题都是通过“菜单栏”导入到其他链接，完成支付。具体包括以下三类：

第一是付费购买虚拟商品，如直播虚拟礼物、在线教育涉及的视频课程、游戏道具，还有知乎、得到等知识付费。

第二是付费解锁优质服务，如虚拟VIP会员。

第三是关闭iOS端虚拟支付功能后，虚拟商品页面却仍保留价格标签展示、购买/付费/订阅/充值等按钮。

对此，微信提出的整改建议是去除一切价格展示，不再提供支付渠道。这就意味着微信公众号内将暂不支持一切iOS端虚拟支付业务。单纯依靠微信平台收费的商家必将损失巨大；而对于用户来说，购买虚拟服务也会变得麻烦。同时，这也会对微信平台自身造成一定的损失。

事实上，2017 年苹果就通过新条款宣布通过虚拟货币的打赏也要被视为应用内购买，收取30%的“苹果税”。因此不少人猜测，微信此举也许正是为了对抗苹果的这个霸王条款，也可能是微信正在对虚拟支付业务做出战略调整。

咸鱼想翻身：神仙打架，受伤的还是普通人啊！

声明：该文观点仅代表作者本人，转载请注明来自看雪