苹果研究人员探索放弃“Siri”短语，改用人工智能聆听

苹果研究人员探索放弃“Siri”短语，改用人工智能聆听 据周五 (3月22日) 发表的一篇论文称，苹果公司的研究人员正在研究是否有可能利用 AI 来检测用户何时在对 iPhone 等设备说话，从而消除对“Siri”等触发短语的技术需求。在一项上传到 Arxiv 且未经同行评审的研究中，研究人员使用智能手机捕获的语音以及来背景噪声的声学数据来训练一个大型语言模型，以寻找可能表明用户何时需要设备帮助的模式。论文中研究人员写道：“该模型部分基于 OpenAI 的 GPT-2 版本构建，因为它相对轻量级，可以在智能手机等设备上运行。”论文描述了用于训练模型的超过129小时的数据和额外的文本数据，但没有说明训练集的录音来源。据领英个人资料，七位作者中有六位列出他们的隶属关系为苹果公司，其中三人在该公司的 Siri 团队工作。论文称，结果令人鼓舞。该模型能够比纯音频或纯文本模型做出更准确的预测，并且随着模型规模的扩大而进一步改进。 、

安全研究人员使用假红外相机成功绕过 Windows Hello 生物识别验证

安全研究人员使用假红外相机成功绕过 Windows Hello 生物识别验证 问题在于Windows Hello似乎很愿意接受任何具有红外功能的相机作为验证相机 , 这让黑客可以篡改实际数据流。 研究人员使用特制设备向 Windows Hello 发送两帧数据，第1帧是目标用户的真实红外捕获、第2帧是空白黑帧。其中真实红外捕获用来获得初步的认证 ,  而空白的黑帧则用来欺骗 Windows Hello 活体检测机制达到验证目的。 CyberArk Labs 的研究人员早在 3 月份发现了该漏洞，并该漏洞命名为 研究人员向微软通报漏洞后已经获得微软公司的确认，微软表示此漏洞将在后续更新进行修复。另外微软还提供用于增强生物识别安全性的临时性方案，该方案可以限制只使用来自 OEM 制造商信任的摄像头。 （，） 也就是说打了补丁之后，你买的灵车摄像头可能就不能用于 Windows Hello 了

这就是苹果官方为安全研究人员提供的"越狱"iPhone 黑市价值数千美元

这就是苹果官方为安全研究人员提供的"越狱"iPhone 黑市价值数千美元 在这些设备出现之前，有一个由黑客和安全研究人员组成的松散组织，他们一心想解除苹果公司对 iPhone 的限制，被称为"越狱者"。越狱"一词的概念来自于突破苹果公司对 iPhone 的安全限制，被称为"监狱"。越狱者的目的有时只是为了绕过限制，例如侧载官方 App Store 未收录的应用程序，以及在过去iPhone OS启用该功能之前简单地更改 iPhone 的墙纸。尽管这些目标看似无害，但苹果公司多年来一直在与越狱者作斗争，阻止人们禁用 iPhone 的安全功能。至少还有一个苹果支持页面称越狱是对 iOS 系统的"未经授权的修改"。最近，根据安全研究员 Gergely Kalman在 X（之前是 Twitter）上发布的一张图片，苹果公司似乎已经接受了越狱这一术语，并将其用于安全研究设备的官方说明中。"我们已经简化了在安全研究设备上运行现有工具的过程。通过 cryptex 子系统，你可以侧载你的工具，它将以平台权限和任何你想要的权限运行，"说明中写道。"这允许安全策略的其余部分保持启用状态，提供了越狱设备的灵活性，同时将你正在调查的系统保持在类似客户的完整状态"。带贴纸和说明书的 iPhone 安全研究设备。(图片：Gergely Kalman）卡尔曼附上了一张装有他的 iPhone 安全研究设备的盒子的照片、一页给研究人员的说明，以及他说盒子里的三张贴纸。他在周二发布的帖子中写道："很抱歉没有开箱视频，但这是苹果安全研究设备和随附的礼品。"目前还不清楚外部到底有多少这样的安全研究设备，网上广泛传播的图片也很少。当被问到苹果对外发送了多少台这样的设备，以及该计划是否导致向公司报告的漏洞数量增加时，苹果发言人斯科特-拉德克利夫（Scott Radcliffe）没有回应置评请求。卡尔曼介绍说，他的安全研究设备与 iPhone 14 Pro"一模一样"，唯一不同的是，在锁定屏幕的底部有"安全研究设备"的字样和一个苹果公司的电话号码，大概是为了在丢失时方便上交。除此之外，卡尔曼说包装盒上还有一个特殊的标签，上面写着"请勿移除"和"苹果公司财产"，还有一个序列号，苹果公司在其网站上注明了这个序列号。在卡尔曼周二发表文章之前，似乎只有一篇博客文章展示了安全研究设备的图片，发表于 2022 年。iPhone 安全研究设备。(图片：Hoyt LLC）安全研究设备计划的推出至少在一定程度上是对iPhone 原型（技术上称为"融合开发"设备）泛滥的回应，黑客和收藏者在地下市场买卖这些设备。这些"开发融合"设备本质上是没有经过完整生产流程的 iPhone，或之前在苹果公司内部用于测试功能，从未打算最终落入消费者手中。因此，这些设备少有普通 iPhone 上的典型安全功能和限制。这正是它们特别吸引安全研究人员的地方：这些设备使黑客更容易在 iPhone 最严密的代码中发现漏洞。这就是为什么这些设备的价格高达数千美元，也是为什么苹果公司一直在打击这种灰色市场，并提供替代的安全研究设备。 ... PC版： 手机版：

媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞

媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞 斯特恩在一篇关于"屏幕时间"的报道中说，她可以在儿子的iPad 上使用一串字符，绕过防止访问色情、暴力图片等网站的限制。她可以在运行 iOS 和 iPadOS 15、16 和 17 以及macOS Sonoma 的设备上绕过"屏幕时间"。苹果公司在给斯特恩的一份声明中说，它意识到"开发人员的底层网络技术协议存在问题，允许用户绕过网络内容限制"。苹果计划在"下一次软件更新"中修复该问题。接受 Stern 采访的安全研究人员表示，该漏洞最早是在 2021 年 3 月报告给苹果公司的，当时发现输入一串字符就可以绕过家长实施的网站限制和公司设备上的网络黑名单。黑客可以绕过 iPhone、iPad 和 Mac 上的限制。苹果公司告诉研究人员这不是一个安全问题，并指示他们使用反馈工具提交报告。报告提交后，苹果公司没有任何回复。研究人员试图重新向苹果公司提交该漏洞，但没有得到任何回复。苹果公司在长达三年的时间里一直忽视了这个问题，直到有人联系到 Stern 并公布了这个问题。由于发现该问题的两名安全研究人员从未分享过该解决方法，因此该解决方法似乎并不为人所知，也未被广泛利用。除了承诺修复外，苹果还表示将致力于改进接收和升级错误报告的流程。斯特恩的报告强调了"屏幕时间"的其他几个错误，包括应用程序限制、"屏幕时间"使用图表、更多时间通知和"要求购买"等问题。苹果在 iOS 17.5 中改进了"屏幕时间"，对应用程序和设备使用跟踪、应用程序限制和时间请求进行了修复，但该公司表示在即将发布的软件版本中还会有更多更新。 ... PC版： 手机版：

苹果公司删除关于CSAM扫描功能的网页

苹果公司删除关于CSAM扫描功能的网页 苹果公司已经悄悄地从其儿童安全网页上删除了所有提及CSAM的内容，这表明在对其方法提出重大批评后，其检测iPhone和iPad上儿童性虐待图像的有争议的计划可能悬而未决甚至可能中途夭折。 苹果公司在8月宣布了一套计划中的新的儿童安全功能，包括扫描用户的iCloud照片库中的儿童性虐待材料（CSAM），在接收或发送色情照片时警告儿童及其父母的通信安全，以及扩大Siri和搜索中的CSAM指导。 这些功能公布后，受到广泛的个人和组织的批评，包括安全研究人员、隐私吹哨人爱德华·斯诺登、电子前沿基金会（EFF）、Facebook的前安全主管、政治家、政策团体、大学研究人员，甚至一些苹果员工都对此表示明确反对。 大多数批评都是针对苹果公司计划的设备上CSAM检测，研究人员抨击其依赖无效和危险的技术，近乎于实施大规模监视，并嘲笑其实际上在识别儿童性虐待图像方面没有效果。 苹果继续为"信息"功能推出通信安全特性，本周早些时候随着iOS 15.2的发布而上线，但在批评的洪流中，苹果决定推迟CSAM的推出，这显然是它没有想到的。 9月，该公司表示，"根据客户、宣传团体、研究人员和其他方面的反馈，我们决定在未来几个月花更多时间收集意见，并在发布这些极其重要的儿童安全功能之前进行改进。"上述声明之前被添加到苹果公司的儿童安全页面，但它现在已经消失了，这就提出了一种可能性，即苹果公司可能已经搁置，甚至完全放弃了这个计划。 cnBeta

安全研究人员涉嫌利用苹果内部销售系统窃取数百万美元

安全研究人员涉嫌利用苹果内部销售系统窃取数百万美元 虽然法庭记录中没有明确指出苹果公司的名字，但一家未具名的"A 公司"位于加利福尼亚州库比蒂诺，显然就是苹果公司。法庭提到，其中一名罪犯使用礼品卡"在 A 公司的App Store 购买 Final Cut Pro"，而苹果公司是唯一一家销售该软件的公司。2019 年，Frazee 和他的同伙使用密码重置工具访问了一个属于未具名"B 公司"的员工账户，该公司为苹果公司提供客户支持。通过该账户，Frazee 获得了更多的员工凭证，并访问了 B 公司的 VPN 服务器。Frazee 从那里进入了苹果公司的系统，为苹果产品下了欺诈性订单。他使用了苹果公司的"工具箱"程序，该程序可用于在订单下达后对订单进行编辑，他将订单价值改为零，在订单中添加产品，并延长了AppleCare合同。他在 2019 年 1 月至 3 月期间滥用了苹果公司的程序。起诉书还说，被告远程控制位于印度和哥斯达黎加的电脑是骗局的一部分。起诉书还说，骗局本身涉及将订单货币价值改为零、在现有订单中无偿添加产品（如手机和笔记本电脑）以及延长现有服务合同。其中包括将与其中一名被告及其家人有关的客户服务合同延长两年而不付款。苹果公司在1 月份的一份支持文件中感谢弗雷泽发现了macOS Sonoma 中的几个漏洞，而这份文件是在他被捕不到两周后发布的。"我们要感谢诺亚-罗斯金-弗拉泽和 J.实验室）的协助，"苹果在提到一个 Wi-Fi 漏洞时这样写道。Frazee 被控犯有电信诈骗、邮件诈骗、共谋电信诈骗和邮件诈骗、共谋计算机诈骗和滥用以及故意损坏受保护计算机罪。他将被要求没收所有赃物，如果罪名成立，他可能被判处 20 年以上监禁。 ... PC版： 手机版：