App Store 上销售额最高的 1000 个应用程序中，有 2% 是骗局

《华盛顿邮报》报道，根据市场研究公司 Appfigures 的数据，这些应用在 App Store 上已经从消费者那里骗取了约 4800 万美元。更重要的是，苹果公司从这些应用程序中获利，抽取了高达 30% 的比例。

长期以来，苹果公司一直坚持认为其只让最好的应用程序进入其系统。但这种垄断实际上会给客户一种虚假的安全感。当涉及到一种类型的骗局时，有证据表明苹果的商店并不比谷歌的更安全。

如果真是这样，声称进行严格审查的苹果商店未必比谷歌商店更安全，反而用户可能在虚假的安全感之下损失更多。

Colonial 管道公司向黑客支付的 230 万美元比特币赎金被追回

美国司法部在一次新闻发布会上说：“通过执法机构，受害者的资金被从钱包中没收，以防止 DarkSide 的人使用它们。” 他们已经缴获了所支付的 75 个比特币赎金中的近 64 个比特币。FBI 特工们确认了 DarkSide 黑客用来从 Colonial 管道公司收钱的一个加密货币钱包，但 拒绝透露具体是如何进入该比特币钱包的，理由是需要对情报技术保密。不过，Colonial 公司在支付赎金时已采取早期措施通知 FBI，并遵循指示，帮助调查人员追踪支付给黑客使用的加密货币钱包。FBI 特工说，即使是 DarkSide 这样的外国网络犯罪分子，在犯罪过程中的某个时刻，也会使用美国的基础设施。一旦他们这样做，就给了 FBI 一个收回资金的合法窗口。

我好奇的是 FBI 是如何拿到该钱包的私钥的。

苹果发布下一代 Mac 桌面操作系统：macOS Monterey

将在今年秋季推出的 macOS Monterey 的最大新功能之一，是能够在 iMac、MacBook 和 iPad 上共享键盘和鼠标。它被称为“通用控制”，这意味着用户可以直接在设备之间拖放文件。除此之外，macOS Monterey 将使 iPad 或 iPhone 上的视频、音频、文件和其他项目可以直接 AirPlay 到 Mac 上。

这似乎和前两天华为鸿蒙推出的概念类似。

推动苹果公司成为万亿公司的一封邮件

2007 年，苹果的市值约为 1500 亿美元。今天，它已经超过了 2 万亿美元，主要是基于 iPhone 的成功，而 iPhone 的成功，至少部分是基于 App Store 的成功。而这一切，都始于乔布斯的一封邮件。

最初，iPhone 在每台设备上只预装了 16 个应用。乔布斯告诉开发者，如果他们想为 iPhone 创造应用，他们可以制作在 Safari 浏览器中运行的网页应用。用户立即开始想办法越狱，以便在他们的设备上安装应用。所以，苹果只能通过某种官方 SDK 使开发应用程序成为可能。乔布斯给该公司软件工程高级副总裁 Bertrand Serlet 回答到：“当然，只要我们能在 2008 年 1 月 15 日的 Macworld 上把它全部推出来。”2008 年，我们见到了苹果的 SDK 和 App Store。

无论主动还是被动，App Store 这种划时代的创举，真正开创了新的智能手机时代。

Linux 内核将一直保留前 1MB 内存

在一些特定的情况下，前 64kb 的内存会被 BIOS 破坏；在另外一些罕见情况下，前面的内存也会被 BIOS 或 EGA/VGA 帧缓冲区所破坏。因此，与其针对不同情况分别设置内存规避区域，不如将整个前 1MB 内存设置为保留。因此，在 5.13 中将永久保留前 1MB 内存而不使用。

现在真是内存富余了，可以随便将 1MB 内存保留不用了。而就在 20 多年前，那时候还是按 KB 计算着使用内存的。

Torvalds 继续反对在编译 Linux 内核时使用 -O3 优化标志

由于 GCC 的较旧版本可能会在 -O3 编译器优化级别下产生坏的代码，而且有时没有性能上的好处，Linus Torvalds 仍然反对在编译 Linux 内核时使用这种优化标志。Torvalds 总结了他目前对 -O3 的看法：“它在历史上一直有可怕的错误。它已经变好了，但‘变好’并不是一个很高的标准。”WireGuard 项目从开始就一直用 -O3 优化级别构建，也并没有看到因此而产生不良代码的情况，但由于 Torvalds 的指导意见，该项目放弃了这个选项。除了 WireGuard 之外，LZ4 和 Zstd 是仍然在用 -O3 的内核模块。

一方面很多厂商转向使用新版本的编译器非常缓慢，另外一方面一些没有那么严谨的代码也并不适合更高级别的优化。理想化的优化措施，在现实情况中往往不能采用。

萨尔瓦多可能成为第一个将比特币视为法币的国家

在美国迈阿密举行的 Bitcoin 2021 会议上，中美洲国家萨尔瓦多的总统宣布，计划立法将比特币视为法币，和美元并列。萨尔瓦多已经组建了一个由比特币领袖组成的团队，以帮助建立一个以比特币为基础层的新金融生态系统。萨尔瓦多主要使用现金，70% 的居民没有银行账号或信用卡。3 月，Strike 在萨尔瓦多推出了它的移动支付应用，并迅速成为该国下载量最大的应用。

对于没有现代金融体系的国家来说，比特币可能要比落后的金融体系更可靠，当然，也可能更危险。

用文本描述创造安卓应用

研究人员开发出一种框架，能从文本描述创造安卓应用。这项研究在人类语言和编程语言之间架起桥梁，让编程变得更容易。大部分此类的技术是基于端对端的神经网络机器翻译，类似 Google 翻译使用的技术。但绝大部分它们都无法生成包含数百行代码的应用。为了克服这一限制，研究人员创造了一种形式语言，能抓住应用代码中的复杂性。他们开发的框架被称为 Text2App，其演示发布在 GitHub 上。

这也是低代码的一种形式，其实对于很多应用来说，低代码是一种可能的开发方式。

主要浏览器开发商对浏览器插件进行标准化

苹果、Mozilla、谷歌、微软等组成了 “WebExtensions 社区小组”（WECG），试图为未来的 Web 扩展打造一个共同的架构。该组织有两个目标。通过指定一个一致的模型和功能、API 和权限的共同核心，使开发人员更容易创建扩展；以及概述一个架构，以提高性能，甚至更安全和防止滥用。该小组不希望指定 Web 扩展平台的每一个方面，也不希望扼杀创新。每个浏览器供应商将继续以他们自己的政策独立运作。

标准化带来的好处毋庸置疑，同时也宽泛地没有约束更多创新更是好事。

Google 用自己的专用芯片取代了数百万英特尔的芯片

今年早些时候，YouTube 披露了自己设计的芯片 Argos VCU，它专门用于将视频转码成十多个版本。YouTube 称相比以前使用软件在传统服务器的转码，Argos 的视频转码芯片性能提升了 20-33 倍。相比使用英特尔 Skylake CPU 或 Nvidia T4 Tensor core GPU 的方案，VCU 能节省大量的钱。分析师估计，Google 可能已经用 VCU 替代了 400 万到 3300 万的英特尔 CPU。Google 已经在设计第二代 Argos VCU，支持 AV1、H.264 和 VP9 编解码器。

有芯片设计能力的大企业就是豪横，这种专用芯片往往能在特定领域取得非常好的效果。

openSUSE Leap 15.3 现在与 SUSE 企业版的二进制软件包完全相同

openSUSE Leap 是一个稳定版本，其核心是由与 SUSE 企业版（SLE）相同的源代码构建的。Leap 与 SLE 并不完全相同；它更像是一个超集，因为它从相同的 SLE 核心开始，并进一步增加了自己的软件包。

SUSE 说，openSUSE Leap 15.3 与以前的版本相比有一个巨大变化：它不仅是由 SLE 源代码构建的，而且其二进制包完全相同。该公司将 openSUSE 定位为用于运行和测试工作负载，可以迁移到 SLE 进行长期维护。它也适合在不需要 SLE 支持的情况下用于生产环境。

就像红帽最近对 CentOS 所做的那样，SUSE 的做法也是为了提高 SLE 的市场份额，但 SUSE 的努力对社区来说更容易接受。

美国将勒索软件攻击视为恐怖主义

美国司法部的一位高级官员表示，在 Colonial 石油管道网络遭黑客攻击以及网络犯罪分子造成的损害日益严重之后，司法部正在将勒索软件攻击的调查提升到与恐怖主义类似的优先地位。FBI 将政府对勒索软件的打击比作美国在 9/11 之后面临的情况。他补充说，FBI 已经确定了近一百种不同类型的勒索软件。美国司法部发出的备忘录称，“任何涉及加密货币交易所、僵尸网络、数字洗钱、非法在线论坛、‘防弹托管服务’和攻击反病毒服务的网络犯罪案件都需要通知司法部高级官员。”

勒索软件愈演愈烈，确实需要提高对勒索软件的重视。

诺顿销售带有以太坊挖矿功能的杀毒软件

NortonLifeLock 开始为其 Norton 360 安全套件提供以太坊挖矿功能了。该功能已被添加到部分客户的安装中，预计在未来几周内将对所有 Norton 360 客户开放。

诺顿认为，多年来，许多加密矿工不得不在挖掘加密货币的过程中承担风险，为了运行挖矿软件而禁用他们的安全机制，并允许在他们的机器上运行未经审核的代码，这些代码可能会从他们的收入中窃取加密货币，甚至植入勒索软件。甚至该公司表示，更好的方法是让其计算机安全软件在运行时挖掘以太坊，然后将结果存储在诺顿云中，以避免本地硬盘发生故障而造成损失。

好像有点道理？而且挖到的以太坊不但可以用来支付反病毒软件的费用，而且没准还能挣钱？但是我总觉得这个思路有点清奇。

Stack Overflow 以 18 亿美元出售给腾讯的最大股东

著名编程问答网站 Stack Overflow 宣布以 18 亿美元出售给 Prosus。Stack Overflow 创办于 2008 年，每月能吸引超过 1 亿访问者。Stack Overflow 的收入主要来自企业推广其产品和招聘员工。

Prosus 是腾讯大股东 Naspers 旗下的投资部门，Naspers 在 2001 年以 3400 万美元控制了腾讯 28.9% 的股份。Prosus 在 4 月份以 146 亿美元的价格出售了其在腾讯的一小部分股权，现在还持有超过 2000 亿美元的腾讯股份。收购 Stack Overflow 是该公司至今最大的交易之一。

看来技术社区积累下来的知识和技术用户是真金白银啊。

移动版 UC 浏览器被曝收集用户信息

外媒报道，安全研究人员发现在安卓和 iOS 版本的 UC 浏览器上，用户的 IP 地址及其访问的每个网站，无论他们是否处于隐身模式，都会被发送到 UCWeb 拥有的服务器。

安全研究人员通过对他发现的一些被送回服务器的加密数据进行逆向工程而发现了这个问题。一旦密钥被破解，他就能看到每次访问的网站被传回 UCWeb。而在苹果的 iOS 系统上，他甚至不需要对加密进行逆向工程，因为设备上实际上没有加密（尽管在传输过程中是加密的）。

安全研究人员表示，他从未见过其它主流浏览器会像 UC 浏览器这样。

下面的剧本我都想好了，“为失误”而道歉。

演示 IBM 中文打字机的女打字员

1947 年，IBM 推出了一款中文打字机，有 36 个键能打 5400 个汉字。在演示中，一位华裔女性熟练的敲出了一个个汉字。她是谁？斯坦福大学的中国史教授 Tom Mullaney 一篇关于中文打字机的博文吸引了一则留言，留言者称她就是那位打字员。她叫 Lois Lew，在 IBM 的宣传片里，她只有 22 岁，现在她 95 岁了。她出生在纽约，后来回到了中国。她 16 岁，又独自一人去了纽约，她不会多少英文，工作机会寥寥。这个时候 IBM 需要一位会说中文的人去演示它的中文打字机。Lew 去应聘后留用了她。但中文打字机从未能进入市场，而 Lew 在离开 IBM 之后开了一家中餐馆。

满满的历史沧桑感。这个故事很精彩，建议阅读一下上面的链接。

GCC 9.4 发布，不再强制要求代码贡献版权转让给 FSF

虽然 GCC 11 是 GCC 的最新稳定系列，但对于那些仍在使用 2019 年最初亮相的 GCC 9 的人来说，本周有一个新的点版本发布。

长期以来，GCC 要求任何补丁都要向 FSF 转让版权，这对于某些人来说会是个问题。而鉴于 RMS 重返 FSF 董事层引发的风波，GCC 指导委员会决定不再强制要求有争议的版权转让。贡献者可以在他们的 Git 信息中使用带有 Signed-off-by 标签的开发者起源证书。该版权转让（以及 GPLv2 到 GPLv3 的变化）在十年前就阻止了苹果对 GCC 的贡献。版权转让在过去也阻止了其他组织对 GCC 的贡献。

现在看起来，FSF 之前的一些做法是有问题，应该根据社区对开源的认识采用得到更多人支持的做法。

俄罗斯地下论坛推出加密货币和 NFT 黑客竞赛活动

夺旗比赛、会议论文征集以及旨在让学习者掌握实践技能的网络安全课程中的游戏化，在白帽子领域都很常见；但在另一面，网络犯罪分子也在发起比赛，以创造新的进攻技术。

据报道，在过去的一个月里，俄罗斯地下论坛的运营者一直在开展一项竞赛，悬赏十余万美元征集从盗窃加密货币私钥和钱包到提交“不寻常的”加密货币采矿软件，以及与智能合约和 NFT 有关的提案。

这种竞赛并不新鲜，地下论坛过去也曾推出征集各种漏洞方案的竞赛。但这也说明了加密货币是如何有利可图，而不仅仅是被用来支付勒索。