苹果应用商店上的假应用导致用户被骗取 17.1 个比特币

一位使用 “Trezor” 硬件钱包存储他的比特币的用户，他在 iPhone 的应用商店里搜索 “Trezor” 下载安装的应用导致他的比特币瞬间被窃取。在应用商店中，他下载的该应用显示了挂锁标志，以及接近五星的应用评分。他下载了它，并输入了他的凭证，不到一秒钟，他价值 60 万美元的 17.1 个比特币就被窃取了。这款应用是个假的应用，旨在欺骗人们，让他们以为这是一款合法的应用。

苹果宣称其应用商店是“世界上最值得信赖的应用市场”。当苹果发现钓鱼应用后，就会删除这些应用，并禁止使用。但对于那些上当受骗的人来说，为时已晚。

CentOS Linux 克隆版 AlmaLinux 正式发布

正如我们所知道的，CentOS Linux 成为了 CentOS Stream 之后，一夜之间，社区涌现了一大批以弥补 CentOS Linux 市场空缺为己任的 Linux 发行版。其中 CentOS 服务商 CloudLinux 宣布的 AlmaLinux 得到了较多关注。

AlmaLinux 刚刚发布了第一个新版本。CloudLinux 成立了一个非盈利组织 AlmaLinux 开源基金会以管理该项目，并且承诺每年捐赠 100 万美元来支持该项目。

很多 CentOS 用户都期待一个可以依赖的 CentOS 替代品，不知道 AlmaLinux 抑或其它替代品是否能取得人们的信任。

恶意行为者滥用 GitHub Actions 功能进行加密挖矿活动

这些攻击自 2020 年秋季以来一直在进行，其滥用了 GitHub 的一个名为 GitHub Actions 的功能。攻击专门针对那些拥有自动化工作流程的 GitHub 项目，将恶意的 GitHub Actions 添加到原始代码中，然后向原始仓库提交拉取请求，以便触发 GitHub Actions。攻击并不依赖于原始项目所有者是否批准该拉取请求，只要提交拉取请求就足以实现攻击。

攻击者仅通过一次攻击就可以产生上百个虚拟加密矿机，从而对 GitHub 的基础设施造成了巨大的计算负荷。GitHub 表示他们正在积极调查。但似乎从去年以来并没有什么改善。

真是可恶啊，GitHub 免费提供的 Actions 也能被滥用！

OpenBSD 开始支持火星时间

为了让 OpenBSD 能在地球之外的地方工作，开发者宣布加入对协调火星时（MTC）的支持。协调火星时类似地球的世界标准时间。火星的旋转速度比地球略慢，一天时间为 24 小时 39 分钟 35.244 秒，显然处理时间的接口和程序会出现问题。通过将时区设置为 TZ=MCT，OpenBSD 将能在火星上正常工作。

迈向星际时代！什么时候 Linux 也支持火星时间，我就设置一个火星时钟~

在德国多特蒙德不用开源软件就得证明为什么不能用

多特蒙德市议会在 2020 年到 2025 年的备忘录中宣布数字化是一项政治领导任务。该会议通过了两项决议：尽可能使用开源软件；由行政部门开发或委托开发的软件要向公众开放。

该决议意味着有利于开源软件的举证责任倒置：未来，政府将不得不证明为什么不能将开源软件用于每个专有软件应用。

真是一场漂亮的胜利！

Coinbase 定于 4 月 14 日直接上市纳斯达克

美国最大的加密货币交易所 Coinbase 表示，该公司的上市注册声明已经被美国证券交易委员会宣布生效，它计划通过直接上市的方式上市，在上市过程中不会筹集任何新的资本。此次将是首次在纳斯达克进行的大型直接上市。此前所有此类上市都是在纽约证券交易所进行的。

趁着加密货币如火如荼，直接上市的 Coinbase 简直是风生水起。

一个底层组件的许可证发生变化后，导致大量 Ruby 软件无法构建

有一个名为 mimemagic 的 Ruby GEM 被广泛使用于包括 Rails 在内的 Ruby 软件中。该组件 是以 MIT 许可证发布的，但它又依赖于一个以 GPLv2 许可证发布的 shared-mime-info，因此，按照许可证要求，mimemagic 也应该使用 GPLv2 许可证。在发现了这一错误之后，该组件作者马上撤回了其 MIT 许可证的版本，重新发布了使用 GPLv2 许可证的新版本，这当即导致许多依赖于该组件的软件构建失败。

这对于 Rails 和其他喜欢或需要 MIT 许可证的项目来说是不可接受的，虽然 mimemagic 后来发布了修订版，去除了对 GPLv2 组件的依赖，回到了 MIT 许可证，但是一些软件已经对 mimemagic （或者说对他的作者的草率行为）失望了，决定采用另外的 MIT 组件来替代它。最终 Rails 发布了新版本，放弃了 mimemagic。

这件事说起来不复杂，但是目前这种叠床架屋的软件依赖架构，已经屡屡出现因为底层某个很小的组件的一些变化而导致很多上层组件和软件出现构建问题。我觉得是时候反思这种组件构建模式了。

Linux Mint 改进通知系统以敦促用户升级以保障安全

之前我们报道过，Linux Mint 的更新相对保守，以便用户可以完全控制何时、如何以及安装哪些更新；但这种思路导致一些用户运行过时的、存在缺陷的软件。Mint 称，“为了补救这个问题，我们创建了一个新的弹出式窗口，它可以让用户知道有多少更新，为什么需要应用更新，它让用户可以查看可用的更新，并为用户提供打开自动更新的选项。如果用户驳回通知，它将在两天后再次出现，所以它并不霸道。”

Mint 在小心翼翼地平衡用户体验和安全，为这个态度点赞。

微软正式发布支持树莓派 OS 的 VS Code 的新版本

VS Code 发布了 1.55，在此版本中，微软正式支持了树莓派 OS。其实，在几周前它就已经出现在了树莓派 OS 的 APT 仓库中了，当时还因为树莓派基金会在未通知用户的情况下，悄悄加入了微软的 APT 库而引发了一些争议，因为这使得每个运行树莓派 OS 的用户在更新时都会 “ping” 一下微软。

但对另外一些人来说，只是在意 VS Code 在树莓派上不多的内存上是否能好好运行。

华为称 HMS 已成为全球第三大移动应用生态，有 230 万开发者

2020 年初，华为在海外市场正式发布了 HMS（华为移动服务），用来代替谷歌 GMS。3 月 31 日下午，华为举行了线上发布会，华为公司轮值董事长胡厚崑表示：“2020 年 HMS 已经成为全球第三大移动应用生态，2020 年年底全球注册开发者 230 万，其中国外 30 万，扩展应用超过 12 万个。”华为此前曾公布，截至去年 12 月，HMS 已经在 170 个国家和地区覆盖 5 亿月活用户。

此外，华为还表示鸿蒙 OS 目前已吸引到超过 20 家硬件厂商、280 家应用厂商共同参与生态建设。

Google 从 Android 设备上收集的遥测数据二十倍于苹果

有专家研究了 iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据。该研究发现即使用户选择退出遥测，iOS 和 Android 仍然会发送遥测数据。当新的 SIM 卡插入到设备中，相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。

研发发现 Google 收集的数据二十倍于苹果。开机 10 分钟内，Pixel 手机向 Google 发送了 1MB 数据，而 iPhone 发送了 42KB；在闲置状态下，Pixel 手机每 12 小时向 Google 发送 1MB 数据，相比之下 iPhone 只向苹果发送 52KB 数据。

这智能手机简直就是一个手机厂商的一个个遥测终端啊。

SCO 继任者 Xinuos 继续对 IBM、红帽发起版权、反垄断诉讼

十年前以 UnXis 的名义围绕 SCO 集团资产组建的 Xinuos，当时表示对继续 SCO 长期以来对 Linux 的诉讼不感兴趣，但是如今又开始起诉 IBM 和红帽涉嫌违反版权和反垄断法。

这家公司在诉状中称，IBM 窃取了 UnixWare 和 OpenServer 代码，并利用所窃取的财产构建和销售与 AIX、z/OS大型机等 Xinuos 本身竞争的产品，并与红帽公司合谋瓜分市场后，随后收购了红帽公司。

SCO 集团在 2003 年也提出了类似的知识产权诉求。它认为，SCO 集团拥有 AT&T 的 Unix 和 UnixWare 操作系统源代码的权利，Linux 2.4.x 和 2.5.x 是 Unix 的未经授权的衍生物，IBM 发布 Linux 代码违反了其合同义务。

这可真是不死不休啊，哦不，连 SCO 公司都没有了也不休。

柯洁称 AI 让他越来越难以赢棋了

2017 年，围棋国手柯洁与人工智能“AlphaGo”进行了三番对决，最终柯洁 0:3 完败。如今，柯洁的空余时间几乎全部用在了研究 AI 上，他说道：“我现在看到 AI 也比较痛苦，因为我知道我没有办法走出比 AI 更优秀的好棋。”他认为，AI 可以很大程度上拉近棋手之间差距，人类棋手都在向人工智能进行学习，现在都有 AI 工具辅助，棋手就会完全按照 AI 的下法去下。柯洁称，“在以前的话，我觉得想赢一盘棋还是比较容易的。现在越来越难了。”

虽然老牌棋手会抱怨 AI 使得棋手的训练差距被拉平，但是人类从来不会被科技单方面打败。

ARM 发布 AMRv9 指令集，CPU 性能有望提升 40% 以上

ARM 星期二公布了近十年来它的最大规模的技术创新。目前使用的 ARMv8 指令集是十年前推出的。过去 10 年计算架构有了太多变化，ARM 处理器也不止用于移动/嵌入式，已经扩展到了 PC、HPC 高性能计算、深度学习等等新领域。ARMv9 在兼容 ARMv8 的基础上，提升了安全性、增强了矢量计算、机器学习及数字信号处理，同时继续提升处理器性能，CPU 性能有望提升 40% 以上。ARMv9 处理器预计会在 2022 年进入市场。

芯片领域三十年河东三十年河西，曾经如日中天的 X86 的风头如今似乎被 ARM 抢去了不少注意力。不过，我还是看好 RISC-V 的未来发展。

报告称双重勒索攻击造成“前所未有的”损害

双重勒索攻击，指在加密文件的同时窃取文件然后威胁泄露文件进行二次勒索。据英国 RUSI 和 BAE 公司发表报告称，双重勒索攻击在 2020 年造成“前所未有的”损害，去年 6 月至 10 月间，在勒索软件博客上报告的新受害者增加 200%。2020 年，采用双重勒索手段的 16 种勒索软件的攻击者共进行了 1200 次攻击，受害者分布于 63 个国家。英国遭受“双重勒索”攻击的数量位居世界第二，仅次于美国。

面对勒索软件攻击，企业愿意为防御勒索软件付出的精力和成本，取决于它可能遭受的损失程度和概率。这和对付病毒和垃圾邮件一样。

有黑客用 Game Boy 掌机挖比特币，预计需要数百万年

一位黑客因为买不到显卡挖矿，于是决定改造自己的 Game Boy 掌机来挖矿。Game Boy 只有 4.19 MHz 主频的 CPU，8KB 视频缓存，而且不支持联网。于是黑客通过树莓派 Pico 微控制器将 Game Boy 与计算机连到了一起。他在 PC 端下载了完整的比特币节点，为 Game Boy 打造了一个定制的挖矿固件。此外还修改了一款名为 ntgbtminer 的挖掘程序，以将挖矿计算分发到 Game Boy 上，而不依赖于 PC。

最终得到结果是 Game Boy 约有每秒 0.8 的哈希算力。作为对比，专用的 ASIC 矿机，哈希算力约为每秒 125 万亿。大约需要数百万年时间，Game Boy 就可以挖出一个新的比特币区块了。

实在是太有创意了！不过，如果要是在 BTC 创始初期，Game Boy 没准还真能挖出一两个区块的。

PHP 的 Git 服务器被黑客攻击，源码库被添加后门

昨天，PHP 团队在自己维护 Git 服务器上的仓库中被推送了两个恶意提交。这两个提交声称是修正文字输入错误，但实际上是植入了后门以实现远程代码执行，并且攻击者伪造了签名，让人以为这些提交是由 PHP 的创始人和另外一位维护者提交的。

据分析，这次恶意活动是由于 PHP 的 Git 服务器被入侵导致的，而不是开发者个人的 Git 账户被入侵。作为此次事件后的预防措施，PHP 维护人员决定将 PHP 官方源码库迁移至 GitHub。GitHub 上的 PHP 仓库，以前只是镜像，现在将成为正规来源，从现在开始，任何代码修改都要直接推送到 GitHub 上。

很多开源软件开发组织基于传统会自己维护代码管理基础设施，但是如果没有专门的人员和力量来保证其安全，反而带来了不必要的安全风险。

Google 安全团队破坏了美国政府黑客的行动

Google 安全团队本月中旬披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客，Google 的行动终止了政府黑客们的“反恐行动”。Google 内部对此举有不同的看法。

这是大水冲了龙王庙了啊~