因为姓“True”，而被 iCloud 拒绝访问

据国外媒体报道，当事人 Rachel True 在 Twitter 上抱怨称自己无法登录 iCloud 账号已有 6 个月。从她贴出的报错诊断信息上可以看到，上面写着“iCloud 已停止响应”，并提到用户不能将 true 值设置值为姓氏。这显然是将字符串“true”当成布尔值处理了。目前该问题尚未得到解决。

有人开玩笑道，按西方习俗，当事人嫁人后会跟夫姓，就可以解决该问题了，当然，不要嫁给姓 Null 的人 —— 因为这没准也会被视作关键词。

之前有则流传已久的故事，有人在汽车车牌处贴了一句 SQL 语句，通过摄像头的文字识别注入到交管部门的数据库中，从而进行破坏。当然，我们都知道这是一个编撰的笑话而已。但是真没想到，连苹果的 iCloud 服务也会出现这种数据库注入漏洞。

最近披露的“依赖性混淆”攻击开始大量增加

之前我们报道过，有研究人员发现利用开源生态系统的“依赖性混淆”设计缺陷，成功地入侵了包括谷歌在内的 35 家知名科技公司，获得了超过 13 万美元的漏洞报告奖励。

当时我们曾经预测，这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开。果不其然，最近 npm 和 PyPi 开源代码仓库涌入了超过五千个此类概念验证攻击包，数十家科技公司都成为了类似攻击的目标。研究人员担心，这种攻击会愈演愈烈，毕竟这种攻击的成本非常低。

我觉得这种漏洞披露得有点冒失了，毕竟这个设计缺陷应该需要各种语言本身提供一个适当的防御机制比较好。希望各个语言社区和企业们能及时关注和做临时性规避吧。

“别用！”，Linus Torvalds 对最新的 Linux 内核警告称

最近刚刚发布的 Linux 5.12-rc1 出现了严重问题，以至于 Linux Torvalds 将 v5.12-rc1 的标签改名为 v5.12-rc1-dontuse。这个多灾多难的 Linux 5.12 之前就因为北美暴风雪导致停电而推迟了合并窗口，现在，又由于其中一个会导致整个文件系统被破坏的严重错误而被 Linus 喊停。

不过，如果你不使用内存交换，或只使用交换分区，那不会影响到你，但是如果使用 Ubuntu 这样默认使用交换文件的发行版，那么这个严重错误会导致你的文件系统损坏。

一般来说，这种还散发着热乎气的候选内核，没有人会将其用于正式环境，所以，大家也不用太担心。

写字的纸条就能骗过 OpenAI 的物体识别

OpenAI 的研究人员发现了一种令人震惊的简单方法来蒙蔽他们的对象识别软件，而且只需要笔和纸就可以进行。只要在一张纸上写上 “iPod” 的字样，贴在一只苹果上，就能骗过他们最新的计算机视觉模型 CLIP，该软件会错误地将这个水果归类为音乐播放器。

研究人员认为，像这样的攻击远非单纯的学术问题，通过利用模型强大的文字阅读能力，即使是手写文字的照片也经常可以欺骗模型。OpenAI 的模型是使用文本的图片以及从互联网上搜刮的物体图像进行训练的，因此被所谓这种“排版攻击”误导也不足为奇。

这种所谓的“智能”，有时候还是很笨拙的，没有“智慧”的“智能”始终也只是算法和数据而已。

谷歌的多平台应用框架 Flutter 发布 2.0，支持 Web 应用

Flutter 允许开发者创建一个单一的代码库，可以为 Android、iOS、Windows、macOS 和 Linux、Web 和嵌入式设备生成应用，不过桌面操作系统的支持还不稳定。最重要的是，Flutter 2.0 从主要是一个移动平台，拓展到现在可以真正实现跨移动、桌面、Web 和嵌入式的可移植性。

谷歌的大量应用都依赖于 Flutter，这包括 Google One、Google Pay、Nest Hub、Google Ads、Google Shopping、Google Analytics、Cloud Search 等等。

这样一个重要的里程碑版本，值得开发者们学习了解一下。不过，新东西太多了，感觉有点学不过来了。

RHEL 自助服务的价格翻了一番，但是软件没变

2019 年红帽公司下线了其 RHEL Server 自助服务（RH0197181），而被 RHEL Server 入门级自助服务（RH00005）所取代。它们的售价都是 349 美元，但只有停售那款才允许使用最低程度的虚拟功能。现在客户发现，需要支付两倍以上的费用（每年 799 美元）才能在虚拟机中运行 RHEL。换言之，你想不要红帽的技术支持就运行虚拟机，也必须多花一倍的钱，哪怕你真的不需要那些技术支持。

在红帽公司停止其免费的 CentOS 之后，该公司已经明确表示，它对那些只付很少费用或不付费用的用户没有什么兴趣。即便是为了安抚不满的 CentOS 用户而推出的 RHEL 开发者订阅，根据使用条款，不允许用在企业生产环境。而现在，对 RHEL 商业客户也开始层层加码，我觉得，可能红帽的营收压力太大了。

密码学家发表论文宣称破解了 RSA 加密系统

近日，德国密码学家施诺尔在预印本网站上传论文称自己破解了 RSA 加密系统。此事引起密码学界和量子密码界的广泛关注。RSA 加密算法是 1977 年提出的，其名字来源于三位作者的名字字头。这一算法利用大素数分解困难的特性，如果想要破解密码，需要花费很长时间进行大量运算。当前，许多对信息安全性要求较高的领域都大量采用 RSA 非对称加密算法，可以说是如今的信息技术的基石之一。

目前该论文尚未得到学术界的同行审议，是否真正破解了 RSA 还存疑。如果确实破解了 RSA 或提出了一个可行的方向，那对现在的信息技术所构建起来的信息社会的冲击是无疑是巨大的。

去年三分之二的勒索软件活动来自“勒索软件即服务”

事实证明，勒索软件攻击仍然非常有利可图，组织最严密的团伙每个受害者都能赚取数百万美元，因此许多网络犯罪分子都想兑现这种攻击，但没有能力自己编码和分发。这就是勒索软件即服务（RaaS）的作用，这些联盟计划为低级攻击者提供了分发和管理勒索软件活动的能力，而勒索软件背后的开发者则从每个勒索受害者的解密密钥报酬中获得分成。

对勒索软件作为服务的需求如此之大，以至于 2020 年期间出现了 15 个新的勒索软件联盟计划，包括 Thanos、Avaddon、SunCrypt 等。

最重要的不是在被勒索后付出赎金，而是在一开始就切断入侵的渠道和采用必要的安全措施。

微软为 Excel 增加了新的防病毒集成，以在运行时阻止 XLM 恶意宏脚本

自上世纪 90 年代以来，宏恶意软件一直是黑客的热门选择。微软多年来一直在使用其反恶意软件扫描接口（AMSI）来剔除宏恶意软件，但其成功地剔除用 VBA 编写的宏脚本的努力最终将攻击者推向了一种名为 XLM 的旧宏语言，该语言在 1992 年随 Excel 4.0 一起出现。虽然 XLM 在 1993 年被 VBA 取代，但一些客户仍在使用 XLM，因此 Excel 仍支持它。

现在，微软正在扩大其 AMSI 与 Office 365 的集成，包括在运行时扫描 Excel 4.0 XLM 宏，使 AMSI 也可以检测 XLM 宏。

没有脚本功能的 Office 软件没有灵魂，但是脚本其实是麻烦之源。我觉得微软内置对恶意脚本的检测是非常必要的。

华为称，鸿蒙中有 Android 代码，但将不包含 Google 贡献的

华为消费者业务软件部总裁王成录今年初曾表示，鸿蒙不是 Android 或 iOS 的拷贝，面对鸿蒙 V2 中包含 Android 代码的质疑，王成录在采访中回应称，“并不是所有 Android 代码都是 Google 开发的，绝大部分代码来自开源社区。鸿蒙也会吸收社区的优秀技术和代码，用了 AOSP（Android 开源项目）的开源代码，就判断鸿蒙是 Android 换了皮，说明这类吐槽者没有太准确理解什么是开源。今年 10 月，鸿蒙第三阶段的开源代码会上线，来自 AOSP 社区的、由 Google 贡献的代码几乎没有了。”

这份采访中透露的信息量非常大。

Google 表示不再为广告而跟踪用户

Google 准备杀死跟踪用户在网上活动的 cookie，称它没有计划构建新的用户身份识别符，因为它并不需要为了广告而跟踪个别用户。

Google 称，聚合、匿名化和设备本地处理等隐私保护技术的进步提供了一条清晰的道路替代个人身份识别符，广告商不需要跟踪用户就能受益于数字广告。

说不清这到底是一种进步还是退步，总之，广告是少不了的。

美国空军要求逆向工程 B-2 隐形轰炸机的关键零件

B-2 单价高达 24 亿美元，总共只造了 20 架，相关零部件显然早就停产了。利用新的技术逆向工程制造出合适的零部件可能比重启生产更廉价。美国政府对 B-2 隐形轰炸机的关键零件负载热交换器的逆向工程发出招标，要求在交付时提供完整的技术数据。

这就像回家忘记带钥匙找开锁公司一样。

部署恶意软件之前，黑客会先给它们进行 SEO

SEO 优化被网站管理员用来合法地增加网站在搜索引擎上的曝光率，然而现在研究人员发现，恶意行为者会在被入侵的网站上部署恶意软件前，先利用 SEO 手段为该网站进行 SEO，以使恶意软件可以传播到更多地方。

这就像一个攻击者入侵服务器之后，会堵上各种可能的安全漏洞以“独占”这台肉鸡一样，恶意行为者并不是为了让你更好，而是为了更好的利用被攻击者。

新版 NTFS 驱动程序进入 Linux 5.12 内核愿望成空

当前的 Linux 下 NFTS 驱动程序只能以只读方式挂载 NTFS 文件系统。而另外一种支持 NTFS 的方式是采用 FUSE 来支持它，但是性能上并不算太好。Paragon 的 NTFS3 驱动程序支持完全的读写操作、以及许多现有 Linux 驱动程序并不包含的功能。即便与 FUSE NTFS 驱动程序相比，Paragon NTFS3 驱动程序的性能也更高。

为了进入主线，Paragon 对其驱动程序进行了大量修改以满足上游要求、解决代码审查问题，并提交了第 22 次修改，以期望在下一次 Linux 内核发布时进入主线。

虽然 Paragon 一直在销售其第三方 NFTS 驱动程序，但是要进入 Linux 内核主线，内核社区对其的要求却是非常严格。从这里，我们也可以看出 Linux 内核团队的认真负责态度 —— 虽然被拒绝的贡献者会感觉挫败。

Brave 买了一个搜索引擎，以提供无跟踪的搜索体验

注重隐私的浏览器厂商 Brave 已经收购了搜索引擎 Tailcat，以替代谷歌搜索引擎。Brave 打算将 Tailcat 作为自己搜索服务 Brave Search 的基础。该公司希望其超过 2500 万月活的 Brave 客户在会选择将 Brave Search 作为默认搜索引擎。

这真是将隐私保护进行到底，说真的，在如今很多互联网产品对人们的隐私越来越滥用的环境下，这种关注于隐私的产品和服务会越来越得到青睐。

美国 1800 台比特币 ATM 现已支持存取狗狗币

在马斯克等名人的推动下，原本只是一个玩笑下创立的狗狗币一飞冲天。近日，比特币 ATM 提供商 Coinflip 宣布其比特币 ATM 支持狗狗币。

自 2020 年 1 月以来，比特币 ATM 提供商 Coinflip 的 ATM 数量从 441 台增加到大约 1800 台。除了狗狗币，该公司 ATM 机还支持比特币、以太坊、币安币、达世币、莱特币等加密货币。

在加密的世界，有时候你分不清虚拟和现实，谁能想到一个创始人都视为玩笑而退出的狗狗币，居然成了不可忽视的加密货币。

Python 包仓库 PyPI 被上传了数千恶意软件包

像 NPM、PyPI 和 RubyGems 这样的软件包管理系统近几年都被上传 过大量恶意软件包。在最近，有数千个 CuPy 的篡改版本被上传到了 PyPI。这些软件包在一天后被检测到并删除。

这次攻击可能是恶意的，也可能是出于善意的提醒。因为短时间内上传数千个软件包，这种活动会很快被注意到，此外，该软件包的恶意代码也只是向一个 IP 地址发送了一个 GET 请求。

尽管开发者通常被建议审查他们从外部库导入的任何代码，但这个建议并不总是被遵循。关于使用来自公共软件仓库组件带来的安全隐患，应该有更好的防御和警告机制。

华为 EMUI 11 用户突破 1 亿，但可能很快就被替换

去年 9 月份，华为宣布了 EMUI，而半年后，华为透露 EMUI 升级用户已达 1 亿，并正式宣布，“下一站 HarmonyOS”！之前就有消息称，EMUI 11 将是 EMUI 最后一个大版本，EMUI 11.1 则为最后一个更新版本，接下来将不再会有新的 EMUI 系统，而是升级成 HarmonyOS。

据称，华为将在四月份向其旗下的手机产品逐批推送 HarmonyOS。华为消费者 BG 软件部总裁王成录也曾表示：“相信鸿蒙系统今年能覆盖 3 亿到 4 亿台设备，这其中包括了华为至少 2 亿台的自有设备。”

鸿蒙系统终究是要亮相的，到底如何自有公论。