1 苹果宣布将在明年支持谷歌力推的 RCS 标准

在被谷歌用广告、公开喊话等方式施压了多年后，苹果公司终于宣布，明年 iPhone 将支持 RCS 消息标准。RCS 比短信或彩信支持更多功能，如已读回执、打字提示、高质量图片和视频等。与此同时，iMessage 也不会消失，它将继续作为 iPhone 用户之间所有通信的信息平台。RCS 将取代 SMS 和 MMS，并在可用时与 iMessage 分开。苹果还重申，iMessage 比 RCS 更安全、更隐私。相比之下，谷歌实现的端到端加密是安卓上的信息应用的一部分，而不是 RCS 标准本身。

消息来源：9to5mac

老王点评：我是真没想到苹果会在被谷歌“骂”了这么多年之后，还是采纳了 RCS。

2 勒索软件组织向 SEC 投诉受害者未及时披露数据泄露

名为 Alphv/BlackCat 的勒索软件组织向 SEC 投诉受害者未按照规定在四个工作日内披露数据被窃取事件。该勒索软件组织声称它入侵了加州金融软件公司 MeridianLink，窃取了其客户数据，要求支付赎金否则将泄露窃取的数据。为了增加获得赎金的几率，该组织称已经向 SEC 投诉，指控该公司未按 7 月公布的规定及时披露数据泄露。

消息来源：The Record

老王点评：这操作实在是骚。

3 谷歌推迟发布旨在与 OpenAI 竞争的 Gemini 人工智能

今年早些时候，谷歌代表告诉一些云客户和业务合作伙伴，他们将在 11 月之前获得该公司新的对话式人工智能 Gemini。但据两位直接知情人士透露，该公司最近告诉他们，要等到明年第一季度才能使用。谷歌的云计算销售增长已经放缓，而其更大的竞争对手微软却在加速增长。微软的部分成功来自于向客户销售 OpenAI 的技术。

消息来源：The Information

老王点评：大家应该都知道了 OpenAI 的 CEO 刚刚被开除了，所以，谷歌不用着急，说不定 OpenAI 自己就败下来了。

回音

• 再一次，Chrome 官方博客 宣布 将从 2024 年 6 月起自动禁用 Manifest V2 扩展。

欧盟拟议的《网络弹性法案》可能对开源产生可怕的影响

欧盟拟议的《网络弹性法案（CRA）》被称之为软件产品的 “CE 标志”。它有四个具体目标，其中之一要求制造商在 “整个生命周期” 内提高数字产品的安全性。对于软件开发商和硬件制造商来说，这将增加新的网络安全要求、合格评估、文件和报告义务的直接合规成本。这个成本预计将达到 290 亿欧元，但预计可以减少安全事件带来的成本为 1800 至 2900 亿欧元。问题是，自由软件开发者如何能够承担合规成本？这可能打破了开源生态系统的社会契约：免费提供用于任何目的的开源软件，可以自由修改和进一步分发，但作者、贡献者或开源分销商没有保证或责任。

消息来源：Dev Class

老王点评：我觉得，开源软件的基石不容触动，CRA 尽可以去约束那些商业的专有软件。

美国联邦调查局黑掉了勒索团伙

美国联邦调查局的政府黑客闯入了勒索团伙 Hive 的网络，并对该团伙进行了监视，窃取了该团伙用来解锁数据的数字密钥。然后他们提前提醒受害者，以便他们能够在 Hive 要求付款之前保护他们的系统。美国司法部表示，多年来，Hive 入侵了 80 个不同国家的 1500 多名受害者，勒索金额超过了 1 亿美元。周四，Hive 的网站被查封，并在该网站显示了查封信息。政府黑客对 Hive 的监视从 2022 年 7 月开始直到被查封前，都没有被 Hive 发现。

消息来源：路透社

老王点评：政府黑客技高一筹啊，看来是懒得和勒索黑帮玩下去了。

2022 年 FreeBSD 没有达到筹款目标

FreeBSD 发布了其 2022 年第四季度的状态报告。根据报告，他们 2022 年的筹款目标是 140 万美元，而截至现在大约是 114.7 万美元。他们正在考虑引进一个能够鼓励组织投资于 FreeBSD 的人。报告中其中值得关注的信息还有：发布工程团队正在努力推出 FreeBSD 13.2；正在开发集成应用容器 Vessel，以类似 Docker 的界面向应用开发者展示许多 FreeBSD 的特性。

消息来源：Phoronix

老王点评：FreeBSD 的日子比起来 Linux 惨淡得多，但是 FreeBSD 依旧带来了很多技术进步。

回音

• AI 律师（#874）背后的公司受到多个州的律师协会 起诉，称未经授权进行律师执业活动在某些州属于轻罪，因此原定于 1 月 22 日的 AI 律师参与的庭审被取消了。

比特币挖矿正变得越来越不环保

过去比特币矿工对可再生能源的依赖度，经常在 40~70% 之间大幅波动。自中国清退高能耗加密货币挖矿行业以来，迁移到世界各地的比特币开采工作，正变得较以往任何时候更加不环保。专家指出00086-1)，这可能是矿工使用了更多燃煤和天然气电力，而不是中国丰富的水电资源的结果。在比特币挖矿中，可再生能源发电的占比出现了大幅下降，从 2020 年的平均 42%、滑落到了 2021 年 8 月的 25% 。

老王点评：大量接收了比特币矿场的美国，不知道对此怎么看。

备份不再能有效阻止勒索软件攻击

调查发现，83% 的成功勒索攻击使用了替代勒索方法：38% 使用窃取的数据勒索客户，35% 向暗网泄露数据，只有 17% 的攻击只要求赎金以换取解密密钥。备份能最小化数据被加密带来的影响，但无法阻止勒索软件组织使用窃取的数据进行二次甚至三次勒索。调查发现 18% 的受害者在支付赎金之后数据仍然泄露，这一比例甚至高于 16% 拒绝支付赎金的受害者。

老王点评：对抗勒索攻击已经成为各个稍有规模的公司必须认真面对的事情了。

Mozilla 计划建立新的社区 Connect

Mozilla 在去年 6 月推出了 Mozilla Ideas，以让用户可以贡献想法、和开发者沟通。但该项目已经失败，一方面是 Ideas 在一个需要创建账户的私人服务上，而用户不喜欢；另外一方面是没有用户浪费他们的时间来贡献想法，也没有开发者投入他们的时间来浏览该网站。Mozilla Ideas 将在Mozilla Connect 品牌下重新出现，支持 Firefox 账号，会有 Mozilla 员工的更多参与。但目前还不知道 Mozilla Connect 何时开放。

老王点评：问题是，就算有这样的沟通社区，Mozilla 也得听才行。

回音

• 英伟达 反击黑客失败 后，黑客开始开始出售窃取的数据，并销售一种可以绕过 RTX 30 系列中的 挖矿限制 的代码。

软件自由保护协会起诉智能电视生产商 Vizio 违反 GPL

软件自由保护协会（SFC）宣布它已对 Vizio 公司 提起诉讼。Vizio 的 SmartCast 操作系统是基于 Linux 的。Linux 的源代码受 GPLv2 保护。除了 Linux 内核，SmartCast 中的其他受 GPL 和 LGPL 保护的代码包括 U-Boot、bash、gawk、tar、Glibc 和 FFmpeg 等等。Vizio 在 2018 年 8 月就被 SFC 告知，它因没有发布 SmartCast OS 的源代码而违反了 GPLv2。经过一年多的沟通努力，SFC 宣布，该公司不仅仍然拒绝遵守 GPL，而且从 2020 年 1 月起完全停止回应询问。

以前，这些案件是为了维护开发者的权利，但 SFC 在这次诉讼中采取了一种新的策略。它是作为一个产品的购买者提出的，这个产品非法地包含了版权代码。这种做法使其成为第一个关注个人消费者作为第三方 GPL 受益人权利的法律案件。你作为购买者也是有权利访问这些源代码的。

老王点评：你知道还有哪些无视 GPL 的智能电视生产商？

83% 的勒索软件受害者支付了赎金

在一项针对 300 名美国 IT 决策者的 新调查发现，64% 的人在过去 12 个月里曾是勒索软件攻击的受害者，而这些攻击受害者中有 83% 支付了赎金要求。在接受调查的人中，72% 的人看到网络安全预算因勒索软件威胁而增加，93% 的人正在分配特别预算来对抗勒索软件威胁。受访者表示，最容易受到勒索软件攻击的载体是电子邮件（53%），其次是应用程序（41%）和云（38%）。专家说，“像‘永远不要支付赎金’这样的天真声明忽略了现实的情况，并没有任何机会在实际改变什么。”

老王点评：受害者只要评估支付的赎金低于损失就会支付，但是支付不一定能有结果。

微软正式废弃通用 Windows 平台

微软把以桌面为重点的 Windows App SDK 和 WinUI 3 作为 Windows 应用开发的未来。Windows App SDK 基本上采用了关键的 UWP 技术和像 WinUI 3 这样不会被向后移植到 UWP 的新技术。微软说，在未来 UWP 将只收到“错误、可靠性和安全修复”，而不是新功能，这表明它现在已经被废弃。现有的 UWP 应用开发者，当然可以继续使用 UWP。但是那些想要“最新的运行时、语言和平台功能”的人，包括 WinUI 3、WebView 2、.NET 5、与 Windows 10 1809 或更新版本的完全兼容，以及任何即将到来的新功能，得把他们的应用程序 迁移到 Windows App SDK 了。

老王点评：看来由商业公司支持的软件开发框架方面，没有什么常青树。

iDOS 2 模拟器收到苹果商店的下架通知

iDOS 2 允许用户在 iPhone 或 iPad 设备上运行几十年前的 DOS 游戏和软件。但据开发者所述，苹果正要求其作出改变，否则将下架这款模拟器。苹果说，该应用安装或启动了 App Store 不允许的可执行代码。受苹果对于捆绑游戏文件的限制，开发者曾被迫四年没有更新过 iDOS 2。目前苹果要求 iDOS 2 在 14 天内整改，以剔除该应用能够运行可执行代码的能力。但这么一来，也无异于让 iDOS 2 自废武功。

这就是封闭系统的问题，他们会封杀一切他们认为可能带来威胁的东西。

Keseya 已获得 REvil 勒索软件的通用解密器

利用 Kaseya VSA 远程管理软件漏洞开展的大规模勒索软件攻击，受该事件影响的设备数量达到了百万级。勒索团伙 Revil 在各方的联合打击下从暗网上消失，但这也意味着受害者缺乏被加密数据的解锁秘钥。

不过，Kaseya 现已从“受信任的第三方”那里拿到了通用解密密钥，使得受害者有机会重新获得相关数据的访问权，而无需支付任何赎金。Kaseya 表示不能披露其来源信息，至于是否向勒索软件团伙支付了赎金，Kaseya 既没承认也没否认。

Kaseya 总算是解决了这个问题，但是如何保证下一次呢？

16 年前的惠普打印机驱动程序漏洞影响了数亿台 Windows

研究人员公布了惠普打印机驱动程序（三星和施乐也在使用）中一个高严重性的特权升级缺陷的技术细节，该缺陷影响到数亿台 Windows 机器。如果被利用，网络攻击者可以绕过安全产品；查看、改变、加密或删除数据；或创建具有更广泛用户权限的新账户。这个漏洞已经在系统中潜伏了 16 年，但今年才被发现。它在 CVSS 量表上的评分为 8.8（满分 10 分），属于高严重度。

据分析，该漏洞存在于驱动程序内部的一个函数中，这个函数使用strncpy 从用户输入复制一个字符串，其大小参数由用户控制。

这就是典型的缓冲区溢出，这是早些年非常流行的安全缺陷，如果采用 Rust，就不会有这样的问题。

SolarWinds 和 Kaseya 攻击动摇了对 SaaS 模式的信心

先是 SolarWinds，现在是 Kaseya。管理服务提供商（MSP）大量使用的 SaaS 软件现在已经成为两次成功的网络攻击的目标。大约 1500 家“下游”企业在他们自己的“上游”供应商被入侵后，现在 MSP 正在重新评估他们管理 IT 的方法。

许多 MSP 特别纠结的决定是，他们应该在多大程度上继续依赖可能被恶意软件破坏的 IT 服务管理平台，而不是建立和保护自己的定制平台。后一种方法对恶意软件没有免疫力，但由于网络犯罪分子越来越多地把精力集中在能够对下游造成更大破坏的平台上，因此可能不太容易成为目标。

这就和大规模云计算的副作用一样，这种成规模的云服务一旦出问题就是大问题。

针对 Kaseya 的巨大勒索软件攻击可能是完全可以避免的

据报道，Kaseya 公司的软件在 2018 年至 2019 年期间至少有两次被用来启动勒索软件，而它并没有对其安全策略进行重大反思。

前 Kaseya 员工在接受采访时称，他们在 2017 年至 2020 年期间多次警告高管 Kaseya 产品的严重安全缺陷，但该公司并没有真正解决这些问题。该公司使用的是旧代码，实施的是差劲的加密，甚至没有对软件进行常规修补。甚至一名员工声称，他在向高管发送了一份长达 40 页的安全问题简报两周后被解雇。

如果因此发生的勒索可以向软件供应商索赔，那我想他们可能就会重视了。

Tor 项目希望用 Rust 取代 C 代码

ZOMG 周二宣布，它将向注重隐私的 Tor 项目提供 67 万美元的资助，以继续开发 Arti，这是一个 Tor 客户端的 Rust 语言实现，它将更可靠、更安全，并且更容易被其他软件使用。Tor 项目联合创始人说，“根据我们的非正式审计，自 2016 年以来，Tor 大约有一半的安全问题在 Rust 中是不可能出现的，其他许多问题的可能性也会小很多。”

我们已经看到很多传统的 C 语言开发的项目和软件正在或已经迁移到 Rust 了。