苹果应用商店上的假应用导致用户被骗取 17.1 个比特币

一位使用 “Trezor” 硬件钱包存储他的比特币的用户，他在 iPhone 的应用商店里搜索 “Trezor” 下载安装的应用导致他的比特币瞬间被窃取。在应用商店中，他下载的该应用显示了挂锁标志，以及接近五星的应用评分。他下载了它，并输入了他的凭证，不到一秒钟，他价值 60 万美元的 17.1 个比特币就被窃取了。这款应用是个假的应用，旨在欺骗人们，让他们以为这是一款合法的应用。

苹果宣称其应用商店是“世界上最值得信赖的应用市场”。当苹果发现钓鱼应用后，就会删除这些应用，并禁止使用。但对于那些上当受骗的人来说，为时已晚。

CentOS Linux 克隆版 AlmaLinux 正式发布

正如我们所知道的，CentOS Linux 成为了 CentOS Stream 之后，一夜之间，社区涌现了一大批以弥补 CentOS Linux 市场空缺为己任的 Linux 发行版。其中 CentOS 服务商 CloudLinux 宣布的 AlmaLinux 得到了较多关注。

AlmaLinux 刚刚发布了第一个新版本。CloudLinux 成立了一个非盈利组织 AlmaLinux 开源基金会以管理该项目，并且承诺每年捐赠 100 万美元来支持该项目。

很多 CentOS 用户都期待一个可以依赖的 CentOS 替代品，不知道 AlmaLinux 抑或其它替代品是否能取得人们的信任。

恶意行为者滥用 GitHub Actions 功能进行加密挖矿活动

这些攻击自 2020 年秋季以来一直在进行，其滥用了 GitHub 的一个名为 GitHub Actions 的功能。攻击专门针对那些拥有自动化工作流程的 GitHub 项目，将恶意的 GitHub Actions 添加到原始代码中，然后向原始仓库提交拉取请求，以便触发 GitHub Actions。攻击并不依赖于原始项目所有者是否批准该拉取请求，只要提交拉取请求就足以实现攻击。

攻击者仅通过一次攻击就可以产生上百个虚拟加密矿机，从而对 GitHub 的基础设施造成了巨大的计算负荷。GitHub 表示他们正在积极调查。但似乎从去年以来并没有什么改善。

真是可恶啊，GitHub 免费提供的 Actions 也能被滥用！

Safari 将采用 Chrome/Firefox 相同的 WebExtensions API

Chrome 有着庞大的扩展生态系统，而随着所有主流浏览器都采用 WebExtensions API，这一扩展技术已成为事实上的标准，这也方便用户从一个浏览器切换到另一个浏览器。Firefox 是从 v57 开始正式采用 WebExtensions API 的。

来源：solidot

拍一拍：主要浏览器能支持一致的扩展 API，这是一件大好事。

恶意 npm 软件包试图窃取敏感的 Discord 和浏览器文件

该恶意包是一个名为 fallguys 的 JavaScript 库，它声称提供了一个《Fall Guys: Ultimate Knockout》游戏 API 的接口。这段代码会试图访问 5 个本地文件，读取它们的内容，然后将数据发布在 Discord 频道里面。npm 安全团队已经从 npm 门户网站上删除了它。

来源：zdnet

拍一拍：即便是开源的软件包，也不能轻易相信一定经过了审查，也不一定有人替你做过审查。

苹果阻止了 Facebook 应用更新，要求征收内购的 30% 销售税

Facebook 表示，这次更新是“一种新的货币化在线直播活动的方式，通过一次性的访问费用，在客人注册参加时收取”。但苹果以“不相关”信息为由拒绝了这一更新。该公司要求苹果免除 iOS 应用内购买费 30%，这样所有收入就可以归活动主办方所有。然而，苹果拒绝了。

来源：zdnet

拍一拍：“甭管是谁，在我苹果上的地盘都得听我的！”

苹果威胁将 Epic 及虚幻引擎驱除出 Mac 和 iOS

Epic 和苹果之间的法律战持续升温。Epic 在法庭文件中称，苹果表示将在 8 月 28 日终止 Epic 的开发者账号。苹果此举不仅威胁到《堡垒之夜》，还威胁到每一个使用虚幻引擎的游戏。Epic 称，到 8 月 28 日苹果将阻止 Epic 访问在苹果平台开发软件所需的必要工具——其中包括了提供给第三方开发者的虚幻引擎所需的开发工具，苹果从未声称虚幻引擎侵犯了它的任何政策。

来源：solidot

拍一拍：如果真的虚幻引擎被禁，很多非常受欢迎的游戏也将遭受池鱼之灾。

Rust 团队回应 Mozilla 裁员：Rust 项目没有危险

Rust 是 Mozilla 推出的编程语言，因为怕被裁员事件影响舆论，Rust Core 团队近日公开表示“Rust 项目没有危险”，并且在接下来的几周内，团队将在博客上对此事进行说明。

来源：开源中国

拍一拍：所以说，即便是由大公司主导的开源项目，也要尽量社区化。

FBI、NSA 发联合安全警告：俄罗斯黑客使用新型 Linux 恶意软件进行攻击

美国的 FBI 和 NSA 近日发出联合安全警报称，俄罗斯军事情报部门已经开发出了一款针对 Linux 系统的恶意软件，名为“Drovorub”。据介绍，Drovorub 是一个多组件系统，其中包括一个 implant、一个内核模块 rootkit、一个文件传输工具、一个 port-forwarding 模块以及一个命令和控制（C2）服务器。FBI 和 NSA 建议所有的 Linux系统都升级到 Linux Kernel 3.7 或更高版本，并采取预防措施以确保仅加载具有有效数字签名的模块。

来源：开源中国

拍一拍：国家黑客的力量。

Linux 硬件公司抨击苹果的网络摄像头安全建议

苹果公司近日告诉用户不要在 MacBook 上使用摄像头盖，因为这种做法最终会损坏设备，并使某些功能无法工作。该公司表示，MacBook 用户可以简单地依靠摄像头指示灯判断摄像头是否处于活动状态。一家 Linux 电脑公司 Purism 说。“苹果的做法是要求客户将所有的信任和控制权交给苹果，并依靠苹果来保证所有的安全。Purism 的做法是让客户控制自己的电脑，并提供安全保障，而不依赖 Purism。”

来源：softpedia

拍一拍：这本质上是自由开源思想和专有商业方式的区别。

美国联邦法院：将比特币定义为“货币”

美国联邦地区法院表示，根据华盛顿特区（D.C.）法律，比特币被定义为“货币”，虚拟货币比特币是华盛顿特区《货币传输者法》所涵盖的一种“货币”。联邦法院拒绝驳回针对一家地下比特币交易平台运营商的刑事指控，理由是该地下比特币交易平台经营无牌汇款业务，并从事洗钱。

来源：新浪财经

拍一拍：从加密通证领域的角度来看，这其实不是一件好事，而且将通证的意义限定在一个很小的范围。

苹果强势逼迫整个 CA 行业进入一年的证书寿命期

苹果公司在 2020 年 2 月单方面做出的一项决定，并有效地强势逼迫证书颁发机构行业接受 TLS 证书 398 天的新默认寿命。苹果打破了 CA/B 论坛的标准操作程序，没有要求投票，而是简单地宣布决定在其设备上实施 398 天的寿命。继苹果最初宣布之后，Mozilla 和谷歌也表示了类似的意向，将在其浏览器中实施同样的规则。从 2020 年 9 月 1 日开始，苹果、谷歌和 Mozilla 的浏览器和设备将对有效期超过 398 天的新 TLS 证书显示错误。TLS 证书的寿命从 8 年开始，经过多年的发展，浏览器厂商对其进行了削足适履，将其降低到 5 年，然后是 3 年，再到2年。上一次变化发生在 2018 年 3 月，当时浏览器制造商试图将 SSL 证书寿命从三年减少到一年，但在 CA 的积极反击下妥协了两年。简单点说，就是表明浏览器厂商控制了 CA/B 论坛，他们完全控制了 HTTPS 生态系统，而 CA 只是参与者，没有实际权力。

来源：cnBeta.COM

拍一拍：这个世界果然是谁的拳头大谁说了算。

部分开源项目着手支持 macOS ARM64

虽然首批搭载苹果 64 位 ARM 芯片的 MacBook/Mac 最快也要到年底才会面向消费者提供，并且在这之前苹果只向开发者提供数量有限的开发机，但部分开源项目已经在为 64 位 ARM Mac 的构建做必要的构建系统更改和其他准备工作。苹果已经开始将 ARM / macOS 11 的部分变化提交给上游 LLVM/Clang，他们也合并了苹果的提交。LibreOffice 是已经在为支持面向 macOS ARM64 构建而做准备的知名开源项目之一，另一个例子是苹果一直在进行的对 OpenJDK 的修改。

来源：开源中国

拍一拍：我好奇的一点是，对 LibreOffice 这样的开源项目来说，macOS 上的用户有多少？与其在这个方面下功夫，还不如在产品性能和功能上投入更多精力吧。

AWS 正式推出基于 AI 的 CodeGuru 代码检查与性能分析器

作为一款借助机器学习技术来自动检查代码错误、并提出潜在优化建议的工具，其现已正式向公众开放。据悉，CodeGuru 主要由代码检查其 Reviewer 和性能分析器 Profiler 两个部分组成。据悉，为了打造代码分析器，AWS 团队借鉴了 GitHub 上超过一万个开源项目的代码、以及亚马逊内部代码库来训练其算法。

来源：cnBeta.COM

拍一拍：看来以后写了烂代码也不怕了，有 AI 可以帮你检查甚至提供建议。

2020 年的 Linux 内核仍在为 Macintosh II 修复驱动

隔一段时间就能看到 Linux 内核驱动对 Apple PowerBook 100 系列产品支持的改进。Linux 内核正在对其驱动程序进行一些修复和改进工作，以更好地支持 Macintosh II 系统上的 Apple Desktop Bus（苹果桌面总线）。开发者除了在 QEMU 内对代码进行测试外，这个驱动事实上还在真实的硬件环境 Apple Macintosh Centris 650 上进行了测试，这台诞生自 1993 年的电脑时钟频率为 25MHz，配备 4~24MB 的内存，80~500MB 的硬盘，以及其他当时领先的功能。

来源：开源中国

拍一拍：不知道这台文物级的苹果机还能不能跑的动 Linux 内核。我觉得与其说这些内核驱动有用，感觉更像行为艺术。

部分国内银行为兼容老旧 XP/IE6，篡改 IE 设置导致无法正常连接大多数 HTTPS 加密网站

国内部分商业银行提供的安全控件或者数字证书控件进行所谓的优化，会导致全网大多数 HTTPS 加密网站无法正常连接。该问题并不是微软导致的，而是这些控件会自动调整 IE 浏览器高级设置导致的。目前主流使用的 TLS 1.1~1.3 版安全协议均被取消勾选，而 SSL 3.0版协议竟然被勾选，SSL 3.0 版安全协议因为存在缺陷早在 2014 年便已停止支持。然而现在 HTTPS 网站多数仅支持 TLS 1.1~1.3版，部分网站甚至仅支持 TLS 1.2~1.3 因此自然与 IE 浏览器无法兼容。

来源：蓝点网

拍一拍：这样迁就旧用户可能带来的风险更大，更别说这个不完善的策略带来的副作用。

旧金山市承认向勒索软件支付了超过百万美元赎金

6 月 4 日，勒索软件 NetWalker 背后的攻击者在其暗网网站上将加州旧金山大学加入到了未支付赎金的受害者名单行列。6 月 19 日，加州旧金山从名单中移除了。6 月 26 日，加州旧金山发表声明，承认向 NetWalker 支付了 114 万美元赎金，表示被勒索软件加密的数据对学术工作非常重要，他们只能做出困难的决定支付赎金。

来源：solidot

拍一拍：叫你们平时做备份和做安全防护吧，觉得贵。

AWS 发布零编程应用构建服务 Honeycode

Honeycode 让无编程经验的人能构建移动和 Web 应用。零编程工具最近一段时间比较流行，它被认为可以让没有多少经验的人快速构建所需应用，在疫情流行社会实现隔离政策期间可能更为有用。Honeycode 可免费使用，有付费选项。

来源：solidot

拍一拍：程序员离被淘汰的日子越来越近了。