果粉们,iOS8.2就要随着苹果的新机器——可能是新款iPad或者Macbook Air一起到来。
苹果3月6日公布了iOS8.2正式版的官方版本说明。正式版将于下周一,也就是3月9号正式发布。同天晚上,也就是3月10日凌晨1点,苹果还将举办新品发布会。
目前,苹果已经将它的GM版本交给运营商进行最后测试,其主要是对健康应用的改进、稳定性增强以及错误修复。说明显示,iOS8.2将正式支持AppleWatch,其内部也随之增加了诸多跟AppleWatch有关的应用,比如增加身高、距离和血糖单位的功能等等。
此外,新系统还修复了那个大漏洞——Freak安全漏洞。
此前据《华盛顿邮报》报道,法国安全公司Inria以及微软发现了一个名叫Freak的漏洞。该漏洞波及Alexa排名前一百万网站中的9.7%,会在安卓和iOS用户使用默认浏览器Chrome和Safari时发动并截取信息。受影响的网站不仅有团购网Groupon,还有美国运通、桑坦德等银行网站。白宫、美国国安局、FBI等政府网站则跳到了自己挖的坑里。虽然没有具体的证据说明信息已经泄露,但这个漏洞已经长达十余年之久。
顶级黑客“白帽子”团队Keen Team研究员Flanker告诉界面新闻记者,Freak的大概原理是有一部分服务端有某个配置,攻击者可以伪造数据包打开这个开关,之后会在session中使用弱密钥导致容易被解密。按照苹果官方解释,在私人WiFi网络里,一般来说是安全的。但是,一旦你登录咖啡馆、宾馆或机场的公共网络,你就会成为攻击者的目标。
Flanker向界面新闻记者表示,Freak的危害还没到heartbleed那个级别,但比POODLE要严重不少。
Heartbleed就是界面热文《隐形战友》里提到的那个攻击了全球三分之二的网站的漏洞,中文译为“心脏出血”,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。
与之相比,POODLE的危害有限制性。它由谷歌研究院于2014年10月发现,存在于PC和手机上,可用于劫持用户的会话,窃取在用户电脑与加密在线服务之间传输的所有数据。攻击必须在同一网络中才能进行,因此主要发生在免费公共网络,如星巴克WiFi中。漏洞可通过升级OpenSSL及关闭SSL3.0修复。
Flanker还补充道,“比较有意思的是,这个漏洞某种程度上是美国政府要求植入的。”
据界面新闻记者了解,Freak漏洞可以说是个历史遗留问题。1990年代,美国科技界和政府在网络信息加密问题上展开了拉锯战。开发和研究人员相信人们的机密信息必须受到保护,政府则担心它无法监控通讯,或者算法被国外间谍窃取。在美国政府看来,强大的算法属于武器的战争,他们需要确保自己能解密外国所有加密通信,而不被外国解密,因此故意出口疲软密码套件。
最终,加密强度定在了512字节。高于这一强度的产品通讯,政府都有权并有义务拦截。自标准确定之后,一晃十几年过去,互联网已今非昔比。这条限制慢慢成为了空文,信息加密手段也日益更新,但不少网站和浏览器仍旧停留在那个时代特殊的加密强度,这意味着这些网站和浏览器会在几个小时内被破解。
此前,谷歌已经将一个安卓补丁分送给了众合作伙伴,苹果则发表声明称“对iOS以及OS X的修正将在下周的软件升级中出现”。
