【在看】iPhone7已经可以实现越狱

本期看点

日前，香港技术厂商USBKill.com推出的U盘，能使用放电将U盘插入的任何未授权计算机“秒杀”。

该公司指出，“插入当这款USB Kill时，该设备快速从USB电源处给电容器充电，之后放电，过程只需要几分钟。”

该U盘通过主机设备的数据线放电200伏直流电。充电/放电过程每秒重复数次，直到移除USB Kill。

该公司称，USB Kill 2.0的目的是用来测试“电涌攻击”，并防止通过充电座盗取数据（juice jacking）。 Juice jacking是一种网络攻击类型，恶意软件暗中从使用USB充电端口（同时作为数据连接的端口）的移动设备复制数据。

该公司还销售USB护盾，专业设计用来测试“夺命U盘”（USB Killer），同时保护主机。这款USB Kill 2.0售价约为56美元，护盾售价约15.7美元。 虽然UB Kill 2.0的“设计和测试均安全”，公司警告，该设备是一个“高压设备”—不是玩具，只为负责人的成年人设计。”

USBKill.com“强烈谴责将产品用于恶意用途。”

USB Kill声称自己的测试结果显示，超过95%的计算机设备受USB电涌攻击影响，该USB Kill能秒杀市面上几乎所有电脑硬件。该公司承认，最常见的结果是完全破坏设备（比如笔记本电脑、电视、智能手机等）。

该公司指出，目前为止唯一例外是“最新版的苹果 MacBook”，Macbook对USB端口做了电涌保护。”

从1946年第一台电子计算机发明，到1989年万维网诞生，再到近年来数据的爆炸，信息时代一路狂奔，还从来没有像今天这么沉重过。2016年8月19日，因为个人信息泄露而遭遇诈骗，准大学生徐玉玉病发死亡，此后各地不断爆出信息诈骗导致的恶性案件；2016年8月29日，又传出清华大学一名教师被骗1760万元，案犯掌握信息之精准、骗局之精细，令人瞠目。

我认为，这些案件表明，中国社会的个人信息保护体系还未成熟，要尽快面对和化解系统性的危险。

原因，是多方面的。

问题一：违法成本低

总结起来说，法律规定不成体系，令出多门，一旦出现违法的问题，消费者不知道应该向谁投诉、无法锁定责任、茫无头绪，管理部门也莫衷一是、互相推诿。再加上法律条文概念化、处罚标准模糊、操作性不强，受害者就会面临举证困难，即使证据确凿，对不法分子的处理也无关痛痒，犯罪分子就更加嚣张。

此外，从文化传统和个人权利意识上来说，大众的隐私意识比较淡泊，最终导致分散、宽泛的法规成了摆设、硬不起来。数据表明，2015年全国电信诈骗发案近60万起，破案率却不到3%。大量的案件，消费者只能自认倒霉、不了了之。中国在个人信息保护上还处于比较初级的阶段。

问题二：信息过度收集

除了立法的问题，数据的收集者也存在类似问题。当下中国社会的数据收集，是一种泛收集、过度收集，没有科学规划，也缺乏权利意识。

简而言之，数据被大量收集起来，又没有加密保存，非但无用，一旦落入不法分子之手，还有副作用，甚至反作用。

因此，我们应该质疑、反思现行的数据收集体制和机制，重点是其合法性、正当性和科学性。

问题三：数据监管有漏洞

关于立法者、数据收集者，主要是制度建设。接下来，我想谈谈数据的管理者，管理得好不好，直接决定了制度的刚度。

2016年9月9日，公安部公布了徐玉玉案信息泄露的原因：嫌犯杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”，并在网站植入木马病毒，盗取了包括徐玉玉在内的大量考生报名信息。

高考关系到千万学子，网上报名系统如此脆弱，这令人心惊。也就是说，徐玉玉之案源于“外盗”，网站的脆弱为“外盗”打开方便之门，外盗猖狂。

但除了外盗，还有“内盗”“监守自盗”，更加防不胜防。这方面我有亲身经历。半年前，我离开阿里巴巴，在杭州注册了自己的新公司。在走出当地工商局的第二天，骚扰电话就来了：请问是观数的涂总吗？需要开发票吗？需要购买复印机吗？需要财务服务吗？需要律师服务吗……

问题四：运营责任不清

徐玉玉案暴露的另外一个重大问题，是关于电讯运营商的，作为电话、短信的平台运营者，我认为，其在大众舆论中的责任也一直有模糊不清之处。

电话诈骗看似虚无，同样有其可控的源头。在现有大数据手段下，根据频繁拨打陌生号码、通话时间长短、是否为改号号码等特征，甄别哪些号码每天拨打骚扰电话、群发诈骗短信并不难。

但三大运营商是否做出足够努力呢？

综观当下电信欺诈泛滥的现实，我们不难发现，三大运营商不是管不好，而是管得不力，管得不到位。诚如工信部近日所言，“不排除个别基层电信企业为追求短期经济效益而罔顾社会责任。”

建议：成立隐私保护局

几千年来，中国社会的隐私意识向来薄弱。

今天，数据正在成为隐私最大的载体。一个数据极其充沛的时代，也是一个隐私极其脆弱的时代。

隐私保护，是一个全球的问题，我认为，未来几十年，它将成为全世界大数据时代的头号社会话题。

除了在大众层面上普及隐私的观念和意识，我们还需要调整监管措施、改进治理方法。我的建议，是建立个人信息保护的统一立法、明确标准和执法主体，成立专门的隐私保护部门，以期对信息泄露、电信诈骗等行为进行“精准打击”。

除了在地球之内对计算机系统加以保护之外，与太空相关的网络安全技术同样应当成为安全专家们的最新关注方向。

不过我们本不该这样，英国智库查塔姆研究所国际安全部的David Livingstone与Patricia Lewis两位研究员如是说。

“由于人类活动开始高度依赖于太空资产与基础设施，大多数国家的关键性基础设施将有可能受到与此相关的网络攻击活动的侵扰。太空环境的安全性缺失将阻碍经济发展，同时增加对社会，特别是一系列关键性行业——例如通讯、交通、能源、金融贸易、农业、食品等——的资源管理、环境与气候监测以及国防风险，”他们在最近发布的一篇论文中指出。“

太空网络安全鸿沟与薄弱环节亦因此需要作为紧急事项得到高度重视。”

威胁与威胁执行者

太空环境下的网络安全因素包括卫星、火箭、空基系统与车辆、太空电台、卫星地面接收站以及相关网络及数据中心——这一切都有可能成为黑客们的攻击目标。

“太空系统所面临的潜在网络威胁可能包括国家间与军事行动、希望寻求经济利益且掌握大量资源的有组织犯罪分子、计划利用卫星碰撞等灾难事件实现诉求的恐怖组织乃至希望展示个人技术水平的黑客等等，”两位研究员表示。

如何才能实现太空环境下的网络安全？

那么应该由谁来带来制定策略调整以应对太空环境下的网络威胁因素？并不是政府，研究人员指出，因为“高度监管型响应机构”往往在敏捷性与灵活性方面有所缺失，而且解决问题的速度也太慢。“应当建立一套由国际多方相关者参与的太空网络安全体系——以国际社会的意愿为基础，共享风险评估与威胁响应机制——这可能更适合开发出与当前威胁范围相匹配的响应方案，”他们表示，特别是考虑到太空环境已经逐渐由富裕国家的独占领域转化为众多国家、国际组织、企业乃至个人的全新施展平台。

另外，应当努力避免单纯着眼于技术层面进行策略制订。研究人员称：“事实上，类似中国等国家已经准备尝试全新的方式，比如量子纠缠。欧洲的伽利略航空导航网络也推出新的安全措施。这些都显示出应对网络安全挑战的能力和决心。”

新的iPhone7和iPhone7 Plus开始销售还没到一周的时间，但就在这短短的时间里，iOS系统已经被成功“越狱”了。

成功越狱的这位黑客叫做Luca Tedesco，他同时还是一位安全研究人员，在上周三的时候他通过Twitter上传了一张照片，可以看到他在iPhone7的iOS 10.0.1系统里成功运行了Cydia的app商城，而Cydia一直就是在越狱的过程中被装入到系统中的。

但是，Tedesco并没有公开他的越狱方法。所以到目前为止，除了他自己，其他用户还不能给自己的iPhone7越狱。而且也无法确定这种方法是不是完美越狱。

总的来说，目前用户还无法给自己的iPhone7越狱。不过好消息是，应该很快就会有新的iPhone7越狱工具被开发出来了。所以如果用户想要给自己的iPhone7越狱，那么就要耐心等待越狱像是盘古这样的越狱团队等来发布新的工具了。国内的盘古就是曾经第一个发布了iOS9完美越狱工具的团队。

大家在开车的时候得当心了，黑客可能在12英里外就能劫持你的爱车，同时远程控制你的刹车系统。

科恩实验室攻陷特斯拉

如今许多汽车公司都提供了汽车电子控制系统，从仪表组到方向盘，从刹车和油门，这些都是能被系统直接控制的。然而这些自动化的电子控制系统，虽然优化了你的驾驶体验，但也增加了你受到攻击的风险。

最近，来自腾讯科恩实验室的安全研究人员，向大家演示了如何利用汽车系统软件的多个漏洞，对汽车进行远程劫持。科恩实验室表示，他们发现了多个安全漏洞，能够远程劫持特斯拉Model S。

漏洞简述

据说，这是第一次攻陷CAN总线（控制行车系统的车电网络），来实现对特斯拉汽车的远程控制。

CAN总线相当于汽车的神经网络，其重要性不言而喻。虽然这次只是测试了特斯拉Model S 75D，但是科恩实验室的研究人员表示，他们有理由猜测其他型号的特斯拉也会受漏洞影响。

特斯拉官方在接到漏洞报告后，很快对它们进行了修复，并且发布了无线固件更新(v7.1,2.36.31)，给予了安全研究人员1万美元的bug赏金。

8月28日，北京警方在广州一栋居民楼内，将5名正在睡觉的团伙成员抓捕归案，警方扣押涉案电脑3台、涉案手机30余部，并据团伙银行账户等认定涉案金额100余万元。

研发某网约车司机作弊软件，使司机不受平台控制可随意拒单、挑单，给乘客造成巨大损失，该公司发现后报警。据警方透露，团伙头目此前曾为的哥，他找大学生开发了针对北京某网约车平台漏洞的作弊软件，销售牟利涉案100余万。