這次的漏洞被蘋果堵上了，但它說明最安全的系統(tǒng)也不夠安全，還是得自己有個(gè)好習(xí)慣阿聯(lián)酋知名民權(quán)活動(dòng)家艾哈邁德·曼蘇爾的iPhone6收到一條短信，稱有「阿聯(lián)酋監(jiān)獄虐囚的新秘密」。如果他點(diǎn)下鏈接，這部iPhone便會(huì)被遠(yuǎn)程控制，發(fā)件人將能看到里面的所有短信、郵件、通話記錄，并且可以追蹤到屏幕上的每一次點(diǎn)擊。甚至，他們可以監(jiān)聽手機(jī)周遭的聲音，而曼蘇爾的iPhone屏幕上什么都看不出來。控制這部手機(jī)的，是以希臘神話中的「天馬」Pegasus命名的黑客工具。盡管整件事聽上去和《諜影重重5》里中情局發(fā)起的遠(yuǎn)程攻擊類似，但這不是好萊塢編劇構(gòu)想的電影情節(jié)，而是已經(jīng)發(fā)生的事情。上周，蘋果發(fā)出iOS9.3.5系統(tǒng)更新，唯一目的便是為了防御「天馬」的攻擊。類似電影情節(jié)的攻擊根據(jù)蘋果公司的公告，iOS9.3.5修復(fù)了三個(gè)由公民實(shí)驗(yàn)室CitizenLab和Lookout提交的安全威脅。前者是多倫多大學(xué)國際關(guān)系學(xué)院下屬的技術(shù)實(shí)驗(yàn)室，后者是一家位于舊金山的移動(dòng)安全公司，曾曝光過多個(gè)手機(jī)漏洞。在蘋果發(fā)布升級(jí)補(bǔ)丁后，Lookout官方博客刊文介紹了“天馬”對(duì)iPhone的攻擊能力。非?？膳?。可怕之處在于，「天馬」利用這組漏洞的攻擊不僅效果驚人而且悄無聲息。用戶只要點(diǎn)擊了特定鏈接，「天馬」可以完全不留痕跡地裝進(jìn)用戶的iPhone。鏈接來源沒什么要求，可以是短信、郵件也可以是社交應(yīng)用，只要打開它就會(huì)安裝「天馬」?！柑祚R」可以將iPhone中所有未經(jīng)加密的資料上傳到指定服務(wù)器、并且還可以記錄屏幕點(diǎn)擊，這樣一來就算加密的信息也能拿到了——只要加密就需要輸入密碼，拿到密碼就有一切。更夸張的是，「天馬」可以靜默啟用iPhone的攝像頭、麥克風(fēng)監(jiān)視主人活動(dòng)。除了什么都能干以外，「天馬」在反追蹤方面也頗下功夫，在4G聯(lián)網(wǎng)時(shí)它會(huì)放慢數(shù)據(jù)傳輸速度以避免過快消耗電力或流量。當(dāng)手機(jī)連接Wi-Fi的時(shí)候則會(huì)加快數(shù)據(jù)偷取，讓用戶更難以察覺。蘋果8月中旬從Lookout和「公民實(shí)驗(yàn)室」收到了關(guān)于這一組漏洞的報(bào)告，在上周推出安全補(bǔ)丁。攻擊敗露是因?yàn)橐粋€(gè)人權(quán)活動(dòng)家的警覺根據(jù)《紐約時(shí)報(bào)》的報(bào)道，阿聯(lián)酋人權(quán)活動(dòng)家艾哈邁德·曼蘇爾AhmedMansoor的iPhone6在8月10日的時(shí)候，收到了攻擊短信。曼蘇爾是「阿聯(lián)酋五杰」UAEFive之一，曾因呼吁民主化改革在2011年入獄。作為一個(gè)工程師背景的異見人士，曼蘇爾收到陌生人發(fā)來的短信后沒有點(diǎn)鏈接，而是轉(zhuǎn)給了「公民實(shí)驗(yàn)室」。隨后「公民實(shí)驗(yàn)室」和合作伙伴Lookout一路挖掘到了「天馬」的起源。阿聯(lián)酋人權(quán)活動(dòng)家艾哈邁德·曼蘇爾和電影里經(jīng)常出現(xiàn)的黑客工具不同，「天馬」不是什么天才少年黑客的作品，而是來自以色列科技公司NSOGroupTechnologies。這套系統(tǒng)此前曾被曝光，但當(dāng)時(shí)它所攻擊的對(duì)象只是黑莓以及部分Android手機(jī)，不包括iPhone。NSO開發(fā)出「天馬」后，以平均25000美元攻擊一個(gè)目標(biāo)的價(jià)格向政府機(jī)構(gòu)兜售。根據(jù)巴拿馬地方報(bào)紙LaPrensa去年調(diào)查政府非法監(jiān)控丑聞時(shí)獲得的信息，NSO以800萬美元的價(jià)格打包出售了針對(duì)300臺(tái)設(shè)備的攻擊。但NSO公司聲明稱，曼蘇爾手機(jī)被監(jiān)控的情況公司并不知情。NSO辯解說，他們的產(chǎn)品銷售透明且合法，主要的目的適用于政府打擊恐怖主義犯罪，間諜軟件他們只賣給認(rèn)可的政府組織。但NSO也說，至于軟件賣出了具體要干什么，NSO只是要求和建議，但并不負(fù)責(zé)。2013年，NSO聯(lián)合創(chuàng)始人OmriLavie在接受《美國國防新聞周刊》的采訪時(shí)稱，他們能完全不被察覺地進(jìn)入被監(jiān)視對(duì)象的生活，不留痕跡。如今看來，所言非虛。最安全的系統(tǒng)也不可能保證絕對(duì)安全這次被攻破的iOS實(shí)際上幾乎是普通消費(fèi)者能買到的最安全的智能手機(jī)。蘋果除了互聯(lián)網(wǎng)產(chǎn)品上常見的兩步驗(yàn)證，還在旗下產(chǎn)品上啟用了two-factor雙重設(shè)備驗(yàn)證，引入硬件加密。當(dāng)你在其它地方登陸Apple賬戶的時(shí)候，雙重設(shè)備驗(yàn)證會(huì)往你指定的硬件產(chǎn)品上發(fā)送驗(yàn)證碼才能繼續(xù)登陸。相比通過傳統(tǒng)的兩步驗(yàn)證，雙重設(shè)備驗(yàn)證更加安全。蘋果雙重設(shè)備驗(yàn)證，比互聯(lián)網(wǎng)服務(wù)常用的兩步驗(yàn)證更加安全庫克年初在用戶隱私問題上公開反抗美國政府之后，進(jìn)一步推進(jìn)了全線產(chǎn)品的加密。但此次被暴露出的iOS漏洞比美國政府「公開」希望獲得的后門還要嚴(yán)重得多。這是數(shù)字安全的現(xiàn)實(shí)，即便是業(yè)內(nèi)最有錢的公司全力以赴，也不可能保證絕對(duì)安全。總是有人發(fā)現(xiàn)漏洞、公司再去補(bǔ)上。這也是為什么美國主要科技公司在不留后門的事上為何如此步調(diào)一致——連想堵都堵不上，更別提刻意給人留一扇門了。此次iOS的高危漏洞，如果曼蘇爾欠一點(diǎn)警覺，或者攻擊者準(zhǔn)備得再周密一些，可能還會(huì)繼續(xù)存在一段時(shí)間。而用戶更多的Android平臺(tái)的漏洞就更多了，8月份就有兩個(gè)非常大的：Android使用的Linux3.6內(nèi)核的一個(gè)漏洞可以讓黑客通過網(wǎng)頁訪問嗅探用戶的賬號(hào)和密碼，80%的Android設(shè)備中招；另一個(gè)漏洞是高通芯片帶來的，9億使用高通芯片的Android設(shè)備面臨被黑客靜默植入高權(quán)限木馬的危險(xiǎn)，而且修復(fù)補(bǔ)丁何時(shí)實(shí)裝也遙遙無期。不是名人你也不安全關(guān)于數(shù)字安全一個(gè)常見的論調(diào)是，「我又不反動(dòng)，有什么好怕的」。的確，「天馬」太貴了，不是重點(diǎn)目標(biāo)，大概不會(huì)有人花十幾萬來獲取你手機(jī)上的信息。（如果你還擔(dān)心，可以用這個(gè)應(yīng)用查一下）但沒人知道下一個(gè)系統(tǒng)漏洞會(huì)被什么人發(fā)現(xiàn)，下一個(gè)互聯(lián)網(wǎng)公司的服務(wù)器會(huì)被什么人攻破。不是每個(gè)黑客都像NSO公司有能力把武器高價(jià)賣給政府。要是下一個(gè)高危漏洞被一個(gè)急著換錢的黑客找到，可能就會(huì)變成一個(gè)大批量攻擊的工具。被人看短信、丟一個(gè)社交網(wǎng)絡(luò)的密碼或者郵箱密碼，聽上去可能不是特別大的事。但通過這些信息，攻擊者有可能獲得你的身份證號(hào)碼、人際關(guān)系、出行計(jì)劃，并將它們賣給詐騙者。極少有人會(huì)相信中獎(jiǎng)打10萬過去的隨機(jī)詐騙短信。但當(dāng)騙子知道足夠多的信息，而你又恰好在壓力很大的時(shí)候，被騙的可能性就會(huì)大大增加。比如「網(wǎng)購訂單支付出現(xiàn)問題」、「你乘坐的航班被取消，請(qǐng)聯(lián)絡(luò)xxx」的詐騙短信都屢屢成功。這么做你的信息會(huì)安全一點(diǎn)不要為省幾塊錢越獄。收到提示后，及時(shí)升級(jí)操作系統(tǒng)。廠商的安全人員再努力也架不住你不升級(jí)系統(tǒng)。不回復(fù)任何類似驗(yàn)證碼的信息，有用戶被人利用驗(yàn)證碼的回復(fù)攻破了手機(jī)號(hào)碼，偷走了所有存款。不要使用相同的密碼。近期Dropbox重置了一大批用戶的密碼，這些用戶是2012年以后就沒改過密碼的人群，Dropbox認(rèn)為他們的賬號(hào)有被撞庫侵入的風(fēng)險(xiǎn)。至少保住最關(guān)鍵的賬號(hào)。很少有人能記得幾十個(gè)復(fù)雜密碼，你可以給特別不重要的服務(wù)都用相同的簡單密碼。但確保最關(guān)鍵的賬號(hào)，比如支付寶、微信、Gmail、蘋果賬號(hào)用上不同的密碼。用1Password之類不上傳到服務(wù)器的工具管理多密碼，或者使用一種黑客永遠(yuǎn)也沒法攻破的工具——拿筆寫在本子上。使用兩步驗(yàn)證或者授權(quán)驗(yàn)證登陸。盡管通過短信的兩步驗(yàn)證也有被攻破的風(fēng)險(xiǎn)，但有它遠(yuǎn)比沒有安全。使用蘋果設(shè)備的要開啟two-factor雙重驗(yàn)證。付款盡可能使用跳轉(zhuǎn)到支付寶和微信的應(yīng)用支付、少填銀行卡號(hào)。今年一月，凱悅酒店集團(tuán)的系統(tǒng)被黑客攻破，數(shù)百萬客戶的信用卡卡號(hào)和CVV碼泄露——足以制卡盜刷，不需要支付密碼。海淘或?yàn)楹Ｍ饣ヂ?lián)網(wǎng)服務(wù)付費(fèi)的時(shí)候，盡量用Paypal、Stripe、亞馬遜之類的渠道支付，減少信用卡信息泄露的可能。對(duì)于不常用的海外互聯(lián)網(wǎng)服務(wù)，可以考慮買充值卡消費(fèi)——同樣是為了減少信用卡信息泄露。注冊(cè)互聯(lián)網(wǎng)服務(wù)的時(shí)候盡量用郵箱，而不是更方便的手機(jī)號(hào)登錄。當(dāng)手機(jī)號(hào)和其它個(gè)人信息一同泄露，有可能幫助詐騙者編出更好的故事。大多數(shù)公司的短信驗(yàn)證都調(diào)用第三方服務(wù)，即便你相信自己注冊(cè)的服務(wù)品牌，也沒理由相信提供短信驗(yàn)證的公司。如果實(shí)在不想用郵箱注冊(cè)，微信也能提高安全性，它的登陸系統(tǒng)只授權(quán)名字和頭像，對(duì)方能獲得的信息比較少?？傊顐€(gè)人信息的時(shí)候不要那么實(shí)誠。在非絕對(duì)必要的情況外，少填真實(shí)個(gè)人信息，信息越多越容易被社會(huì)工程學(xué)利用。

MorganStanleyInstitutionalFundTrust（以下簡稱MorganStanley）近期下調(diào)了對(duì)印度電商平臺(tái)Flipkart的評(píng)級(jí)，這已經(jīng)是這家曾被譽(yù)為“印度最有價(jià)值的公司”近6個(gè)月以來，第三次被下調(diào)估值。據(jù)一份提交給美國證券交易委員會(huì)的文檔顯示，MorganStanley今年6月30日將Flipkart估值下調(diào)至每股84.3美元（較先前每股估值下調(diào)4%）。而在2015年6月，MorganStanley對(duì)Flipkart的估值還維持在每股142.2美元。去年年中，F(xiàn)lipkart于2015年年中完成了新一輪融資，估值曾達(dá)到150億美元。MorganStanley下調(diào)估值后，F(xiàn)lipkart目前估值大約在90億美元。除了MorganStanley，還有另外4家基金也下調(diào)了對(duì)于Flipkart的估值。對(duì)于估值被下調(diào)，F(xiàn)lipkart方面尚未進(jìn)行回應(yīng)。不過市場上對(duì)于此次估值下調(diào)并不過于悲觀：在未來幾年時(shí)間里，印度網(wǎng)購人數(shù)仍在不斷增加。有數(shù)據(jù)稱，2015年，電商銷量只占到印度零售總量的1%；將來會(huì)增長至4%到5%。2015年，印度網(wǎng)購人數(shù)達(dá)到約5000萬，未來2至3年可能增長至1億人。而Flipkart估值下調(diào)并不是個(gè)例，反而像是科技初創(chuàng)公司在資本市場表現(xiàn)的縮影。美國投資者對(duì)于Uber、Snapchat、Dropbox及其他同類公司估值均有所下調(diào)，原因包括虧損、營收增速緩慢等等。Flipkart正在試圖解決銷量增速放緩的問題，最大競爭來自于亞馬遜印度。同時(shí)，F(xiàn)lipkart也擔(dān)負(fù)著盈利方面的壓力。

北京時(shí)間4月7日早間消息，據(jù)《金融時(shí)報(bào)》報(bào)道，知情人士透露，美國云存儲(chǔ)服務(wù)提供商Dropbox剛剛獲得了超過5億美元的信貸融資。該公司幾個(gè)月前還通過風(fēng)險(xiǎn)投資和私募股權(quán)完成了3.5億美元股權(quán)融資?！督鹑跁r(shí)報(bào)》援引知情人士的話稱，此次融資由摩根大通領(lǐng)投。在此之后，Dropbox的累計(jì)融資總額已經(jīng)超過11億美元。盡管《金融時(shí)報(bào)》認(rèn)為，此次融資將部分用于Dropbox的數(shù)據(jù)中心，但據(jù)美國科技博客Re/code報(bào)道，知情人士透露，這筆資金并沒有明確的計(jì)劃，而是會(huì)用于一般公司目的。對(duì)于在線存儲(chǔ)服務(wù)而言，在現(xiàn)階段展開融資顯然非常重要。谷歌剛剛大幅下調(diào)了GoogleDrive云存儲(chǔ)服務(wù)的價(jià)格，其目前的費(fèi)用大約僅為Dropbox的四分之一，二者100GB空間的年費(fèi)分別為23.88美元和99美元。Dropbox計(jì)劃在周三的新聞發(fā)布會(huì)上推出新品。知情人士稱，該公司屆時(shí)將圍繞生產(chǎn)力推出新的功能，而不再單純圍繞存儲(chǔ)和同步概念進(jìn)行發(fā)展。

據(jù)華爾街報(bào)道，據(jù)知情人士透露，云存儲(chǔ)服務(wù)商Dropbox在新一輪融資獲得2.5億美元的風(fēng)險(xiǎn)投資，估值接近100億美元。一名知情人士稱，此輪投資由風(fēng)投公司BlackRock主導(dǎo)，過去對(duì)Dropbox有投入的投資公司也參與了此次融資。但該知情人士拒絕提供更多信息。Dropbox的一位女發(fā)言人并未對(duì)此置評(píng)。100億美元的估值使Dropbox成為當(dāng)前被風(fēng)投界看好的最有價(jià)值的公司之一。最新一輪投資將有助于加快DropboxCEO德魯?休斯頓(DrewHouston)大舉進(jìn)軍商業(yè)軟件的步伐。該公司擁有400萬用戶，已開始向企業(yè)提供安全和其他高級(jí)功能的付費(fèi)服務(wù)，使之能夠?qū)κ褂肈ropbox在線存儲(chǔ)服務(wù)的員工進(jìn)行管理。Dropbox的這筆新進(jìn)資金也有助于加強(qiáng)它與勁敵Box公司的競爭。Box在上個(gè)月以20億美元的估值獲得1億美元的融資。2011年年底，Dropbox的估值為40億美元，如今其估值已翻了一倍多。2011年該公司從高盛以及包括紅杉、IndexVentures和AccelPartners在內(nèi)的風(fēng)投公司中獲得融資2.5億美元。