这次的漏洞被苹果堵上了，但它说明最安全的系统也不够安全，还是得自己有个好习惯阿联酋知名民权活动家艾哈迈德·曼苏尔的iPhone6收到一条短信，称有「阿联酋监狱虐囚的新秘密」。如果他点下链接，这部iPhone便会被远程控制，发件人将能看到里面的所有短信、邮件、通话记录，并且可以追踪到屏幕上的每一次点击。甚至，他们可以监听手机周遭的声音，而曼苏尔的iPhone屏幕上什么都看不出来。控制这部手机的，是以希腊神话中的「天马」Pegasus命名的黑客工具。尽管整件事听上去和《谍影重重5》里中情局发起的远程攻击类似，但这不是好莱坞编剧构想的电影情节，而是已经发生的事情。上周，苹果发出iOS9.3.5系统更新，唯一目的便是为了防御「天马」的攻击。类似电影情节的攻击根据苹果公司的公告，iOS9.3.5修复了三个由公民实验室CitizenLab和Lookout提交的安全威胁。前者是多伦多大学国际关系学院下属的技术实验室，后者是一家位于旧金山的移动安全公司，曾曝光过多个手机漏洞。在苹果发布升级补丁后，Lookout官方博客刊文介绍了“天马”对iPhone的攻击能力。非常可怕。可怕之处在于，「天马」利用这组漏洞的攻击不仅效果惊人而且悄无声息。用户只要点击了特定链接，「天马」可以完全不留痕迹地装进用户的iPhone。链接来源没什么要求，可以是短信、邮件也可以是社交应用，只要打开它就会安装「天马」。「天马」可以将iPhone中所有未经加密的资料上传到指定服务器、并且还可以记录屏幕点击，这样一来就算加密的信息也能拿到了——只要加密就需要输入密码，拿到密码就有一切。更夸张的是，「天马」可以静默启用iPhone的摄像头、麦克风监视主人活动。除了什么都能干以外，「天马」在反追踪方面也颇下功夫，在4G联网时它会放慢数据传输速度以避免过快消耗电力或流量。当手机连接Wi-Fi的时候则会加快数据偷取，让用户更难以察觉。苹果8月中旬从Lookout和「公民实验室」收到了关于这一组漏洞的报告，在上周推出安全补丁。攻击败露是因为一个人权活动家的警觉根据《纽约时报》的报道，阿联酋人权活动家艾哈迈德·曼苏尔AhmedMansoor的iPhone6在8月10日的时候，收到了攻击短信。曼苏尔是「阿联酋五杰」UAEFive之一，曾因呼吁民主化改革在2011年入狱。作为一个工程师背景的异见人士，曼苏尔收到陌生人发来的短信后没有点链接，而是转给了「公民实验室」。随后「公民实验室」和合作伙伴Lookout一路挖掘到了「天马」的起源。阿联酋人权活动家艾哈迈德·曼苏尔和电影里经常出现的黑客工具不同，「天马」不是什么天才少年黑客的作品，而是来自以色列科技公司NSOGroupTechnologies。这套系统此前曾被曝光，但当时它所攻击的对象只是黑莓以及部分Android手机，不包括iPhone。NSO开发出「天马」后，以平均25000美元攻击一个目标的价格向政府机构兜售。根据巴拿马地方报纸LaPrensa去年调查政府非法监控丑闻时获得的信息，NSO以800万美元的价格打包出售了针对300台设备的攻击。但NSO公司声明称，曼苏尔手机被监控的情况公司并不知情。NSO辩解说，他们的产品销售透明且合法，主要的目的适用于政府打击恐怖主义犯罪，间谍软件他们只卖给认可的政府组织。但NSO也说，至于软件卖出了具体要干什么，NSO只是要求和建议，但并不负责。2013年，NSO联合创始人OmriLavie在接受《美国国防新闻周刊》的采访时称，他们能完全不被察觉地进入被监视对象的生活，不留痕迹。如今看来，所言非虚。最安全的系统也不可能保证绝对安全这次被攻破的iOS实际上几乎是普通消费者能买到的最安全的智能手机。苹果除了互联网产品上常见的两步验证，还在旗下产品上启用了two-factor双重设备验证，引入硬件加密。当你在其它地方登陆Apple账户的时候，双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证，双重设备验证更加安全。苹果双重设备验证，比互联网服务常用的两步验证更加安全库克年初在用户隐私问题上公开反抗美国政府之后，进一步推进了全线产品的加密。但此次被暴露出的iOS漏洞比美国政府「公开」希望获得的后门还要严重得多。这是数字安全的现实，即便是业内最有钱的公司全力以赴，也不可能保证绝对安全。总是有人发现漏洞、公司再去补上。这也是为什么美国主要科技公司在不留后门的事上为何如此步调一致——连想堵都堵不上，更别提刻意给人留一扇门了。此次iOS的高危漏洞，如果曼苏尔欠一点警觉，或者攻击者准备得再周密一些，可能还会继续存在一段时间。而用户更多的Android平台的漏洞就更多了，8月份就有两个非常大的：Android使用的Linux3.6内核的一个漏洞可以让黑客通过网页访问嗅探用户的账号和密码，80%的Android设备中招；另一个漏洞是高通芯片带来的，9亿使用高通芯片的Android设备面临被黑客静默植入高权限木马的危险，而且修复补丁何时实装也遥遥无期。不是名人你也不安全关于数字安全一个常见的论调是，「我又不反动，有什么好怕的」。的确，「天马」太贵了，不是重点目标，大概不会有人花十几万来获取你手机上的信息。（如果你还担心，可以用这个应用查一下）但没人知道下一个系统漏洞会被什么人发现，下一个互联网公司的服务器会被什么人攻破。不是每个黑客都像NSO公司有能力把武器高价卖给政府。要是下一个高危漏洞被一个急着换钱的黑客找到，可能就会变成一个大批量攻击的工具。被人看短信、丢一个社交网络的密码或者邮箱密码，听上去可能不是特别大的事。但通过这些信息，攻击者有可能获得你的身份证号码、人际关系、出行计划，并将它们卖给诈骗者。极少有人会相信中奖打10万过去的随机诈骗短信。但当骗子知道足够多的信息，而你又恰好在压力很大的时候，被骗的可能性就会大大增加。比如「网购订单支付出现问题」、「你乘坐的航班被取消，请联络xxx」的诈骗短信都屡屡成功。这么做你的信息会安全一点不要为省几块钱越狱。收到提示后，及时升级操作系统。厂商的安全人员再努力也架不住你不升级系统。不回复任何类似验证码的信息，有用户被人利用验证码的回复攻破了手机号码，偷走了所有存款。不要使用相同的密码。近期Dropbox重置了一大批用户的密码，这些用户是2012年以后就没改过密码的人群，Dropbox认为他们的账号有被撞库侵入的风险。至少保住最关键的账号。很少有人能记得几十个复杂密码，你可以给特别不重要的服务都用相同的简单密码。但确保最关键的账号，比如支付宝、微信、Gmail、苹果账号用上不同的密码。用1Password之类不上传到服务器的工具管理多密码，或者使用一种黑客永远也没法攻破的工具——拿笔写在本子上。使用两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险，但有它远比没有安全。使用苹果设备的要开启two-factor双重验证。付款尽可能使用跳转到支付宝和微信的应用支付、少填银行卡号。今年一月，凯悦酒店集团的系统被黑客攻破，数百万客户的信用卡卡号和CVV码泄露——足以制卡盗刷，不需要支付密码。海淘或为海外互联网服务付费的时候，尽量用Paypal、Stripe、亚马逊之类的渠道支付，减少信用卡信息泄露的可能。对于不常用的海外互联网服务，可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。注册互联网服务的时候尽量用邮箱，而不是更方便的手机号登录。当手机号和其它个人信息一同泄露，有可能帮助诈骗者编出更好的故事。大多数公司的短信验证都调用第三方服务，即便你相信自己注册的服务品牌，也没理由相信提供短信验证的公司。如果实在不想用邮箱注册，微信也能提高安全性，它的登陆系统只授权名字和头像，对方能获得的信息比较少。总之，填个人信息的时候不要那么实诚。在非绝对必要的情况外，少填真实个人信息，信息越多越容易被社会工程学利用。

MorganStanleyInstitutionalFundTrust（以下简称MorganStanley）近期下调了对印度电商平台Flipkart的评级，这已经是这家曾被誉为“印度最有价值的公司”近6个月以来，第三次被下调估值。据一份提交给美国证券交易委员会的文档显示，MorganStanley今年6月30日将Flipkart估值下调至每股84.3美元（较先前每股估值下调4%）。而在2015年6月，MorganStanley对Flipkart的估值还维持在每股142.2美元。去年年中，Flipkart于2015年年中完成了新一轮融资，估值曾达到150亿美元。MorganStanley下调估值后，Flipkart目前估值大约在90亿美元。除了MorganStanley，还有另外4家基金也下调了对于Flipkart的估值。对于估值被下调，Flipkart方面尚未进行回应。不过市场上对于此次估值下调并不过于悲观：在未来几年时间里，印度网购人数仍在不断增加。有数据称，2015年，电商销量只占到印度零售总量的1%；将来会增长至4%到5%。2015年，印度网购人数达到约5000万，未来2至3年可能增长至1亿人。而Flipkart估值下调并不是个例，反而像是科技初创公司在资本市场表现的缩影。美国投资者对于Uber、Snapchat、Dropbox及其他同类公司估值均有所下调，原因包括亏损、营收增速缓慢等等。Flipkart正在试图解决销量增速放缓的问题，最大竞争来自于亚马逊印度。同时，Flipkart也担负着盈利方面的压力。

北京时间4月7日早间消息，据《金融时报》报道，知情人士透露，美国云存储服务提供商Dropbox刚刚获得了超过5亿美元的信贷融资。该公司几个月前还通过风险投资和私募股权完成了3.5亿美元股权融资。《金融时报》援引知情人士的话称，此次融资由摩根大通领投。在此之后，Dropbox的累计融资总额已经超过11亿美元。尽管《金融时报》认为，此次融资将部分用于Dropbox的数据中心，但据美国科技博客Re/code报道，知情人士透露，这笔资金并没有明确的计划，而是会用于一般公司目的。对于在线存储服务而言，在现阶段展开融资显然非常重要。谷歌刚刚大幅下调了GoogleDrive云存储服务的价格，其目前的费用大约仅为Dropbox的四分之一，二者100GB空间的年费分别为23.88美元和99美元。Dropbox计划在周三的新闻发布会上推出新品。知情人士称，该公司届时将围绕生产力推出新的功能，而不再单纯围绕存储和同步概念进行发展。

据华尔街报道，据知情人士透露，云存储服务商Dropbox在新一轮融资获得2.5亿美元的风险投资，估值接近100亿美元。一名知情人士称，此轮投资由风投公司BlackRock主导，过去对Dropbox有投入的投资公司也参与了此次融资。但该知情人士拒绝提供更多信息。Dropbox的一位女发言人并未对此置评。100亿美元的估值使Dropbox成为当前被风投界看好的最有价值的公司之一。最新一轮投资将有助于加快DropboxCEO德鲁•休斯顿(DrewHouston)大举进军商业软件的步伐。该公司拥有400万用户，已开始向企业提供安全和其他高级功能的付费服务，使之能够对使用Dropbox在线存储服务的员工进行管理。Dropbox的这笔新进资金也有助于加强它与劲敌Box公司的竞争。Box在上个月以20亿美元的估值获得1亿美元的融资。2011年年底，Dropbox的估值为40亿美元，如今其估值已翻了一倍多。2011年该公司从高盛以及包括红杉、IndexVentures和AccelPartners在内的风投公司中获得融资2.5亿美元。