【文章】TikTok爆出浏览器代码监控用户所有上网内容，公司称仅用于调试；水滴筹回应筹款中介抽成高达7成；苹果再曝严重安全漏洞｜雷峰早报

　　【文章】苹果曝出安全漏洞！利用间谍软件 PegASUS，无需用户接触即可窃听所有信息，iOS 14 以上设备都可能中招

　　【文章】iPhone 用户看过来！苹果再现安全漏洞：超 5 亿用户或被黑客利用八年苹果商店是另外一个id，iOS 6 以上所有版本都有危险

　　月薪一万+，与辉同行大量招人，董宇辉：生孩子奖钱；奥运冠军全家直播带货，帮助家乡；得物宣布裁员，精简5%，提供经济补偿丨电商早报

　　又一大厂员工加班后猝死被拒认工伤，公司曾呼吁员工像猪一样少算计多贡献；传美企裁撤北京办事处，最新回应；京东情趣用品小程序被指涉黄

　　受不了理想周榜，何小鹏发声：只想着怎么赚钱，多家车企也反对，李想内涵回应；周鸿祎遭埃安防夹车门夹手；日产工厂大规模减产丨汽车早报

　　谷歌超 25 亿美金收购 CharacterAI；曝英伟达 AI 芯片遇重大设计缺陷，数百亿美元订单将受影响丨AI情报局

　　实在是亏太多了，曝车企经销商无奈跳楼，称以命偿债；汽车巨头宣布裁员：希望员工提前退休；雷军称华为营销做得比小米好丨汽车早报

　　经销商库存全部没了，宝马继续大涨价，宝马i3将回涨7万；奔驰奥迪定车不定价，加钱才能提车；保时捷放弃电动车销售目标丨汽车早报

　　车企两大工厂减产裁员，有员工一个月只能上四天班；恒大汽车裁撤大量员工；特斯拉大规模召回车辆丨汽车早报

　　河南大企暴力裁员称一分不赔、法律无所谓、花100万让你身败名裂，最新回应；腾讯扩大校招范围：毕业生也可参与；OpenAI人事巨变

　　下载MPS汽车电机控制技术干货，赢【Keep体脂秤、自动洗手机套装、小米保温杯】，开启汽车技术进阶之旅！

　　下载信息娱乐系统精品文章，赢【米家台灯、小米保温杯、米家蓝牙温湿计】，开启MPS汽车技术进阶之旅！

　　得捷第二季Follow me第2期来袭，一起解锁功能强大且灵活的【Arduino UNO R4 WiFi】

　　ADI & WT ·世健 MCU 痛点问题探索季 ——第一站：征集 使用 MCU ，哪些问题最令你头大？

　　据外媒报道，苹果最近向印度漏洞研究人员Bhavuk Jain支付了10万美元的巨额赏金，以奖励其发现的iOS系统中“使用Apple登录”（ Sign in with Apple）的严重漏洞。

　　苹果方面现在已修补漏洞，该漏洞可使远程攻击者绕过身份验证，并接管使用“使用Apple登录”选项注册的第三方服务和应用程序上目标用户的帐户。

　　去年在苹果公司的WWDC会议上启动的“使用Apple登录”功能，作为保护隐私登录机制被引入iOS系统，该机制允许用户使用第三方应用程序注册帐户，而无需透露其实际电子邮件地址（也用作苹果ID）。

　　Bhavuk Jain 在接受采访时透露，他发现的漏洞存在于Apple启动来自苹果认证服务器的请求之前，在客户端上验证用户的过程中。

　　对于那些不知道的用户，服务器在通过“使用Apple登录”对用户进行身份验证时，会生成JSON Web令牌（JWT），其中包含第三方应用程序用来确认登录用户身份的机密信息。

　　Bhavuk发现，尽管Apple要求用户在发起请求之前先登录其Apple帐户，但并未验证是否是同一个人，在下一步从身份验证服务器请求JSON Web令牌（JWT）。

　　因此，该机制缺少的验证可能允许攻击者提供属于受害者单独的Apple ID，从而诱骗Apple服务器生成有效的JWT有效负载，该有效负载可以使用受害者的身份登录到第三方服务。

　　“我发现我可以向JWT请求来自Apple的任何电子邮件ID，当使用Apple的公钥验证了这些令牌的签名后，它们就显示为有效。这意味着攻击者可以通过链接任何Email ID并获得访问权限来伪造JWT，从而获得受害者的帐户。”

　　研究人员证实，即使用户选择从第三方服务中隐藏电子邮件ID，该漏洞仍然有效，并且该漏洞还可以利用受害者的Apple ID来注册新帐户。

　　“此漏洞的影响非常严重，因为它可能会导致整个帐户被接管。许多开发人员已将“使用Apple登录”集成在一起，因为对于支持其他社交登录的应用程序来说，它是强制性的。举几个使用“使用Apple登录”的用户为例- Dropbox，Spotify，Airbnb，Giphy（现已被Facebook收购）。” Bhavuk补充说。

　　尽管该漏洞存在于Apple端代码，但研究人员表示，某些向其用户提供“使用Apple登录”的服务和应用程序可能已经在使用二次身份验证功能，从而可以缓解用户登录中的漏洞问题。

　　Bhavuk上个月向苹果安全团队报告了此问题，该公司现在已修复此漏洞。作为回应，除了向研究人员支付赏金之外，苹果公司还确认已对他们的服务器日志进行了调查，发现该漏洞并未被利用来破坏任何帐户。

　　秘塔科技获超 1 亿元人民币融资，蚂蚁集团领投；OpenAI 6000 万美元领投网络摄像头公司 Opal丨AI情报局

　　多家经销商发起反抗行动，逼宫北京现代总部；曝比亚迪将采购华为智驾系统；奇瑞高管回应奇瑞进500强：该加班还是加班丨汽车早报

　　董宇辉否认员工达200：170人不到；抖音电商推出「多单立减」玩法，同店复购更优惠；亚马逊调整订单税金核算丨电商早报

　　华兴银行一帮董监事被曝光天价出场费：去公司开一次会就发1.5万；光大证券连续裁撤多营业部；罗永浩：再惹我，我就曝猛料让俞敏洪退休

　　传零一万物完成数亿美元融资，某国际战投、东南亚财团加盟；开发者福音！OpenAI API 引入结构化输出功能丨AI情报局

　　又一汽车品牌被曝大范围欠薪；哪吒汽车被多家保险公司拒保或涨保费；长城魏建军称部分车企财务造假、出老千丨汽车早报

　　月薪一万+，与辉同行大量招人，董宇辉：生孩子奖钱；奥运冠军全家直播带货，帮助家乡；得物宣布裁员，精简5%，提供经济补偿丨电商早报

　　又一巨头撤离，曝惠普将PC业务大规模迁出中国；财新智库暂停业务、全员待岗，CEO发声；普华永道会计师事务所资格或被吊销丨雷峰早报