记录与移动出海有关的观察和思考,每周发布。
总第 131 期
主编 & 出版:Luke
编辑:Sonia
日期:2024 年 3 月 30 日
封面图
南斯塔克灯塔
南斯塔克灯塔 (South Stack Lighthouse) 位于威尔士圣岛的悬崖上,俯瞰着爱尔兰海的深水区。这座 91 英尺高的白色灯塔于 1809 年建成,一直为水手们指引航向。它位于都柏林——霍利黑德——南斯塔克的航线上,为这条重要航道提供了重要的导航标志。
这座灯塔的建造背景是为了确保这条重要的航道安全,因为这里的海域一直以来都是危险的,有许多船只在此遇难。灯塔的建设为航行提供了重要的导航支持,成为了当地重要的历史文化遗产。
南斯塔克灯塔不仅在航海史上扮演了重要角色,也成为了威尔士西北部著名的自然和历史景点,吸引着众多游客前往欣赏它的独特魅力。它的建筑风格和悬崖环境都成为了当地独特的文化符号。
本周话题
XZ Utils 后门事件
3 月 29 日,开源社区遭遇了一次重大的安全事件: xz-utils 的后门事件 (CVE-2024-3094)。xz-utils 是一个提供无损压缩功能的软件套件,广泛应用于压缩发行版 tarballs、软件包、内核映像和 initramfs 映像。这一事件对任何安装了该软件包的 Linux 或 macOS 系统构成了潜在威胁。
事件经过
这一后门的发现始于对异常的 SSH 服务器性能问题的调查。Andres Freund 在进行微基准测试时注意到,尽管因为错误的用户名等原因登录立即失败,但 sshd 进程却消耗了异常多的 CPU 资源。深入分析后,发现问题与 liblzma 库有关,这一库是 xz-utils 包的一部分。
随后的调查揭示了一系列复杂的事件。Jia Tan(GitHub 账户名 JiaT75)自 2021 年起参与 xz 项目,并逐渐获得项目的信任。通过精心设计的多个步骤,他成功在 xz-utils 中植入了后门。这一过程涉及创建具有欺骗性的 GitHub 账户、在邮件列表中推动自己的提交被接受,并最终在 xz 项目中获得了提交和发布的权限。
“主角”是谁
xz/liblzma 是一个免费的通用数据压缩软件,它提供了高压缩比和快速的解压速度。liblzma 是 XZ Utils 的一个组件,它是一个压缩库,提供了与 zlib 相似的 API。liblzma 库可用于构建程序,以利用 liblzma 库的压缩功能。XZ Utils 还提供了一个命令行工具 xz,用于压缩和解压文件,其语法类似于 gzip。
liblzma 支持 XZ、raw 和 LZMA 格式的压缩。它是 XZ Utils 的核心压缩算法,用于在 .xz 容器格式中。XZ Utils 压缩的文件比 gzip 小 30%、比 bzip2 生成的压缩文件小 15%。liblzma 可以用于各种操作系统,包括 POSIX 系统和一些不完全 POSIX 系统。
后门的影响
由于 5.6.0 和 5.6.1 版本的 xz/liblzma 是最新发布的,因此尚未广泛部署 (多数系统运行的是 xz-utils 5.2/5.4 版本),这可能在一定程度上限制了漏洞的影响范围。
以下情况的系统可能会更易受攻击:
- 运行使用 glibc 的发行版;
- 安装了 xz 或 liblzma 的 5.6.0 或 5.6.1 版本;
- 系统运行
sshd且公开可访问。
读者们可以通过执行下面的命令来检查是否运行了受影响的版本,如果是 5.6.0 或者 5.6.1 说明受到了影响,应立刻降级到 5.4.6 版本,如果无法降级,应该先暂时禁用 sshd 的公网访问服务。
$ xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1
供应链攻击
供应链攻击是一种新兴的、针对软件开发者和供应商的安全威胁,攻击者会通过寻找不安全的网络协议、不受保护的服务器以及不安全的代码等安全漏洞并更改代码,导致使用它的程序在构建和更新的过程中被加入隐藏的恶意代码。
后续
各大 Linux 镜像发行商都发布公告表明针对这一后门自己受到的影响,成立于 99 年,最早的 SaaS 安全公司之一 Qualys 在博客上发布了受影响的 Linux 发行版版本:
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
目前 GitHub 已经把 https://github.com/tukaani-project/ 这个组织下面所有的 repo 都封禁,托管在 GitHub Pages 上的 XZ Utils 的主页也被暂停,两位核心贡献者 @Larhzu 和疑似故意投毒的 @JiaT75 账号也被暂停。一些 JiaT75 拥有发布权限的开源项目也将其公钥进行移出。
xz 项目官网 tukaani.org 页发布了关于 XZ Utils 后门情况的页面说明:
而网友们也开始探索这位 JiaT75 到底是谁,奇客资讯 引用 X 友 @delphij 的描述,写的比较完整:
攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,
“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在 m4 脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。”
创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。
也有人发现这位攻击者的提交都位于东八区时区,以及使用了新加坡的 VPN…
出海资源
2024 年移动应用趋势报告
AI,是 2023 年的关键词。而像 AI 行业一样,安装量、会话量、收入等几个关键指标都在增长的领域,少之又少。《2024年报告》显示,2023 年金融科技类应用的安装量和会话量年增长率分别为 42% 和 24%,IAP 同比增长 118%。
中国的移动支付行业发展迅猛,早早用上支付宝和微信支付的我们似乎可以看到海外正在走类似的进程。数字支付的快速渗透,是其他产品能够顺利商业化的重要前提。而在“支付宝”之外,更多出海企业也在 P2P、BNPL 等方向在海外深耕。AppLovin
data.ai 公布 2024 年发行商大奖(收入篇)
2023 年,应用表现超过游戏,用户支出同比增长 11%,至 640 亿美元,推动整个行业反弹。实际上,在排名前 50 的发行商中,专注非游戏内容的发行商已从 2022 年的 11 个上升至 13 个。
社交和娱乐应用的用户支出出现了两位数的增长,年比提升 10%,达到 290 亿美元。2023 年,在热门社交和娱乐应用 TikTok 和 YouTube 带动下,ByteDance(#2)和 Google(#3)应用内购买收入飙升,两者年用户支出合计达到近 100 亿美元。
游戏在 2023 年支出降至 1070 亿美元(同比下降 2%),而下载量得益于超休闲、模拟和动作类别,相对稳定在 880 亿次。在旗舰游戏《Honor of Kings》(王者荣耀)带领下,尽管总收入略有下滑,Tencent 依旧连续第七年蝉联游戏发行商收入冠军。Activision Blizzard 保持在第 4 位,温和增长 2%。data.ai
《2023-2024 海外网红营销生态报告》
2023 年,网红营销已经成为出海品牌最强大的营销方式之一。
据 Influencer MarketingHub 预测,预计到 2028 年,海外网红营销平台的全球市场规模将增至 848.9 亿美元,较 2022 年的 164 亿美元估值大幅上升。到 2024 年,这一数字将达到 223 亿,在此期间年复合增长率(CAGR)将达到 32.4%,海外网红营销业增长态势不容小觑。Nox聚星
2023 年照片 & 视频编辑应用移动市场洞察
报告显示,2023 年全球照片编辑应用下载量达到 29 亿次,创下近年记录。实际上,照片编辑应用市场一直在逐年扩张,表现出良好的发展形势。随着产品功能的日益丰富,以及订阅付费的普及,照片编辑应用用户支出表现在 2023 年进一步提升,并突破 10 亿美元,增长率为 24.3% 。data.ai
日本社交平台广告投放现状
2023 年第 4 季度,广告客户在 Facebook 和 Instagram 两大平台的投放达到近 10 亿美元。其中,在 Instagram 共投放了 6.13 亿美元,比 Facebook 高出 66%。这种情况贯穿整个第 4 季度。2023 年第 4 季度,乐天集团的投放额超过其他所有广告客户,达到 3100 万美元。亚马逊的总投放额排名第 2,但它是 Facebook 在日本最大的广告客户(1100 万美元)。Sensor Tower
出海资讯
简体中文成 Steam 最常用语言
近日,Valve 发布了 Steam 用户的 2 月硬件和软件调查报告。在报告中,简体中文超越英语,成为 Steam 平台最多用户使用的语言。简体中文,占比 32.84%;英语,占比 32.12%;Tech Node
三星移动部门负责人透露 Galaxy AI 发展计划
三星移动部门负责人 TM Roh 近日透露了该公司未来在人工智能方面的发展计划和扩展应用范围。Roh 表示,三星下一步计划是将 Galaxy AI 的应用范围扩展到更多设备和服务,包括可穿戴设备。他透露,在 “不久的将来” 将 Galaxy AI 功能引入部分 Galaxy 可穿戴设备。IoTnews
阿里领投 MiniMax 最新一轮融资
中国 AI 大模型初创公司 MiniMax 进行了新一轮的大规模融资,阿里正是这一轮中的核心领投方。GameLook
苹果收购加拿大 AI 公司,发力人工智能领域
有报道指出,苹果今年早些时候收购了总部位于加拿大的 DarwinAI 公司,以建立自己的人工智能团队。DarwinAI 开发了用于在制造过程中检查零部件的人工智能技术,同时也专注于制造更小巧、更高效的人工智能系统。Techcrunch
出海数字
309 亿美元
据 The Information 报道,2023 年第三季度字节跳动营收增长了近 43%,达到 309 亿美元。The Information
1920 万美金
3 月 5 日,两位华人创业者苗亦舒和王子宇建立的 AI 初创公司推出了搭载自研 AI 模型的视频生成工具 Haiper。目前,Haiper 已经完成了两轮融资,总融资额达到 1920 万美金。最近的一轮融资额为 1380 万美元,由 Octopus Ventures 领投,5Y Capital 跟投。Binance
8.04 亿美元
有着 “美版贴吧” 之称的社交媒体和新闻聚合网站 Reddit 在其首次公开募股(IPO)路演中告诉潜在投资者,该公司 2024 年的营收预计将较上年增长 20% 以上,与 2023 年的增长轨迹类似。数据显示,Reddit 2023 年营收为 8.04 亿美元,较 2022 年增长了 20.5%。CNBC
43%
TikTok 母公司字节跳动第三季度营收增长约 43%,至 309 亿美元,这一增长速度几乎是 Meta 平台增长率的两倍,表明字节跳动下半年广告和电商销售情况较上半年有所进步。兔克出海
加一关注
Hume AI
Hume AI 最近推出了第一款共情 AI 语音接口 EVI,它可以根据用户的情绪表达调整自己的用词和语气,实现更流畅自然的对话。
这种技术将大型语言模型 (LLM) 与表情测量相结合,使 EVI 能够根据上下文和用户的情绪表达来调整其用词和语气,实现更自然流畅的对话。EVI 可以准确捕捉用户的语气、语调等细微情感信号,并给出恰当的回应。
例如如果用户突然打断 EVI,它会像真人一样停下来听用户说话,然后再继续对话。这种共情能力使 EVI 在客户服务、医疗健康、AR/VR 等领域都有广泛应用前景。开发者只需几行代码就可以将 EVI 集成到自己的应用程序中,为用户提供更富同理心的智能对话体验。
.ai/ 中尝试,目前只支持英文。
除此之外,其平台还提供了下面两种 API
- Expression Measurement API:Hume 的表情测量模型基于超过 10 年的研究和由 Alan Cowen 开创的语义空间理论,能够在声音、视频和图像中捕捉人类表达的数百个维度,这些模型代表了声音、面部和语言的最新技术。
- Custom Models API:基于表情测量模型和先进的 eLLMs,Hume 的 Custom Models API 能够为应用程序带来定制化的见解。这些模型通过从表情测量模型和 eLLMs 的迁移学习开发,能够比仅使用语言更准确地预测几乎任何结果,无论是毒性、抑郁情绪、驾驶员疲劳还是用户认为重要的其他指标。
你可以在 https://beta.hume.ai/ 申请账号并体验,或者在 https://dev.hume.ai/intro 查看他们的开发者文档。
跟着 Google 看世界
阿巴斯·阿塔尔诞辰 80 周年
2024 年 3 月 29 日 Google Doodle: 阿巴斯·阿塔尔诞辰 80 周年
这款 Doodle 旨在纪念法裔伊朗摄影师和记者阿巴斯・阿塔尔 (Abbas Attar),他的新闻摄影记录了全球各地的冲突、宗教和社区的困境。
我们对阿巴斯的早年生活所知不多,但在他移居巴黎之前,他就已经对摄影产生了浓厚的兴趣。他的工作重点是记录发展中国家的社会变革。
在他长达六十年的职业生涯中,阿巴斯记录了在比亚弗拉、孟加拉、北爱尔兰、越南、波斯尼亚、中东(包括 1973 年的赎罪日战争)、智利、古巴和南非种族隔离时期的战争和革命,并且持续探索宗教及其与社会的相互作用。
1978 至 1979 年,阿巴斯对伊朗革命进行了深入报道。他关于宗教原教旨主义兴起的开创性工作,被汇编成了标志性的著作《伊朗:被夺走的革命》。革命之后,阿巴斯在墨西哥进行了深入探索,试图塑造自己独特的艺术风格。他通过镜头讲述墨西哥的故事,就如同一位小说家笔下的描绘,成果分别汇编成了《重返瓦潘》和《重返墨西哥:面具背后的旅程》。
随后的几年里,阿巴斯着手记录了世界主要宗教,从 1987 年就开始关注激进伊斯兰教的复兴。这部分工作在 9/11 事件后显得尤为重要,促使他花费七年时间跨越伊斯兰世界的 16 个国家记录事件的影响。此后,他又相继拍摄了基督教、万物有灵论、佛教、印度教,直至他生命的最后阶段专注于犹太教。他的工作预见性地探讨了宗教狂热如何逐渐取代了政治意识形态,成为全球冲突的一大源头。
阿巴斯的摄影作品在全球范围内广为传播,他不仅是一位著名摄影机构的资深成员,也被誉为历史上最伟大的摄影师之一。他留给后世的人文主义图像不断激励着新一代,追求清晰与真诚,以便更深刻地理解我们的世界及其居民。
纪念阿巴斯・阿塔尔!
保持关注
你可以关注「加一出海」公众号、Quail.ink 平台 (chuhai.dev) 或者给编辑团队团队写信 [email protected],出海小伙伴们,加油 🚢
加一出海团队 ❤️ 为你呈现
