苹果“多事之秋”发布会。
最近果子不时刷到 iPhone 14 系列开始量产的新闻,想来库克已经在筹备苹果秋季发布会的事了。

不过人算不如天算,8月20日,央视财经频道引用美联社报导,苹果于当地时间周三曾发布两份安全报告。

报告披露,iPhone、iPad 以及 iMac 等产品都存在严重的安全漏洞。



据了解,这次漏洞影响范围很大,其中包括 iPhone 6S 及以后的型号;

五代及以后的 iPad,所有 iPad Pro以及 iPad Air 2;

所有运行 MacOS Monterey 的 Mac。

不仅如此,这个漏洞还影响到了部分 iPod。

这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限,甚至完全控制设备并运行其中的应用软件。

还好这次事件没有造成重大影响,苹果已经找到了修复这个漏洞的方法,并呼吁用户赶紧安装最新的补丁以修补产品漏洞。

据悉 8 月 17 日、18 日,苹果发布多个安全性更新。

包括 iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1、watchOS 8.7.1 和 Safari 浏览器 15.6.1。



有收到更新通知的狐友,建议更新。

1 产品漏洞已如家常便饭
这种安全漏洞问题不止苹果有过,高通、AMD、英特尔的产品其实都有过安全漏洞,大部分都很快修复了。

有时候会影响性能,有时候不会。

2021 年,研究机构 Check Point 的一名安全研究人员就表示,高通的 5G 调制解调器数据服务中存在漏洞,黑客通过这个漏洞可以访问用户的通讯,甚至窃听电话。



仅在 2020 年一年里,Check Point 就在高通骁龙数字信号处理器中发现了超过 400 个安全漏洞。

惊不惊喜,意不意外,400 个漏洞什么水平?

就是研究人员每天都能在高通骁龙数字信号处理器上发现 1 个漏洞。

所以说,科技公司的产品有漏洞已经是见怪不怪了,就看谁能够又快又好地把手尾收拾干净。



有时候,因为漏洞被攻破的条件很苛刻,产商甚至懒得发补丁。毕竟用户的私人电脑可不在黑客的实验室。

比如今年六月的时候,研究机构的安全人员就发现了一个普遍存在于英特尔和 AMD 处理器中的漏洞。



动态电压频率缩放(DVFS)功能普遍用来降低处理器的功耗,利用它再加上主动监测服务器响应时间,就能通过功耗分析窃取用户的加密数据。

研究机构的安全人员利用这个漏洞,分别在 36 小时和 89 小时时间里提取出了 Cloudflare 加密库 CIRCL 和微软 PQCrypto-SIDH 中的全部密钥。



禁用处理器的睿频功能可以缓解这个漏洞带来的问题,但这对用户使用产生了严重影响。

就不说英特尔和 AMD 没发补丁了,就算他们发了补丁,果子也不用。对果子来说,隐私安全哪有游戏帧数重要。

2 漏洞存在的原因
无论这些科技巨头修复漏洞的速度有多快都只是亡羊补牢。对于漏洞,最好的做法永远是发行之前完全解决,防患于未然。

这道理狐友懂果子懂科技公司也懂,但漏洞仍屡见不鲜。



一方面,科技公司会给自己留一个“后门”,方便后续应对突发事件。

举个最简单的例子,手机产商可以随时热补丁控制用户手机处理器的性能调度策略。

按照厂商的说法,这是“优化用户体验”,但却没有在更新说明中详细描述补丁内容,让用户自己选择。

显然,这不只是“优化用户体验”,也可能是在变相降低自己的售后成本。



另一方面,在产品维护的过程里,工作人员的变动不可避免,使用环境也在不断变化,漏洞产生的可能性不断提升。

这不是在帮科技公司找借口,而是换程序员真的容易出 bug。

假设一个程序原本由一个十人团队开发完成,几年后原本的开发人员全部跳槽了,维护的都不是曾经的开发人员,他们是很难完全理解并熟知每一行代码的。



除此之外,新技术不断产出会破坏旧的规则。一个东西在发行的时候是安全没漏洞的,但几年后新技术出现可能会攻破旧的安全规则。

举个比较通俗易懂的例子,在奥尼尔打 NBA 之前是没有防守三秒的,中锋直接杵在篮下就好了。

后来联盟发现奥尼尔在这个规则下防守太厉害了,于是便增加了防守三秒的规则,不让他一直杵在篮下。



这个道理放在科技圈也是一样的,开发人员也无法预料未来会发生什么。

3 苹果安卓谁更安全?
手机上存放着我们日常生活大量的隐私,它的安全问题也日渐受到关注。尽管漏洞无法避免,但我们作为消费者有选择权。

在苹果这两份安全报告披露之前,很多用户都觉得苹果手机比安卓手机更安全。

不久前,信息安全服务公司 Beyond Identy 进行过一项调查,有近 49% 的安卓用户因为安全与隐私问题考虑转而使用 iPhone。

同时这项调查的结果表明 iPhone 用户本更关注手机位置跟踪等与隐私有关的信息。



就是不知道这个消息披露后,因为隐私安全选择苹果的用户会不会反转一波。加上苹果最近还有增加广告投放的传闻,看起来是要向安卓对齐,开始摆烂的节奏。

不过,就以目前的现状来看,苹果的隐私安全还是比安卓要好。

一是苹果操作系统是不开源的,光是这点就大大提高了系统的安全性。

二来,苹果可以统一管理和约束应用开发商,安卓厂商太多导致政策并不统一。

在苹果秋季发布会这个时间节点上,用户最关心的肯定就是新的 iPhone 14 系列会不会受到这次漏洞的影响?

虽说苹果已经及时修复了相关漏洞,但用户花五六千甚至一万块买了一台新手机,回家第一件事就是打补丁修漏洞也未免太滑稽了。

这可不符合苹果这种体面公司的作风。



网传的 iPhone 14 图片

要果子说,以后也别吹 iPhone 的安全和隐私保护了。还不都是同行衬托的,加大力度督促安卓厂商进步,让厂商内卷起来,这对消费者来说才是好事。

参考资料:

TechWeb:苹果又出事了!iPhone、iPad、iMac 等产品被曝存在严重安全漏洞

IT之家:最新漏洞引热议,黑客可远程窃取密钥,英特尔、AMD 均受影响

本文来自微信公众号“科技狐”(ID:kejihutv),作者:果子,编辑:黑白,36氪经授权发布。



















近日,电源管理芯片厂商、专精特新“小巨人”杰华特科创板IPO顺利过会。杰华特是国内目前为数不多的,年销售额能够突破10亿元的模拟芯片龙头企业。参照思瑞浦、纳芯微等同行企业目前的市值水平,杰华特上市后市值也有望达到数百亿元。

在杰华特背后,我们又一次见到了华为旗下的哈勃投资的身影。2019年7月,哈勃投资向杰华特投资了5154万元,认购了后者6%的股份。既思瑞浦、天岳先进之后,哈勃投资有望再次收获一个数十倍回报的项目。

实际上,杰华特的成功过会,还意味着哈勃投资的已过会项目数量终于达到了10个。为了应对美国的制裁,华为在2019年设立了全资子公司哈勃投资,大举进行产业链投资。三年之间,哈勃投资化身为“硬科技IPO收割机”,在科创板所向披靡。

起飞之路
杰华特的两位主要创始人周逊伟和黄必亮都是毕业于美国弗吉尼亚理工大学的博士,都曾在美国著名模拟芯片厂商凌力尔特工作多年。2013年他们回国创立了杰华特。

招股书显示,过去三年,杰华特的发展十分迅速。

首先是估值。2018年7月,杰华特拿到中芯聚源投资,当时投后估值为6.3亿元;2019年7月拿到哈勃的投资,估值上升至8.6亿元;2020年9月拿到了英特尔的投资,估值上升到了14亿。2020年12月,杰华特完成了一轮Pre-IPO融资,该轮融资异常火爆,二十余家投资机构入场,估值也上升至22亿元。

然后是经营业绩。虽然成立早期就有AC-DC芯片销售,但杰华特成立后的7年时间里未能实现整体盈利。2020年11月股改时,公司尚有4.9亿元的未弥补亏损。直到2021年,杰华特销售收入突破10亿元之后,才成功扭亏为盈。

招股书显示,2019年-2021年,杰华特营业收入分别为2.6亿元、4.1亿元、10.4亿元;净利润分别为-7995万元、-2.7亿元、1.4亿元。

复盘杰华特过去三年的发展,哈勃投资的入场是一个非常重要的节点。那之后杰华特估值增长了2倍,收入增长了3倍,并成功盈利,进入上市轨道。

那么,华为在杰华特的发展中起到了什么作用?因为杰华特的招股书对最主要的客户进行了匿名处理,这里不得不花点时间“解包”一下相关信息。

招股书显示,杰华特2021年最大的客户是“B公司”,销售额占比达32.75%。但根据杰华特对科创板审核问询的回复,杰华特的产品最大的买家其实是“A公司”。B公司是一家经销商,它只代理杰华特的产品,并且只向A公司供货。也就是说,杰华特卖给B公司的产品,实际上都间接卖给了A公司。

综合计算直接和间接采购,从2019年至2021年,A公司向杰华特的采购额增长十分迅速,三年分别为381.61万元、4387.55万元、3.4亿元。到2021年,A公司贡献的营业额占到杰华特主营业务收入的32.76%,占毛利的比重为41.88%。

杰华特2018年之前专注于照明类AC-DC芯片市场,2018-2019年开始大力开发以DC-DC类产品为主的全系列电源管理芯片产品。这期间,杰华特推出的多款DC-DC芯片产品是基于A公司的需求而专门研发的产品,并且目前仅面向A公司销售。

显然,A公司是杰华特2019年之后产品品类扩张、业绩攀升背后最重要的“贵人”。但杰华特未披露A公司的具体名字,已知的信息只有两条:1、A公司是杰华特的关联方;2、A公司是一家通讯龙头企业。至于A公司到底是谁,各位自行推导吧。

这里要说的是,杰华特过去短短三年的发展历程中,再一次出现了哈勃的被投企业的常见发展模式:哈勃的投资款到位的同时,“A公司”或“B公司”的订单也同时到来,推动公司业绩爆发式的增长。其效果之立竿见影,会很容易让人联想到腾讯的投资+流量模式。只不过,腾讯聚拢的是一批to C互联网独角兽,而华为养出了一批专精特新“小巨人”。

“哈勃家族”总市值近2000亿
2019年4月,华为成立子公司哈勃投资,正式吹响了用投资的手段布局半导体产业链的号角。哈勃投资初始的注册资本只有5亿元,此后不断追加。目前哈勃投资注册资本达30亿元,实缴资本7亿元,已投资了40余家公司。

哈勃投资为华为带来的战略价值已无需赘言。就像华为的轮值董事长郭平曾经表示的:“华为毕竟是一家公司而不是一个产业链,所以会通过投资和华为的技术去帮助产业链成熟和稳定。”

这里要说的是,如果把哈勃投资视为一家投资机构,它三年多来的投资业绩是非常惊人的。随着杰华特的过会,再加上6月过会中科飞测,以及8个已经挂牌上市的项目,哈勃投资的IPO项目来到了10家之多。另外,哈勃投资还有美芯晟、矽电半导体等项目正在排队审核中。

可以说,这两年半导体赛道最大的IPO基本被哈勃投资一网打尽,例如三代半导体材料龙头、目前市值近500亿元的天岳先进;还有模拟芯片龙头、市值一度超过700亿元的思瑞浦。这其中还不包括哈勃投资以参投基金的方式间接投资的项目,比如目前市值近500亿元的纳芯微。

粗略计算,哈勃直接投资的、目前已上市的公司市值合计已经接近2000亿元人民币,哈勃的持股市值合计约85亿元,而它们对应的投资成本不到6亿元。也就是说,哈勃投资的已IPO项目平均回报倍数超过了10倍。



注:思瑞浦解禁后,哈勃投资已减持套现约6126万元。

哈勃的密集投资并非是单纯的战略投资,而是兼具战略与财务两个目的。对于后一个目的,至少有两个细节能够体现。

第一个细节是,哈勃投资也会与创始人签订关于IPO日期的对赌协议,这通常被认为是典型的财务投资做法。这次科创板过会的杰华特的创始团队就与哈勃投资签了对赌,双方约定,若杰华特未能在2024年12月31日之前完成IPO,哈勃有权要求回购。

第二个细节是,哈勃投资也会在项目上市后第一时间减持。哈勃投资的已IPO项目上市时间都还比较短,思瑞浦是唯一一家限售股已解禁的公司。而哈勃投资在2021年9月思瑞浦解禁的第一时间就启动了减持,此时距离投资还只有两年时间。

自从遭遇美国单方面制裁之后,华为一直面临着较大的经营压力。8月12日,华为发布了2022年上半年的经营业绩。新闻稿显示,2022年上半年,华为实现销售收入3016亿元人民币,净利润率5.0%。以此计算,华为上半年的净利润仅为150亿元。两相对照,哈勃投资仅以不到6亿元的投入,就获得了近百亿元的投资收益,这已经堪比腾讯投资对腾讯的利润贡献率了。

就差一个哈勃了?
“认识哈勃的人吗?有个半导体项目,预计今年收入XXXX万。”这两年,微信上类似这样的求介绍的信息越来越多了。虽然哈勃行事低调,几乎从不公开发声,但硬科技融资找哈勃已经成了业界的普遍心态。

大家看中的当然不仅仅是哈勃的资金,而是能像杰华特一样拿到大笔的订单,搭上业绩爆发的快车。

一年前思瑞浦市值处在700亿元的高位的时候,很多模拟芯片公司看的心痒痒。北京一家模拟芯片公司创始人就曾向投中网表示,他们的产品和技术并不比思瑞浦差。在他看来,他们与思瑞浦之间就差一个哈勃了。

与杰华特类似,思瑞浦也是在拿到哈勃的投资后业绩迅速爆发,高峰时“客户A”贡献了思瑞浦过半的营收。

但是,对于这种心态,有投资人向投中网表示不以为然。在该投资人看来,希望通过哈勃拿到华为的订单是搞反了因果关系。实际上,任何大企业的战投部门,都没有能力影响业务部门选择哪个供应商。据投中网了解,哈勃的团队人数很少,它在华为的战投体系里并不是决策单位。

另一方面,华为的订单是好事,但过于依赖华为却未必了。这方面拿到了哈勃1.1亿元投资的灿勤科技就是一个反面教材。

灿勤科技原来有滤波器、低互调无源组件、天线、谐振器等多种主力产品。招股书显示,2017年时各主力产品占营收的比重大致均衡。而在拿到哈勃的投资后,灿勤科技集中发力一个主力产品,那就是华为5G基站采购的滤波器,其他各类产品不仅销量占比下降,销售额也大幅萎缩,相当于战略性放弃了。灿勤科技把自己彻底绑上了华为的战车,成了一家依赖单一产品、单一客户的公司。这种情况在灿勤科技上市后也没有改变。2021年年报显示,灿勤科技来自第一大客户华为的收入占营业收入的比例仍然高达68.50%。

然而,随着5G基站建设放缓,灿勤科技2021年营业收入暴跌了68%,净利润则下滑了67%。2022年一季度,灿勤科技营收继续同比下滑45%,净利润同比下滑51%。与此同时,灿勤科技的市值目前也下滑至60亿元,与刚上市时相比已经腰斩。

本文来自微信公众号“投中网”(ID:China-Venture),作者:陶辉东,36氪经授权发布。





苹果曝出安全漏洞