adv

solidot新版网站常见问题,请点击这里查看。
隐私
pigsrollaroundinthem(39396)
发表于2017年12月13日 13时16分 星期三
来自360 日常
360 旗下的网络摄像产品被指在用户不知情下自动在该公司的直播平台水滴直播上进行直播。360 智能摄像机团队则声称,水滴平台上所有直播画面都是由机主购买小水滴摄像机后自行安装,并由用户自主操作分享直播。是否开启直播功能,完全取决于购买的商家自主决定。如果机主希望将画面分享给特定人群或是全网用户,必须用户实名注册之后主动登录账户,并 “确认开通直播协议”。一位接受采访的公司老板称,他没想到摄像头拍摄的内容会在网上直播。一家宾馆负责人表示对于直播自己并不知情。律师表示,商户和直播平台未经他人同意而公布他人活动和行为的视频,涉嫌侵犯公民隐私权,也会带来安全隐患,是涉嫌侵权的违法行为。
隐私
pigsrollaroundinthem(39396)
发表于2017年12月06日 18时26分 星期三
来自低端外来人口
中国公司在乌镇世界互联网大会上演示了各种高科技监控技术。Face++ 将其技术用到了参会者身上。在其展台的一块大屏幕上,软件会确定被识别者的性别,描述他们的头发长度和颜色,以及他们所穿的衣服。中国联通用图形演示了对其掌握的大量用户数据所做的细分。一幅图根据人们上下班时间人口布局的变化,分析了北京的人口状况。另一幅图显示的是则外国游客爱去的地方。联通展台的负责人公开讨论相关数据,这表明在中国这种监控和数据收集已被广泛接受。在一个关于恐怖主义的座谈会上,以上海合作组织首席反恐专家的身份发表讲话时,梅建明表示,北京应该采取更多措施,利用自己的影响力推动 Twitter 改变服务条款,并反击相关团体。
隐私
pigsrollaroundinthem(39396)
发表于2017年12月06日 11时48分 星期三
来自商品们要有觉悟
流行虚拟键盘应用 AI.type 因储存信息的服务器未加密保护而泄漏了 3100 万用户信息。服务器上储存了超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,每条记录还包括用户的精确位置,如城市和国家。服务器被认为只包含 Android 用户的记录。AI.type 在收到安全研究人员的警告之后已经加密了服务器。AI.type 有免费版和收费版,其中免费版收集了更多的数据,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商、IP 地址,用户公开的 Google 账号信息,用户在设备上安装的应用列表等。AI.type 是出于广告目的收集这些记录的。它还被发现记录和储存了用户输入的文本,但不清楚规模有多大。专家认为使用免费应用需要谨慎。
长城
pigsrollaroundinthem(39396)
发表于2017年11月30日 16时33分 星期四
来自黑产
《金融时报》报道了中国早已产业化的用户数据黑市,但这一次涉及到了网络借贷。报道称:在 QQ 一个专门讨论消费信贷的聊天室中,《金融时报》联系了一名自称是在线贷款机构员工的人,此人声称有用户数据可以出售,能以每条用户信息 4 元人民币的价格,提供全名、身份证号码、电话号码和贷款限额。他补充说,对于一些借款人,数据还包括来自芝麻信用的信用评分。分析师们表示,用户数据的许多买家是其他消费贷款平台,他们希望识别曾经从其他平台借款的潜在客户,尽快打开自己的业务。用户作了登记、但从未借款的平台,也可能选择将用户信息卖给竞争对手。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月30日 15时37分 星期四
来自偷数字钱包
High-Tech Bridge 利用它的分析应用 Mobile X-Ray 分析了 Google Play 下载量最高的 90 款数字货币应用,发现大部分没有使用加密。这些应用的下载量或超过 50 万次,10 万次到 50 万次,或 10 万次以内。在这些应用中,94% 使用了过时的加密,66% 没有使用 HTTPS 加密传输的用户信息,44% 使用默认的硬编码密码,94% 至少有 3 个中等风险的漏洞。不使用加密会导致用户容易受到中间人攻击,劫持流量窃取密码。High-Tech Bridge 没有公布不安全应用的名单。
Android
pigsrollaroundinthem(39396)
发表于2017年11月29日 19时47分 星期三
来自你是商品
法国研究组织 Exodus Privacy 和耶鲁大学 Privacy Lab 分析了流行 Android 应用是否包含已知的 25 种跟踪程序,发现超过四分之三的 Android 应用包含至少一种第三方跟踪程序。如流行应用 Tinder、Spotify、Uber 和 OKCupid 使用了 Google 的跟踪服务 Crashlytics,该服务主要跟踪应用崩溃报告,但也收集用户数据。其它跟踪服务包括法国的 FidZup。研究人员没有检查 iOS 应用,他们警告说 iOS 平台的情况未必好于 Android 平台,因为这些服务商提供的是跨平台跟踪服务。
长城
pigsrollaroundinthem(39396)
发表于2017年11月29日 15时52分 星期三
来自谁发的一清二楚
中国工程院院士、中国互联网协会理事长邬贺铨在接受采访时表示, IPv6 时代将能实现真正的网络实名制 ,“可以说,我们的 IP 地址资源是严重匮乏的,不但限制了我国互联网的发展,还给安全管理带来了难度。目前我们的 IP 地址是动态分布的,无法实现地址与计算机,或者地址与人的一一对应。但到了 IPv6 时代,有了足够多的地址,每个人一个地址,我们就可以实现实名制,网络安全管理能力就提高了,比如像网络诈骗追溯的难度会大大降低。”由于 IPv6 协议下,IP 地址数量接近无限的特点,这将打破现在地址资源分配的格局,未来将可以实现自由取用。邬贺铨称,为了更好地定位用户,我国还将编写一套 IP 地址的分配规则,目的是让 IP 地址生成有规律可循,“就像电话和手机号码的分配,比如我们现在通过区号,或者手机号码的号段就能判断出该号码属于哪个区域、哪个运营商、哪个年代等,未来 IP 地址的分配也会采用类似的方法进行管理。”
隐私
pigsrollaroundinthem(39396)
发表于2017年11月29日 12时54分 星期三
来自垃圾程序
世界最大的 PC 制造商惠普被指在在其销售的计算机上预装了拖慢整个系统的间谍软件。受争议的软件叫 HP Touchpoint Analytics Service,被用于收集遥测信息。但惠普客户报告称,软件是未经许可在最新更新中安装到计算机上的,它被发现持续在后台运行,导致风扇持续转动和 CPU 的高负荷。预装大量用户不需要的程序的做法在 PC 制造商中非常流行,此前联想因为预装了广告程序而被罚了 350 万美元,而这不是惠普第一次被发现预装了间谍软件,惠普笔记本电脑预装的 Conexant 音频驱动早些时候被发现内置了按键记录器。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月24日 15时47分 星期五
来自当所有主要网站都发生泄漏
Firefox 工程师正在开发一个通知系统,当用户访问的网站遭遇过数据泄露时向其展示安全警告。通知系统将使用 Have I Been Pwned? 网站提供的数据,该网站索引了公开的数据泄露,允许用户查询其信息是否泄漏。数据泄露警告通知系统的开发才起步不久,代码将不会整合在 Firefox 中,而是作为一个扩展提供给用户。 Have I Been Pwned 的作者 Troy Hunt 证实他正与 Mozilla 合作开发这项安全功能。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月23日 13时25分 星期四
来自大政府
类似 Uber 最新披露的数据泄露事件可能很快会引来欧洲监管机构的处罚。在欧盟运营的上市和非上市公司 2018 年 5 月起将需要遵守《一般数据保护条例》。该影响面广泛的条例规定了公司如何使用所收集的个人数据及披露数据外泄事件。未报告个人数据泄露事件的公司将面临最高相当于其全球年收入 2% 或 1000 万欧元的罚款﹐以较高者为准。未经同意而处理个人数据的公司可能会受到最高相当于其全球年收入 4% 或 2000 万欧元的罚款﹐以较高者为准。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月22日 17时50分 星期三
来自谷歌是老大哥
很少有人会像 RMS 对手机保持如此高的警惕,他曾经指出智能手机是用户自由权利的一大威胁,是 “斯大林的梦想”,是老大哥的工具。智能手机会跟踪用户的位置,这早已众所周知,但即便你关闭了位置跟踪服务,手机仍然在跟踪你。Quartz 的调查发现,在关闭跟踪服务后 Android 软件会继续收集用户的位置信息,然后在联网时发送回 Google。Google 发言人称,从 2017 年开始,Android 收集了附近手机塔的位置(即 Cell ID),手机塔地址包含在手机发送到 Google 用于管理通知推送和消息的系统的信息中。Google 发言人声称这些信息没有使用或储存,Google 将采取措施结束这一做法。到 2017 年 11 月底,Android 手机不再向 Google 发送手机塔位置数据。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月21日 16时40分 星期二
来自根据 IP 等指纹跟踪
Mozilla 最近在 Firefox 浏览器中加入了一个增强隐私保护的功能,帮助阻止在线广告商的跨网站跟踪。这一功能叫第一方隔离(First-Party Isolation),源自 Tor 浏览器。Tor 浏览器是基于 Firefox 长期支持版,整合了大量隐私保护功能。我们在访问一个网站时,网站会在你的浏览器上留下跟踪的 cookie,但除此之外它还会留下来自第三方的 cookie,如果你访问的另一个网站也有该第三方有这个 cookie ,那么该第三方将能在两个网站上跟踪你的活动。所谓的第一方隔离就是一个网站留下的 cookie 和另一个留下的 cookie 隔离开来,让第三方 cookie 无法实现跨网站跟踪。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月21日 13时07分 星期二
来自你是商品
根据上周发表的一项研究,数百家网站利用脚本跟踪用户在网站上的一举一动,包括实时的按键、鼠标移动和滚动行为,甚至还包括递交前或后来删除的输入。被称为会话回放的脚本设计帮助网站运营者更好的理解访客与网站的互动,识别产生混淆或故障的特定页面。访客的每一次点击、输入和滚动都会被记录下来等以后的回放。研究调查了 5 万家访问量最大的网站,发现其中 482 家含有会话回放脚本,其中包括 microsoft.com、adobe.com 和 godaddy.com。研究作者 Steven Englehardt 称,第三方的会话回放脚本可能会导致敏感信息泄漏。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月11日 17时48分 星期六
来自iOS 总是比 Android 好一点
想象一下,你的按摩棒控制应用在你不知情下记录了你使用按摩棒过程中发出的声音,然后储存在设备上?香港性玩具公司 Lovense 承认它的 Android 版控制应用 Lovense Remote 在本地储存了用户的录音。一位 Reddit  用户最早注意到该应用的行为,其应用文件夹内发现了长达六分钟的录音文件。其他用户随后确认了这一行为。一位自称代表 Lovense 公司的用户声称录音是一个“ bug”,只影响 Android 用户,没有用户信息或数据发送到它的服务器上,而录音文件也只是临时存在,它已经释出更新修复了该 bug。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月08日 18时12分 星期三
来自键盘的云
中国公司生产的一款机械键盘 MantisTek GK2 被发现会收集用户的按键频率信息并发送到阿里巴巴的服务器。收集按键信息的是这款键盘搭配的 Cloud Driver 软件,该公司收集这些信息也许并无恶意,可能是为了观察各个按键的耐用性。但未经用户同意跟踪用户的做法侵犯了隐私方面的法律。要阻止键盘收集和发送用户信息只需要阻止 Cloud Driver 在后台运行,用户还可以在防火墙屏蔽 CMS.exe 可执行文件。
隐私
pigsrollaroundinthem(39396)
发表于2017年11月03日 11时52分 星期五
来自洋葱壮大
Tor 项目官方博客简介了它的下一代洋葱服务。旧的洋葱系统已经存在了超过十年时间,其老态已经显现。过去四年他们一直在开发下一代洋葱服务,在两周前正式发布了一个 alpha 版本。新的洋葱服务采用了最新的加密算法改善了认证方案,重新设计了目录系统防止信息泄漏,减少攻击面。开发者还计划引入更多新功能,表示目前并没有计划立即杀死旧的系统,旧的系统在短时间内仍然是默认选项,在用户迁移到下一代系统之后,他们才会计划将下一代设为默认。这需要几年时间,如果社区欢迎这一改变,Tor 项目才会完整的淘汰旧的系统。
隐私
pigsrollaroundinthem(39396)
发表于2017年10月28日 11时55分 星期六
来自没有完全搬到 Tor
《纽约时报》宣布了一个设立 Tor 域名: https://www.nytimes3xbfgragh.onion/。《纽约时报》称它的读者来自世界各地,其中有一部分读者是通过 Tor 访问时报网站的,原因或者是网站被封锁了,或者是担心本地网络监视,或者是关心在线隐私,或者只是他们偏爱用 Tor 访问。为了确保读者能安全的访问时报,它决定设立一个专门的洋葱路由域名,改善用 Tor 访问网站的用户体验。Tor  访问者可通过 onion@nytimes.com 提供建设性反馈和 bug 报告。
长城
pigsrollaroundinthem(39396)
发表于2017年10月23日 19时23分 星期一
来自没人担忧
根据政府网站的信息,公安部在 2012 年启动了全国公安机关声纹数据库国家库的建设,安徽省是声纹数据库试点省份之一,建设省级数据库平台并接入国家库,共同完成全国声纹数据库的系统建设,该项目由安徽讯飞智元信息科技有限公司承建。官媒今年早些时候报道,安徽公安厅正在实验对电话通讯进行实时监控,即利用自动话者识别系统自动找出目标人员的声纹并通知公安人员。人权观察对该生物特征识别库的隐私问题表达了担忧
英国
pigsrollaroundinthem(39396)
发表于2017年10月18日 20时59分 星期三
来自小巫
隐私保护组织隐私国际向英国特别司法机构权力调查法庭起诉英国情报机构收集公民社交媒体及医疗数据。隐私国际表示,这些信息可能被分享给外国政府和一些商业伙伴。2015年3月,英国情报机构被曝光不仅在收集特定目标嫌疑人的数据,还在收集普通民众的数据。这些细节被一份来自情报及安全委员会的报告曝光。报告称名叫 BPDs(bulk personal datasets)的数据库里有上百万份数据记录。隐私国际表示,该案是此类数据收集争议首次进入公众视野,尽管目前这些数据的收集渠道尚不清楚,"我们并不知道这些数据是被截取还是来自一些公司。"该案涉及的最大一个曝料是,一些私人合同商拥有数据收集机构的管理员权限。
长城
pigsrollaroundinthem(39396)
发表于2017年10月13日 17时42分 星期五
来自TNND
阿里巴巴旗下的《南华早报》报道,中国正在建造世界上最强大的面部识别系统,能在三秒内识别任何公民。系统的目标是以 90% 的精度匹配一个人的脸部和他们的身份证照片。公安部在 2015 年启动了这个项目,目前正与上海的一家安全公司合作开发。该系统能接入全国的监控探头网络,使用云设施访问分布在各地的数据中心和处理中心。由于面部识别技术的技术限制和庞大的人口基数,开发面临许多技术挑战,一些研究人员还不清楚系统何时能完成。目前中国的面部识别系统只在小范围内使用,彼此独立没有互联。这个全国性系统的核心数据集大约为 13 TB,包含了每位公民的肖像信息。更完整的数据库不超过 90 TB。清华大学副教授 Chen Jiansheng 是公安部的一位顾问,他表示该系统将被公安用于跟踪通缉嫌疑人,被政府用于公共管理,商业使用暂时不会被允许。