当前位置:首页 > 隐私
  • 微软开发一项新的隐私功能: Storage Access隐私API

    微软正在 开发一项新的隐私功能,从而让用户不需要在隐私项目上做出妥协,而且嵌入式内容也可以继续正常运行。 去年,苹果为自家Safari浏览器添加了名为“Storage Access”的隐私API,对第三方嵌入式内容如何请求访问第一方cookies进行了明确。而现在微软也计划将Storage Access API引入到Chromium浏览器上。 在7月27日提交的commit中微软提议实施Storage Access API,现在用户可以通过Flag来启用这项功能。这个API在只有用户和第三方嵌入式内容有交互的情况下,才允许嵌入内容请求访问/控制存储访问权限。否则默认情况下,这些请求会被浏览器设置默认拒绝。 目前在其他浏览器上Storage Access API的状态 Microsoft Edge:计划实现 Mozilla Firefox:Firefox 65以上版本实现 苹果Safari:在11.1版本中已经发布。 微软高级软件工程师Brandon Maslen写道:“这是一个独立的API补充。在禁用第三方cookie等存在存储访问受限的情况下,访问结果当前是静态的。在存储访问API用于授予访问权限的情况下,这些API现在将具有关于权限的动态行为。” 在Github的一篇文章中,微软建议Chrome团队为已禁用第三方cookie的用户添加权限提示,并在用户感兴趣时提供实施。微软希望为网页提供标准机制,以请求访问否则将被浏览器阻止的存储资源。 微软还指出,这将使“对存储访问权限的更高级别控制允许现有的Chromium隐私控制”。

    时间:2019-08-18 关键词: 隐私 chromium

  • 人工智能所谓的“数据优势”,是否以牺牲用户隐私安全为代价?

    人工智能所谓的“数据优势”,是否以牺牲用户隐私安全为代价?

    2015年,清华大学在高校信息化建设中首次引入人脸识别技术,通过识别系统和智能设备,实现学生自行注册、自行办理火车票优惠卡充值、自行打印成绩单、自行办理在读证明等各项业务;2018年,全国各地初中以“提升校园安全”为由,在校园门口安装人脸识别考勤系统,以南京中国药科大学为例,其在校门、图书馆和宿舍都安装了人脸识别门禁。 当人工智能等前沿技术逐渐应用于现实场景,投资人与创始人口中所谓的“数据优势”是否以牺牲用户隐私安全为代价?     近日,关于人脸识别技术与个人数据安全之间的矛盾、学生个人到底有无隐私等讨论见诸网端。一张带有“MEGVII旷视”图标、面向校园学生学习状态的视频监控图像也在网络上引发热议,图片显示,该技术针对两名教室中的女生面部特征进行分析,分别显示出各自相应的课堂行为数据,如趴桌子、玩手机、睡觉、听讲、阅读、举手等。 AI技术是把双刃剑 针对网络端对旷视监控教室内学生一举一动的批评声,旷视方面对第一财经记者回应称,近日网络上出现的一幅课堂行为分析图片为技术场景化概念演示,旷视的智慧学校解决方案可以协助学校管理人员提升效率并保障学生安全,主要用于智能校门、教室门及宿舍的出入,方便学生安全出入校园。 知乎上关于“如何看待旷视科技新产品监视学生上课”的话题下,一位ID为李小粥、职业为高级产品经理的用户发表观点称:“如果可以监视学生甚至量化学生的行为数据,那我们是否可以去监控每个教师、辅导员、校长的日常工作?如果今天的技术可以采集学生微表情,那未来是否会发展到采集脑电波、人体磁场、热力图、情绪等更加私密的生理特征?我们又是否愿意接受这样的监控?” 企业方应主动保护数据安全 实际上,人脸识别技术此前早已步入校园与学生生活。 此次旷视之所以引发争议,很大程度在于其将原本简单的签到、注册、买票等业务升级到对微表情的分析,其官方对该技术介绍称:“在课堂教学评价系统中,旷视科技将自主研发的人脸识别、行为识别、表情识别等技术,集成在考勤及行为分析摄像机MegEye-C3V-920和行为分析服务器中。通过对课堂视频数据进行实时的结构化分析,反馈学生行为、表情、专注度、前排上座率等多维度课堂数据,辅助教学评估评价。” 国外对人脸识别技术的落地应用采取了更为彻底的管制。 今年4月5日,当旧金山监事会(TheSanFranciscoBoardofSupervisors)通过一项法案,禁止政府部门(受联邦政府管辖的机场、港口等出入境场所不在此例)使用面部识别技术,并规定城市机构在购买其他类型的监控技术之前获得城市议会批准。而近期,欧盟(EU)的一项数据保护法规首次在瑞典实施,其规定,一项涉及人脸识别软件的学校实验被认为是非法的,同时引发教育机构中是否应使用人工智能技术的讨论。此外,欧盟在2018年出台的GDPR规定称,公司在收集用户包括面部等生物特征数据前必须经得个人同意,如有违反,企业可以被罚款金额达其全球收入的4%。 云测数据总经理贾宇航对第一财经记者表示,在人工智能高速发展过程中,技术与个人隐私之间的矛盾确实是“不可调和”的,作为企业主体,更该主动进行用户数据安全的保护。他以谷歌为例称,2018年,谷歌核心战略以云计算与人工智能为核心,但步入2019年,在世界范围内多次爆发用户数据安全事件后,谷歌将战略重心转移至注重用户隐私安全的边缘计算领域,很多用户数据存储于手机端,不会回传至云端。从该案例也可以看出公司主体主动对数据安全方面的考虑。 该疑问提出的考量,来自于对人工智能技术采集个人数据的担忧,一位不愿透露姓名的人工智能领域研究人士对第一财经记者表示,旷视科技对学生人脸的监控,以及ZAO事件,折射出人工智能技术本身的双刃剑特性——一方面代替重复性劳动,但同时带来随时监测个人生活的“惊悚感”。他称,一般来讲业内会将现实生活场景的可视化视为好事,但前提是需要界定人工智能时代,什么数据是隐私?什么数据可开放?

    时间:2019-09-05 关键词: 人脸识别 隐私 旷视科技

  • 获主流手机厂商支持,eID未来可期

    获主流手机厂商支持,eID未来可期

    2019年9月10日,OPPO Reno2正式发布。除了硬件端4800万高清四摄、VOOC3.0闪充等配置升级,在软件端同样迎来多项重要更新。以OPPO钱包为例,正式支持公民网络电子身份标识(eID)功能。这是继华为、vivo手机后,又一品牌手机支持eID空中加载。 eID是什么?为什么几大手机厂商都为它“背书”? 也许你也经历过人在“囧”途忘记带身份证的尴尬,不过,有了eID之后,忘带身份证所带来的不便将彻底消失。以往出门四件事“身手钥钱”,现在只要一个加载eID的手机可轻松搞定。将身份证、钥匙、钱包集于一体,出示手机eID即可完成线下身份核验或者线上身份认证,如机场安检、酒店登记、开锁入住、网上注册登录、网络购物交易等操作。 eID:公民个人隐私在数字世界的“保护盾” 国际上对eID的定义是:“由政府颁发给公民的用于线上和线下识别身份的证件”。欧盟20多个国家已经颁发了以安全智能卡为载体形式的eID来替代传统的身份证件,同时具备了线下身份核验和线上身份认证功能。其中,德国、西班牙、意大利、比利时、爱沙尼亚和奥地利已经普及,广泛用于电子政务、电子商务、社交网络等各个领域。 在我国,“触网”20多年来普遍采用“姓名+公民身份号码”来代表公民的线上身份,虽起到了唯一区分线上主体的作用,但缺乏对个人信息的有效保护,造成了大规模个人信息泄露,进而频频引发个人身份冒用后的“被贷款”“被法人”、账号窃取以及电信和网络精准诈骗等事件。因此,既能保护个人身份信息安全又能在网上可靠证明个人身份的“网络证件”是社会的刚需。 在此背景下,公安部第三研究所(以下简称:公安部三所)于十二五期间承担了国家863计划“网域空间身份管理”等信息安全重大专项,研发了“网络电子身份标识(elD)”技术并形成了相关标准体系。 在智能卡时代,公安部第三研究所早期的eID加载在银行卡上,而且只具备线上身份认证功能,由于智能卡没有通信功能,注定了当时eID的推广举步维艰。 去年8月,公安部第三研究所和华为合作将eID加载到安全智能手机,为全球首创,实现了“分钟级”空中开通、“秒级”线上身份认证和“秒级”线下身份核验,高安全、高体验的统一,让用户耳目一新。 根据官方定义,eID (electronic Identity) 是以密码技术为基础,以智能芯片为载体,由“公安部公民网络身份识别系统”签发给公民,能够在不泄露身份信息的前提下,在互联网上远程识别身份的、普适性的网络电子身份标识。具备以下四大特性: • 权威性:eID由“公安部公民网络身份识别系统”统一签发,能够有效防止身份冒用,确保eID与持有人真实身份的唯一对应; • 安全性:eID含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用; • 普适性:eID可进行跨地域、跨行业的网络身份服务,不受载体物理形态的限制,只要载体中的安全智能芯片符合eID载体相关标准即可; • 隐私性:eID的唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。 手机加载eID需符合什么条件? 在数以亿计的物联网设备投入使用的同时,它们有可能正在成为黑客发起攻击的目标。数据显示,2018年一共有70亿台IoT设备,每年保持20%左右的速度增长,到2020年预计可达99亿台。在华为的2019年一号文件中,任正非就明确将“网络安全和隐私保护作为公司的最高纲领”,足见对于安全和隐私的重视程度。 经历多年的发展,我国PC端软硬件安全平台较为成熟,但是在以手机为代表的移动终端,安全能力多以软件层、应用层安全为主,不包括SE、TEE等底层核心技术。eID强调是以芯片为载体的安全防护,相比软件层面其安全系数更高,因此其技术门槛也非常高。 在目前已经推出加载eID的手机品牌中,背后提供安全技术支持的是一家多年来深耕终端芯片级安全技术与产品的公司——融卡科技。该公司是国内唯一一家将eSE/inSE、TEE、TSM技术同时应用在手机上的企业,在移动终端安全方面具备领导地位,是公安部三所在移动安全智能终端发行eID的紧密合作伙伴,以及eIDPSAM(受理终端安全存取模块)产品标准制定及产品指定提供商。 融卡科技依托技术、资源、生态等核心能力,为各类业务场景进行安全赋能,打造了国内首个“终端安全能力平台”,以完整的技术能力与高度模块化的产品结构为移动终端、物联网终端进行安全赋能。由于同时具备SE/inSE、TEE、TSM技术,保证了eID从公安部三所空中下发到手机以及各个使用环节的强安全性。 场景需求+硬件成熟,eID迎来爆发期 自公安部开展网络身份管理试点研究以来,eID在技术和市场的双轮驱动下,取得了长足的进步。手机硬件系统的不断成熟也为eID的发展提供了很好的土壤,目前几家主流手机厂商积极拥抱eID就是最好的例证。随着NFC+SE/inSE+TEE+生物识别在手机端逐步普及,eID即将迎来爆发期,真正走进我们生活的方方面面。目前已经落地的应用主要有: 线下身份核验 我国《居民身份证法》规定了公民必须出示身份证的情形,然而在这些情形之外,还存在着大量滥用身份证的现象。eID的身份电子证照功能可应用在小区、楼宇、单位门禁等身份证法未要求出示身份证的场景,一方面大大方便了用户,另一方面减少身份证的不安全使用而带来的个人身份信息泄露和滥用的风险。酒店、机场等场景的身份核验也将逐渐展开,“一机行天下”即将成为现实。 •“eID身份电子证照”是eID加载到安全智能手机上新增的一项线下身份核验功能。当用户持本人身份证通过NFC手机“空中开通”eID成功后,手机的SE已经加密存储了身份证中除指纹外的个人身份信息,并且只有通过个人授权才可被专用读卡器读取。 目前,华为、VIVO、OPPO部分手机机型、包括SIMeID(带SE的贴膜卡或SIM卡)已支持eID功能。并且在深圳南山、龙岗等地百余家酒店成功试点办理入住登记,住客只要打开手机eID钱包、选取“eID身份电子证照”并做授权后即可办理入住手续。 图:华为手机端eID开通步骤(来源:华为官网) 手机银行大额转账 西安银行已经率先在手机银行启用 eID,实现手机银行客户端最高500 万轻松一笔转,全面提升服务品质与核心竞争力。用户可以通过华为钱包APP开通eID,即可在西安银行APP中轻松实现手机银行500万大额转账,充分说明了手机eID的安全性。 城市数字管理 eID+流动人口综合治理试点,以流动人口信息化管理中对身份信息的采集及管理作为切入点,与eID数字身份及eID认证技术相结合,实现智慧城市的高效管理和居民生活的便捷安全。 电子政务服务 在工商全程电子化系统中,个体工商户使用eID卡进行注册和登录,在准确识别登记人身份的同时确保了身份信息安全;电子签名功能实现了对用户注册、提交申请、网上签名、受理审核、发照归档等操作过程的留痕管理,做到可追溯、可查询,确保线上行为不可抵赖。 数据合规流通 在eID个人身份信息保护技术基础上,推出了基于xID的网络信息保护服务。xID是数字时代个人身份信息的“遮脸”技术,可以对信息和数据进行去身份化处理,使企业具备安全存储和发布数据的能力;在提供第三方数据查询服务时,可以使用xID技术建立安全索引通道,保护个人信息及敏感信息,促进数据的合规流通。 除此之外,在线法律服务、智慧物流、儿童走失预警平台、“航旅纵横”等众多应用中都已有了eID的落地。 未来,eID将如何重构我们的生活?想象空间巨大。可以预见的是,在提升整体效率、降低社会成本方面,eID将以更为多种多样的方式与我们的智能生活深度融合。

    时间:2019-09-16 关键词: 手机 隐私 eid

  • 微信发原图或泄露隐私怎么办?腾讯建议这么做

    微信发原图或泄露隐私怎么办?腾讯建议这么做

    最近“微信发原图或泄露位置信息”的微博火了,说的是在微信上发原图有可能泄露自己的隐私,比如去过哪里,在哪里拍照、什么时候拍照等。对此官方的腾讯网微信团队表示朋友圈的照片都是系统自动压缩过的,不带位置信息。 腾讯微信团队指出,如今,任何智能手机拍摄的照片,都含有Exif参数,可以调用GPS全球定位系统数据,在照片中记录下位置、时间等信息。无论你用微信、短信、邮件或是其他传输工具发送原图,都会将附带信息一并发送。 微信表示,朋友圈发送的照片都经过系统自动压缩,不带位置等信息。 对于隐私担忧,微信称实在担心的话,可以避免发原图,或者关闭定位。还有一招绝杀,P完图再发。   官方表示,微信发原图或泄露位置信息这个话题已经不是第一次辟谣了,2017年他们就有关相关辟谣,详细内容如下: 我们关注到最近网上出现关于“微信发送原图泄露隐私”的传言,我们对此说明如下: 如今,任何智能手机拍摄的照片,都含有Exif参数,可以调用GPS全球定位系统数据,在照片中记录下位置、时间等信息。 当用户把原始图片发送给其他人时,所附带的信息也一并发出去了。无论用微信、短信、邮件,抑或是其他传输工具,都是如此。严格来说,所谓的地理位置信息泄露,与微信无关。而部分公众号将其归因于微信,严重误导,给广大用户造成了恐慌。 此外,用户在朋友圈发送的图片都经过了系统自动压缩,不是原始图片,已不带位置信息。部分帐号声称“通过朋友圈图片完整展示了一天踪迹”,纯属子虚乌有。 我们希望公众帐号能够审慎甄别信息,避免夸大事实,给公众和企业带来不必要的伤害;也提醒广大用户,注意个人信息保护,可在智能手机“设置”中,关闭定位服务等隐私相关功能。  

    时间:2019-12-02 关键词: 腾讯 隐私 微信

  • iOS 13新举措  安全隐私再加强:后台使用追踪定位会收到通知

    iOS 13新举措 安全隐私再加强:后台使用追踪定位会收到通知

    苹果iOS 13进一步优化了隐私保护,这次被打下“禁制”的那些自带地图后台定位的应用程序。库克曾不止一次表示,苹果对于用户的隐私保护是到位且持续加强的。 其实在已经亮相的iOS 13中,苹果在新系统中对用户的隐私保护又进行了加强,比如,包括洞察应用在后台调用地理位置权限的细节。 为了让用户更明白,苹果还展示了特斯拉和Apple Store两款应用程序,当它们在后台使用你的位置时候iOS 13就会发出通知,在通知中会显示该应用已追踪的定位数据信息。 除了显示地图信息之外,在通知中还会显示该应用需要在后台使用定位权限的理由。比如,特斯拉使用你的定位信息来显示你与车辆的距离(在应用打开状态下),并且在用户支持的车辆上优化电话键(在应用处于后台状态下),而Apple Store则是根据你所在的位置向你提供相关的产品,功能和服务。 iOS 13还允许应用程序“只使用一次”,而不是在使用应用程序或连续后台访问时必须提供持续访问权限。“允许一次”选项被视为临时授权,应用程序会在下次打开时再次提示。

    时间:2019-06-10 关键词: 苹果 iOS 13 隐私 电源资讯

  • 如何使用蓝牙4.2保护隐私

    如何使用蓝牙4.2保护隐私

    摘要:在最新的蓝牙(Bluetooth)4.2核心规范当中,支持一项新的特性,可以通过周期性地改变蓝牙设备的随机地址帮助蓝牙设备的使用者来保护自身的隐私,避免其设备被黑客或者是窃听者通过射频侦听以及对数据分析的方式得以窃取。这一隐私保护的特性并不是在GAP(Generic Access Profile)的发现流程过程当中起作用,而是在连接建立之后对设备的行踪得以保护。一旦设备采用了可变随机地址的概念,设备使用者的隐私能够得到很好的保护,本文将会着重为大家介绍蓝牙4.2核心规范当中关于隐私保护的技术细节。 在我们的日常使用的无线通信设备当中,都包含了MAC地址。MAC地址具有唯一性的特点,通常在网络通信当中,MAC地址作为设备符来采用。MAC地址大多是由设备的生产厂商来分配并且存储在设备当中。如果在网络当中有两个设备具有相同的MAC地址,那么就会产生网络通信的问题,所以设备的生产厂商在分配MAC地址的时候都非常小心,确保地址的唯一性。如果我们希望获取设备的MAC地址也非常的简单,当我们打开智能手机或者是平板电脑,你可以非常简单的在类似于“设备管理”的界面找到设备的MAC地址,而有些设备,比如说无线路由器,它们的MAC地址就打印在设备的背面。同时,我们还可以通过其他的方式来获取设备的MAC地址。 我们可以试想一下,当我们每天搭乘公共交通穿行了整个城市,当我们在商场购物或是和朋友在餐厅聚餐的时候,你的智能手机可以帮助你付费、点单和导航。如果你的智能手机接入到网络热点当中进行互联网访问的时候,它就可能会在这一系列的过程当中来广播其MAC地址。我们前面提到了MAC地址在网络通信当中的唯一性,你又是智能手机的使用者,那么这部智能手机的MAC地址从某一角度来讲,就代表了你在无线通信过程当中的身份认证。因此就存在这样一种可能,一些怀有恶意的人通过一些其他的无线通信设备,可以获取你的智能手机进行数据交互时的MAC地址并且记录了MAC地址出现的日期、时间和相关的位置,那么你的行踪就可以被监控,如下图所示。 使用蓝牙技术,也可能面对上面的这种问题。因此在蓝牙4.2核心规范当中,对上述问题提出了一种解决方法。要了解这个解决的方法,首先要现从蓝牙设备的地址说起。和其他的无线通信技术类似,蓝牙设备也有自身的设备地址,我们在蓝牙的核心规范当中,通常称其为BD_ADDR(Bluetooth Device Address),BD_ADDR将会在蓝牙设备诸如连接和配对的过程当中起到设备识别的作用。对于蓝牙设备,可以使用公有地址(Public Device Address),也可以使用随机地址(Random Device Address),但无论是使用公有地址,还是随机地址,它们的地址长度都是48比特,也就是6个字节。 公有地址的构成包含了两个部分,一部分是公司识别码(Company ID),其需要通过IEEE注册机构付费获得,公司识别码长度为24比特,处于48比特设备地址的高24比特;另外一部分是公司分配码(Company Assigned ID),其长度也为24比特,处于48比特设备地址的低24bit,如下图所示。 公有地址 除了公有地址,蓝牙设备也可以使用随机地址进行相关的网络操作。蓝牙的随机地址有包含两种:静态地址(Static Device Address)和私有地址(PrivateDevice Address)。由于静态地址和本文的主题—如何使用蓝牙4.2保护隐私关系不大,这里我们重点介绍一下私有地址。在私有地址的定义当中,又包含了两个子类:不可解析私有地址(Non-resolvable Private Address)和可解析私有地址(ResolvablePrivate Address, RPA)。所谓不可解析的私有地址,就是蓝牙设备地址在周期性的变化,并且这个地址无法被其他设备所解析,我们可以认为它就是一个随机数。不可解析的私有地址可以保护用户的隐私,因为不断变化的设备地址使得任何设备都无法通过记录蓝牙设备地址的方式来对用户进行跟踪,但这样的保护方式也意味着可信任的设备也无法这个蓝牙设备的真实身份,因此我们着重介绍可解析的私有地址。如下图所示,智能手机的设备地址在不断的变化,因此即便是设备地址被获取,也无法解析出设备的真实身份,除非具有某种解析密钥。 可解析的私有地址意味着蓝牙设备地址BD_ADDR在周期性的不断变化,可以保护用户的隐私不被跟踪;同时由于其是可解析的,因此配对设备(Pair Device)可以通过这个私有地址解析出蓝牙设备的真实身份。因此,我们要了解可解析的私有地址是如何产生的? 假设有两个蓝牙设备,分别是设备A和设备B,在两个蓝牙设备A、B建立连接之后,这两个蓝牙设备可以通过配对的方式交换各自的身份解析密钥IRK(Identity Resolving Key, IRK),设备A的身份解析密钥IRK-A,设备B的身份解析密钥IRK-B。假设设备B采用了可解析的私有地址机制,那么设备B就需要周期性的产生可解析的私有地址。下图是可解析随机地址的结构,其中可解析随机地址的高两个比特分别为0和1,作为可解析地址的标识符。 可解析私有地址 当设备B需要生成随机地址的时候,其内部会首先生成一个随机数prand,基于prand随机数,设备B需要利用哈希hash算法生成可解析随机地址的另外一部分,hash。prand随机数和哈希hash分别占用24比特,计算公式为: 哈希hash = ah(IRK-B, prand随机数) 其中函数ah在蓝牙4.2核心规范第3卷H部分2.2.2章节有详细介绍,此处不再赘述。当设备B具有了prand随机数和基于prand随机数生成的哈希hash之后,通过移位相与的方式,就可以生成可解析随机地址RPA。 RPA= hash|| prand 那么设备A该如何解析RPA呢?当设备A收到一个蓝牙设备地址BD_ADDR,并且这个地址的地址标识符表明其是一个可解析随机地址,设备A首先将这个地址拆分为prand随机数和哈希hash。接下来其利用之前与设备B配对时获取的IRK-B,通过函数ah来生成一个本地哈希localHash。 localHash = ah(IRK-B, prand) 如果生成的本地哈希localHash与拆分得到的哈希hash相等,说明这个地址是设备B所产生的可解析随机地址;如果不等,代表解析失败。设备A可以利用其获取的其他设备的IRK对这个地址就行解析。下图是一个地址解析的流程图。 地址解析流程 因此,对于可解析随机地址的解析,我们可以认为它是一个穷举的过程。任何设备在收到一个可解析随机地址的时候,都会利用其本地所存储的所有IRK对这个可解析随机地址进行哈希比对,如果相符,解析过程终止,这个地址的真实身份可解析;如果所有的IRK都无法对这个地址进行解析,那么解析失败。 通过上述的方法,蓝牙设备可以通过采用可解析随机地址的方式来对设备隐私进行保护,进而对设备使用者的隐私进行保护。采用了可解析随机地址之后,蓝牙设备的地址是周期性不断变化的,所以即使通过其他方式获取了蓝牙设备的地址,也无法通过设备地址出现的时间和地址来对设备进行跟踪。只有那些经过配对过程完成了身份解析密钥IRK交互的可信设备,才能对可解析随机地址进行解析。

    时间:2016-01-04 关键词: 隐私 蓝牙4.2

  • 苹果对第三方App下手:将采用新追踪限制

    近日,据匿名知情人透露,苹果很快会有新的行动来收紧用户隐私,第一步即从儿童应用开始。报告中提到,对用户在不知情的情况下通过应用泄露个人信息的问题,苹果将采取新举措。   在报告中,WSJ的Joanna Stern和Mark Secada测试了80个iOS应用,来检测它们是如何跟踪并与第三方共享用户数据的。这80个程序大多数都在App Store里被宣传为“我们最喜欢的应用程序”,经过检测,它们中只有一个没有对用户进行信息追踪。在其他应用程序中,第三方跟踪器被广泛应用于营销、广告和用户分析,平均每个应用都配有四个追踪器。   该报告还提出一个观点,最大的问题不是数据收集或是数据共享,而是这一切的营销和广告都是在用户不知道的情况下进行的。测试者发现,有一款名为“好奇世界”的儿童应用程序,它就在用户不知道的情况下,收集用户的年龄、姓名以及其他相关信息,并将这些数据发送给Facebook。   报告指出,虽然苹果已经为iOS提供了一些通用的隐私设置,但目前依然没办法做到在应用程序中找出所有追踪器。 据爆料,苹果为解决这个问题,将开始“限制App Store中儿童应用中的第三方跟踪”。苹果此次再次关注用户的隐私泄露问题,对于消费者来说是好事。

    时间:2019-06-02 关键词: 苹果 隐私

  • 慎用WiFi万能钥匙 蹭网背后隐私泄露

    很多人都曾曾在手机上安装过类似“WiFi万能钥匙”的软件。这款号称“覆盖1.2亿WiFi热点”的软件,仅Android平台下载量就达5.8亿次,app store免费应用排行第一,仅10多天下载量就达到6.8万次。近几日,知乎网友“CATT L”发表帖子,指出用户使用该软件时可能泄露个人信息,招来风险。使用WiFi万能钥匙时,真会泄露隐私吗? 记者体验 “蹭网”神器确实有效 “WiFi万能钥匙”是一款自动获取周边免费WiFi热点并建立连接的软件,通过云端内置千万用户分享的WiFi热点数据进行连接。记者下载该软件,首次进入时,会默认自动备份,选择同意就会将曾使用的WiFi密码分享到云端。试着搜索附近WiFi,列表中出现四五个热点显示已加密无法连接。记者点击加密的热点,选择万能钥匙自动连接,在不知道密码的情况下,该软件在一两分钟内成功连上了2个以“TP-LINK”开头的加密热点。 网友段小姐,一年多来一直用WiFi万能钥匙“蹭网”。她觉得这很方便,看了网友“CATT L”的帖子后,她说:“用软件都是直接进入,从没注意过默认设置。”同样,记者在采访中了解到,不少网友都会选择软件默认设置。 网友质疑 WiFi钥匙会泄露隐私 在网友“CATT L”的帖子《如何看待严重侵害公众利益的软件“WiFi万能钥匙”?》里提到,用户默认自动分享时,WiFi万能钥匙通过访问手机系统内存储有WiFi相关数据的关键文件,将密码存储在云端。其他用户使用该WiFi时,软件直接从云端调取密码。网友“CATT L”认为,在分享密码的过程中,会泄露用户个人信息,带来安全风险。 3月3日当天,WiFi万能钥匙开发方发出声明称,所有密码都经过用户同意分享,用户可随时关闭分享,或选择不分享。WiFi密码在传输和服务器保存时,都是采用了128位加密后的密文。用户在登录热点时,黑客并不能毫无障碍地进出手机,其他用户在使用软件时,云密码在手机本地保存,连接成功后即被删除。 原理分析 黑客通过“分享”入侵 “用户默认分享密码会增加手机的安全风险。”手机安全专家陈冲表示,尤其是安卓手机,WiFi密码是明文保存在手机里的,即便是加了密的云端,黑客仍可以通过一定的技术手段获取WiFi密码。 如果你碰巧拿着装有类似WiFi万能钥匙软件、默认分享密码的手机到了朋友家连上WiFi,朋友家又恰好开着WiFi,你就会在无意中将朋友家的WiFi密码分享到云端。当你用该软件连上邻居家已经被泄露密码的WiFi时,你的手机也会遭遇安全风险,这不仅会泄露你朋友的隐私,也会给其他连上WiFi的用户带来风险。如果黑客通过修改路由器DNS地址的方式,将正规网站的地址定向到一个钓鱼网站,风险就非常大,用户的网银、支付宝都可能被盗刷。 互联网专家认为,分享WiFi密码确实存在安全隐患。如果担心别人手机安装的WiFi万能助手等类似软件泄密,及时修改密码就能有效避免。

    时间:2015-03-06 关键词: Wi-Fi 通信 隐私

  • 美科学家研发无人机专用LED灯组飞行牌照

    今年到现在,美国商业飞行员已经向联邦航空管理局(FAA)报告了650起无人机干扰飞机正常飞行的事件,但在所有这些无人机中,只有很少一部分能追踪到操控者。我们完全可以想象,随着无人机的成本越来越低,功能越来越强,未来所引发的投诉,以及潜在的危险和侵犯隐私问题势必会越来越多。 加州大学伯克利分校的研究人员正在测试一个名为“Lightcense”的项目,他们开发了一款无人机牌照,希望以此能更好的监管无人机操控者。研究人员用明亮、彩色的LED灯组成了一个矩形阵列,然后把灯组绑定在无人机底部。LED灯会按照独特的方式闪烁,执法人员可以根据不同的闪烁方式搜寻无人机数据库,然后找到相应的机主信息。 LED牌照可以通过一款手机应用,或执法人员将配备的摄像头解码,也能用肉眼识别。Asilan Foina是加州大学伯克利分校卡尔无人机航空研究实验室主任,他认为如今最主要的,还是缺乏针对无人机使用的公共问责机制。 为了规范个人和企业使用无人机,FAA正在制定相关法律法规。包括亚马逊和Google在内的公司,都计划使用无人机提供快递服务,此外无人机还可以用于大型农场监控。不过,当成群的无人机在我们头上飞旋,势必会引发各种安全和隐私问题。 NASA正在研发无人机追踪和空中管制系统,此外一些制造商会在自己开发的无人机里设置“禁飞区”,比如华盛顿特区中心。还有一些人认为,商用无人机应该像常规飞行器一样采用无线电定位信标。 不过Foina认为,无人机采用牌照管理模式显然更适合当下的环境。如果无人机在公共空间影响到你,你不可能去找美国空军或FAA,因为他们太“遥远”了,你唯一能做的还是找警察叔叔帮忙。而且,随着无人机的种类和数量日益增多,采用无线电信标定位并不能解决实际问题。     研究人员最先使用的是3D Robotics的无人机,他们在它底部安装了高亮度电子LED灯组(见上图)。白天测试时,牌照的裸眼识别距离可以达到一百米,如果在智能手机上搭载一个普通变焦镜头,那么识别距离可以延伸到150米。 此外,研究人员还在为执法警察研发一款特制摄像头,用于读取牌照信息。不仅如此,他们也基本完成了牌照改造设计,使用一个和智能手机大小的硬盒来装载LED灯组牌照、标准飞行器定位信标、以及电池。预计未来,这套设备可以成为所有无人机的标准组件,而且在坚固外盒的保护下,即便无人机坠毁它也能继续运行。 也许无人机牌照可以有效解决目前的滥用行为,而且还能追踪到使用无人机干坏事儿的操作者。对于无人机制造商而言,增加LED灯组并不困难,而且成本也不高,只是不知道消费者是否愿意接受。

    时间:2015-08-26 关键词: 无人机 安全 隐私 led灯组

  • 研究显示 RFID标签可保护消费者的隐私

    欧盟资助的研究项目BRIDGE得出结论,在符合标准的RFID标签里可以添加安全技术,使标签在零售商店使用时避免泄露消费者的隐私。标签安全研究组(Tag Security Research Group)发布的白皮书里给出了关于符合EPC global标准的RFID标签安全技术的相关细节。在RFID标签离开商店时,这项技术可以使标签暂时处于停顿状态——这意味着此标签不能再在别的地方阅读,以防泄露消费者的隐私。然而,如果需要的话,就是说在商品返回到零售商那里的时候,比如逆向物流和商品维修,标签就会重新被激活。英国GS1标准机构的EPC global的业务经理David Lyon说:“随着这些符合标准的安全问题的解决,RFID在跟踪商品认证、保养、维修、退货和逆向物流的时候,零售商可以从每个环节中得到好处。同时,由于客服方面更快的回报和更高的效率,这也将给消费者带来更好的购物体验,它还将提供给消费者安全的商品,保证他们所购买的商品经过了合格的检验。而零售商也将能够有效地跟踪那些他们商店里需要处置、回收和再出售的商品。”

    时间:2009-07-17 关键词: 保护 标签 消费者 隐私

  • 苹果摊上大事了:Siri泄露用户隐私

    近日,苹果智能语音助手Siri将包含用户隐私的录音发送至国际承包商进行人工分析的问题,苹果回应称,用户被录音的比例不到Siri日活的1%,而且大多数录音内容仅持续几秒钟。苹果的声明表示,将录音发给国际承包商进行人工分析的目的是改善服务质量。 苹果的声明表示,将录音发给国际承包商进行人工分析的目的,是改善服务质量。用户请求与用户的账号信息没有关联,录音会在安全的环境下进行分析,所有审核人员都有义务遵守Apple严格的保密要求。 用户请求与用户的账号信息没有关联,录音会在安全的环境下进行分析,所有审核人员都有义务遵守Apple严格的保密要求。     据了解,除Siri之外,亚马逊的Alexa、谷歌的Google Home等服务都采用了人工评估打分的方式提升产品的表现,也曾经引发外界对隐私泄露的担忧。不过,亚马逊和谷歌均允许用户选择自己的录音不被用于某些用途,但苹果用户只能选择关闭地点信息或完全禁用Siri。 但外媒此前的报道中援引承包商内部人士的爆料称,苹果并未明确告知用户被录音和分析的情况,这些录音行为也没有排除用户无意中触发Siri的情况,因此可能听到用户并不希望被记录的对话,包括自己的姓名、位置、联系方式等信息。

    时间:2019-07-28 关键词: 苹果 siri 隐私

  • 隐私危险:路由器是下一个艳照门?

    近日,国家互联网应急中心发出了预警,“D-LINK、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全‘地雷’。” 预警发出后不久,已经有“好奇”的网友开始试验。一网友通过微信公众号晒出了自己成功破解隔壁“女神”的WiFi密码。该网友还黑进了“女神”的电脑、手机,控制了“女神”的微博等个人社交账号。而这一切的一切用时还不到5分钟!由此也诞生了一句经典名句:用路由器容易,设密码不易,路由器且用且当心! 很显然,在整个过程中,路由器扮演了一个十分“脆弱而尴尬”的角色。为了降低宽带的使用成本,增加宽带的实际使用效率,不少朋友都选择使用路由器,像以往那种一根网线一台电脑独霸的情况早已一去不复返。取而代之的是,在住宅中几个人或几台设备使用一个网络;在公司里几十号人或者几百号人共用一个宽带。上网方便、连接简单也成为路由器全面普及的重要原因。 虽然大家都在使用路由器,但是对于路由器的原理和设置却知之甚少,更别提什么安全防护措施了。而最新爆出的“路由器后门漏洞”和“网友秒破路由密码”等新闻,才引发大家更多的关注。尤其是那些喜欢在电脑和手机中放些小电影的宅男们;喜欢自拍美颜大秀恩爱的女神们更加需要密切了解和重视。那么,作为普通用户到底可以做点什么,才能不让路由器成为下一轮艳照门的始作俑者? 笔者结合自身的使用习惯和经验,为大家提供以下建议,请宅男和女神们且行且参考。 1、针对路由器自身的后门和漏洞问题,最好的办法就是升级固件。这个和给电脑系统安装补丁的道理如出一辙。因为任何产品都不是最完善的,即使像Windows这样成熟的产品,每年也会推出N多系统漏洞补丁,这些补丁大多数都能帮助系统提高安全性和稳定性。所以,路由器也是一样,检查自己的路由器型号,选择对应的漏洞补丁或者固件进行升级显得十分必要。 2、密码尽量设置的越复杂越好。简单的数字和字母的组合已经完全不能抵挡黑客们高超的技法和扫码软件的攻击。此前有文章曾专门对设置密码进行过详尽的研究,笔者的建议是在情况允许的情况下,将键盘上每个按键都充分利用上。比如如果密码设置为“123asd”就不如设置为“123*_¥asd”更安全。所以,大家可以根据自己的密码设定习惯来强化和复杂路由器的密码。 3、虽然说加强密码是个好办法,但我认为这个办法始终是治标不治本。因为“魔高一尺,道高一丈”。再强的密码,也难逃出扫码软件的瞬时计算,只不过是延缓了黑客破解的时间罢了。既然加密这种正面策略不行,那不妨试试不加密这种反面措施。你可能会问了,加强密码还防不住呢,不加密不就等于裸奔了吗?当然,既然不加密,肯定是有了更好的办法。那就是绑定MAC地址!无论电脑还是手机或是iPad,任何设备都有一个属于自己的唯一MAC地址,现在大多数路由器都提供了绑定MAC地址这个功能。用户只需要将自己被认可设备的MAC地址填入到路由器之中,即可起到“唯一保护的作用”。简而言之,就是被允许的MAC地址可以连接到路由器进而上网,所有未在允许列表范围之内的MAC地址(设备)都将被忽略或者提示“无法连接”。此举对于防止黑客入侵和蹭网起到了绝佳的防范效果。 4、在路由器中设置“禁止广播”,与上面绑定MAC地址相对应的就是这个“禁止广播”。很多路由器设置好之后,会自动生成无线网络的名称。这也就是大家到了一个地方之后,打开无线WiFi开关后看到的那一大串无线网络的名字。现在,我们要做的是让自家的无线网络不要出现在这一大串的公共列表范围之内。使用路由器中的“禁止广播”功能,可以隐藏自己的无线网络名称。也就是说除了你自己之外,别人是无法知道你这个无线网络的存在。 5、尽量不要修改DNS,使用运营商提供的标准DNS。有时候因为网络的原因,如果用户修改了DNS可以提升网页打开速度,减少网络识别时间。而因此可能要付出的代价就是牺牲安全性。所以,在非必要时刻尽量不要修改路由器的初始DNS,即使需要修改也尽可能的使用可信的和网络运营商提供的DNS地址。从而,减小因为DNS攻击而导致的路由器安全问题。 说了这么多其实只是“抛砖”,相信很多高手自有“引玉”之道。除了上文提到的,像固定内网IP地址,合理简化设置路由器内部功能等,对于提升无线网速和加强安全性都会有帮助。如果有朋友在刷新固件时遇到问题,或者不会查看和绑定MAC地址,忘记如何设置禁止广播等功能,或者与路由器相关的问题,欢迎大家关注微信:ksms2046,共同交流和探讨。 保护隐私,有你有我。别让路由器成为下一个艳照门的始作俑者!

    时间:2014-04-09 关键词: 路由器 隐私 一个 危险

  • 智能家居背后暗藏隐患

    智能家居背后暗藏隐患

     近日,未来学博士 Ian Pearson 发表了一篇关于10年后浴室智能化场景猜想的文章,结合人类现有的技术背景, Ian Pearson构想出一系列未来人类将在浴室内可体验到的智能化便利。 如通过智能镜子对身体健康进行评测,提供合理的妆扮建议;通过云数据同步,喷淋系统可根据室温及用户身体状况自动调节水温;以及包括可监测排泄物成分的智能马桶、可显示体重和体脂含量的地砖等具体场景。 当然除此之外,现阶段已实现的智能家居技术也不胜枚举:占据了家庭“至高点”客厅的智能电视及电视盒子,可观看4K视频,流媒体服务等;作为家居智能生态系统平台入口的智能路由器;还包括各显神通的家庭机器人,与此同时,主打安防和安监概念的智能家居设备似乎让留守家庭的安全顾虑也得到了解决。 厂商的功能展示,经销商的卖力宣传,媒体的概念炒作,几近将所谓的未来智能家居生活比作“世外桃源”,让坐享其成的我们不禁感叹智能化带来的各种福利。但是,……智能化家居背后暗藏危机? 据英国牛津大学的研究人员 Abdullahi Arabo在其关于智能家庭技术带来的隐私问题的论文中强调,“在现实中,智能设备所储存的信息比我们大脑中储存的信息都多。这么一来,智能设备很容易成为黑客、木马病毒和未授权用户下手的目标。” 若上述描绘的智能家居功能没有完善的安全防护措施作为地基,也仅是传说中的空中楼阁罢了。看上去智能化的家居生活,实则却将为我们带来更大的麻烦。 刚平息的XcodeGhost事件让被奉为固若金汤iOS系统狠狠中了一枪,大批iPhone用户甚至大量iOS开发者也因此开始重新审视App应用的安全性问题,而这一点在智能家居系统中仅是需要防范的一方面…… 厂商搜集数据,用户蒙在鼓里 据Electronic Frontier Foundation(国际非营利性的宣传数字版权和法律组织)关系部负责人Rebecca Jeschke 介绍:“智能家庭中的隐私信息非常详细。”通过分析家庭的用电情况可以知道这个家庭的作息习惯甚至可以知道家中使用了何种电器。他还说,“相信不久,人们就能从电表中看到一个家庭何时打开了电冰箱,还有多少食物等信息。这仅仅是电力方面透露出来的隐私信息而已。” 此前,就有媒体曾广泛报道LG、三星智能电视收集用户信息的问题。最初由LG的Web OS电视用户反映即便不换台、不使用互联网应用,LG电视依然会发送数据包。后LG证实了该问题并表示收集的数据仅能用于“技术合作伙伴”,并承诺推出固件升级、更完善的隐私政策来解决这个问题。随后,三星Smart TV也被发现存在数据收集问题,在使用内置的语音控制功能时,麦克风会收集用户语音信息。 事实上,不局限于是电视,很多同样拥有互联网、语音操控功能的家电设备,都存在隐私隐患。 据《英国每日邮报》称,Xbox游戏机、互联网电视盒甚至是智能恒温器,都存在数据收集带来的安全隐患。考虑到这些设备的平台都十分容易被黑客攻破,实则用户数据显然不仅仅被用于分析数据、进行营销那么简单,更有可能被传播或贩卖至商业公司。 黑客入侵终端APP获得家中控制权 现阶段而言,智能能源管理、远程门锁、室内监控等智能家居设备大部分采用蓝牙无线连接,通过智能手机、平板电脑和网页来实现操作。 与此同时,便利的远程操控也让隐私问题亮起了红灯。 通过智能家居APP我们可方便操控家里所有的智能设备。但如果一旦智能家居APP被病毒感染,相应的麻烦也将你焦头烂额。 通过盗取用户智能家居APP的账号和密码,登录用户家的网关,黑客可轻松“接管”整个智能家居系统,实现门窗、电视、空调、灯具等各种设备的开关,换句话说,你的远程控制权已移交至黑客的手中。更让人防不胜防的是,黑客通过窃取的用户隐私数据可轻松获得用户的家庭住址,并通过智能家居APP打开用户家的智能锁。 摄像头一旦破解,家庭隐私荡然无存 针对家中有老人、小孩等弱势群体的留守家庭而,安装具有室内监控的安防智能设备当然是不二之选,但一旦遭黑客破解,那被暴露的隐私问题也将是巨大的。 事实上,关于此类事件并不是危言耸听。腾讯新闻在7月15日报道,市民反馈自家带云台的网络摄像头”被黑”,自己的生活隐私遭泄漏。关于自家视频录像被传到网络上的新闻也不在少数。 针对此,硬件厂商所能提供的建议仅是固件升级;专家则提醒,可以通过经常改变摄像头登录密码、提高密码复杂度来尽量阻止黑客的入侵,如果只是家用,尽量不将摄像头联网使用。但这一定程度上必将损失原有的远程监控功能。

    时间:2015-10-09 关键词: 智能家居 隐患 安全 隐私

  • 第三代身份证不存在定位功能,网传消息不实

    昨天网上传出第三代身份证正在进行概念设计,一些功能已经得到了曝光,其中之一就是增加定位功能,这一消息引发了不少网友的热议,担心该功能会不会泄露居民的隐私。     现据@时间视频从官方权威渠道获悉,第三代身份证不存在定位功能,网传消息不实。 此前的报道称,身份证增加定位功能,当遗失后,可以在线上或公安部门追踪到身份证的位置。这样做可以有效避免身份证被盗用的现象,对于保护个人财产和权益有非常大的好处。 报道还称第三代身份证将新增集合银行卡、信用卡、社保卡、购物卡功能,可以通过指纹支付身份证中绑定的卡,可能只展现自己的户籍地而不显示具体的家庭地址信息,有可能会新增加USB功能等。 需要指出的是,该报道也称第三代身份证正在进行概念设计,因此目前这些功能是否真的实现还是未知数。

    时间:2019-04-10 关键词: 身份证 隐私 定位功能

  • 俄罗斯通过安全隐私新法规:必要时可切断国际互联网

    据美国财经网站CNBC报道,俄罗斯议会本周通过了一项新法规,可能进一步将全球互联网公司隔离在俄罗斯之外。目前,这项新法规还有待俄罗斯总统普京(Vladimir Putin)的签字。 俄罗斯将这项法律定位为一项安全和隐私措施,旨在对抗美国日益咄咄逼人的网络安全立场和日益危险的总体安全威胁形势。但俄罗斯境外的活动人士和其他国际观察人士表示,这项法规将使普京政府对国内的互联网流量拥有更大的控制权。 当前,俄罗斯在允许美国社交媒体公司进入该市场已经保持相对严格的控制,并利用俄罗斯政府支持的替代性服务,以取代Facebook和谷歌Gmail等服务。 这项新法规名为《Stable Runet》,法将赋予俄罗斯通信监管机构Roskomnadzor更广泛的权力,以监控网络流量,并可能提供一个“关闭开关”,即在发生网络攻击时,将俄罗斯与更广泛的互联网断开。 有业内人士称,无论如何执行这项法规,它都可能会进一步助长所谓的“互联网巴尔干化”,即全球网络空间将进入一个“被主权壁垒分割”的“碎片化”时代。

    时间:2019-04-18 关键词: 互联网 安全 隐私

  • 解密福特即将推出的隐私安全系统

      21ic电子网讯:如今,各大车企开始致力于研发车载互联系统,例如福特的SYNC车载系统。他们在关注汽车本身性能的同时,也开始更加注重汽车的“内在修养”。然而,当互联网逐渐延伸到汽车领域之后,如何保证驾驶者的出行隐私就成为了一个不可避免的问题,就像我们的电脑和手机随时有可能被黑客侵入并窃取信息一样。近日福特公司似乎正在针对这一问题考虑相应的措施,福特汽车总裁兼首席执行官艾伦·穆拉利表示:福特目前正在同部分关注驾驶人员数据隐私的立法委员展开合作,有望推出隐私保护系统。  福特汽车总裁兼首席执行官艾伦·穆拉利日前在底特律车展表示:“非常重要的一点是,我们必须有所约束,并遵循规定办事。现在,我们的家、汽车和几乎所有事物有将被互联网连接起来,但相应的法规却还没有制定出来。”福特表示,车载系统在汽车行驶途中所收集的数据所有权归车主所有,且只有在他们同意的情况下才能用于他处。  目前福特已经推出了一款SYNCApplink平台技术,其可以通过手机和车载系统的交互来实现各种功能。在未来福特有望根据这一系统开发出相应的保护隐私措施。保护隐私是我们每个人的权利,互联网时代已经使我们的隐私受到很大的挑战。而不久之后,随着智能汽车时代的到来,本来私密的汽车内空间也可能变得“开放”,我们在车中储存的信息、目前的位置甚至违章信息都可能会被别人所掌握。  未来的车载系统将很可能以智能手机为中心,使汽车与互联网联动越来越普遍。而经由智能手机和互联网控制的车内信息一旦泄露,我们的隐私将受到一定的威胁。网路连接时,用户在驾驶过程中甚至会遭到黑客袭击,从而可能导致危险和故障的发生。美国交通部长AnthonyFoxx曾表示:“在高新技术出现同时也伴随着许多的问题的凸显,我们需要对此做出回应。但是每项技术和应用都不相同,这就要在既保障用户舒适便捷体验的同时将隐私保护也放在首位。”在汽车科技快速发展的今天,隐私保护也应该跟上科技发展的步伐。

    时间:2014-02-03 关键词: 解密 隐私 福特 即将

  • iOS系统推出新规定,用户隐私问题被重视

    iOS系统推出新规定,用户隐私问题被重视

     在当今社会,手机已成为人们生活中的必备品。他们不仅将为我们提供电话服务,还将提供实用的网络服务,从而使我们的工作和生活更加轻松。毫不夸张地说,只要有时间,用户几乎总是在和手机相处。“手机离身与否”不再是用户能决定的事,因为手机支付和生活中的信息获取都需要手机。因此,手机的作用变得越来越重要。 虽说如今市面上有许多手机品牌,可如果要按照系统划分,大致应该是iOS和安卓两个阵营,虽然也有使用其它操作系统的手机存在,可毕竟是少数。与iOS系统相比,安卓系统有许多天生的缺陷,例如系统不封闭,进而导致使用者有权利进行更改,所以市面上有许多版本的安卓系统,即使根源来自于安卓,可是已经和原生安卓相差越来越多。在安卓系统推出初期,谷歌为了快速占有市场而使系统开源,进而让自己占有最大的市场。 可实际上,安卓虽然拥有最多的份额,可体验的体验效果并不如iOS,尤其是在常年使用之后,iPhone和安卓手机之间的差距会越来越大。这也是iPhone产品能够一直被用户喜爱的原因,此外,iOS系统的服务也更让人舒服,由于是一款封闭型系统,所以用户的使用数据更容易被保护。言外之意就是,iPhone手机非常注重用户隐私的保护,虽说此前苹果做的已经很好,可最近有消息显示:苹果上线iOS新规定,隐私问题再被重视。 在这次上新的规定中,苹果明确表示:未来iPhone软件所获取的任何权限都需要用户确认,并且是每次使用权限都需要确认。如果你想让系统不屡次提示,可以前往设置界面进行授权设置,否则iPhone软件无法直接获取权限。此外还对地理位置权限进行了特别处理。事实上,这一规定已经被数亿用户期待许久,相信任何一个用户都不希望自己的隐私被获取,即使是正规渠道获取,也会让人非常反感。可一些软件偏偏需要获取权限才能使用,尤其是安卓系统软件。 去年12月,工业和信息化部发布了软件违规列表,其中包括QQ等一系列软件违规,并责令其更正。尽管负责任的服务已开始纠正,但它们无法接受授予授权,并且用户仍无法使用该软件。苹果公司引入了新的系统规则后,用户可以致电Google并期待未来的Android系统也可以改善用户数据保护的管理。 相较于这种情况,Google短期内将不会实施此法规。但是,如果Android和iOS相比,您更喜欢哪个?

    时间:2020-01-03 关键词: 谷歌 iOS 隐私

  • 美检察长指控谷歌侵犯隐私:收集学龄儿童数据

    北京时间2月21日早间消息,美国新墨西哥州总检察长赫克托·巴尔德拉斯(Hector Balderas)周四对谷歌提起诉讼,指控谷歌从该州的学龄儿童那里收集个人信息,侵犯了他们的隐私权。 巴尔德拉斯指控该公司未经儿童父母同意,使用其Gmail、日历和云盘等产品套件来收集13岁以下学生的信息。 他说,这种收集个人数据的行为违反了《联邦儿童在线隐私保护法》和《新墨西哥州不公平行为法》。 谷歌发言人何塞·卡斯塔内达(Jose Castaneda)否认了这一说法,并表示学区可以决定如何在课堂上最好地使用这些工具。 他补充说:“教育版G Suite允许学校控制帐户访问权限,并在必要时要求学校征得家长的同意。” 2018年,巴尔德拉斯对谷歌和其他几家科技公司提起了类似的诉讼,指控他们从为儿童制作的移动应用程序中非法收集数据。两家公司否认有任何不当行为,此案仍在等待联邦法官的裁决。 去年9月,谷歌的YouTube视频服务被要求向联邦贸易委员会(FTC)支付1.7亿美元,以和解关于其收集儿童个人信息的行为违反联邦法律的指控。 社交媒体公司一直在全球范围内因为其政策和数据监控实践(尤其是针对儿童的政策)面临监管审查。Facebook本月初表示,该公司计划在其消息应用中为13岁以下的用户添加新的工具和功能,从而实现家长控制。(思远)

    时间:2020-03-04 关键词: 谷歌 隐私 检察长 学龄儿童

  • 愤怒!下载量超3500万的20余款App,居然秘密收集数百万用户数据

    愤怒!下载量超3500万的20余款App,居然秘密收集数百万用户数据

    众所周知,2015 年以来,Sensor Tower 至少推出了 20 个 Android 和 iOS 应用程序,在全球范围内的下载量超 3500 万次,并且在应用描述中并表明与 Sensor Tower 有关,也并未透露会向 Sensor Tower 提供用户数据。 3月9日,外媒 BuzzFeed News 调查发现,面向科技开发商和投资者的知名移动应用数据分析公司 Sensor Tower 利用 Android 和 iOS 端的 VPN 和广告拦截应用程序,秘密收集数百万用户的数据。 提示用户安装根证书 雷锋网了解到,当安装完毕时,上述应用程序会提示用户安装根证书(雷锋网注:root certificate,即在密码学和计算机安全领域中未被签名的公钥证书或自签名的证书),允许发行商访问通过手机传输的所有流量和数据。 对此,杀毒软件 MalwareBytes 的 Android 分析师 Armando Orico 表示: 给应用程序安装根证书,用户会面临巨大的风险。而一般用户只是觉得这样做可以屏蔽广告,意识不到问题的严重性。 此外,BuzzFeed News 发现了这些应用程序包含由 Sensor Tower 的开发人员编写的代码,从而将它们与 Sensor Tower 联系起来。 Sensor Tower 的一名开发者也表示,开发了 Android 应用程序,其 GitHub 用户名是多个应用程序的代码。另一位 Sensor Tower 开发者也在个人网站称,他正在“研究非常棒的顶级机密 iOS 项目”。 不过,Sensor Tower 向 BuzzFeed News 解释,只收集匿名使用及分析数据,这些数据已集成到其产品中。开发者、投资者和发行商等只是通过这些应用的智能平台来跟踪其受欢迎程度、使用趋势和盈利能力。 Sensor Tower 移动分析总监 Randy Nelson 回应,出于竞争的考虑,没有披露这些应用的所有权: 人们确实很容易把这类应用程序与分析公司联系起来,尤其是这家分析公司还是个初创公司。不过我们公司最初的目标是打造一个广告拦截器。这些应用程序并未收集敏感数据或个人身份信息,比如密码、用户名等。另外,绝大多数应用程序现在已经不可用了。 注意到,Randy Nelson 无法向媒体证明这些应用程序起初只是在打造广告拦截器。 多款应用已在 App Store、Google Play 下架 应用程序“不再可用”,通常是由于违规。 例如,如果 Luna VPN(Sensor Tower 的众多应用程序之一)用户添加广告拦截扩展,该应用程序会显示通知,提供在 YouTube 上拦截广告的功能,而根证书安装就是这样开始的。 因此,苹果发言人表示: 12 个 Sensor Tower 旗下的应用程序由于违规,已在 App Store 下架。 据悉,Google Play 商店曾有四款 Sensor Tower 旗下的应用程序——Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus。而在 App Store 的是 Adblock Focus 和 Luna VPN 两款。 在 BuzzFeed News 调查结果公布后,苹果下架了 Adblock Focus,谷歌下架了 Mobile Data。苹果和谷歌目前还在做进一步的调查。 实际上,考虑到用户的信息安全问题,苹果和谷歌都限制了应用程序的根证书特权。而 Sensor Tower 的应用程序绕过了限制——在下载应用程序后,提示用户通过外部网站安装证书。

    时间:2020-03-11 关键词: 隐私 用户数据 下载量

  • 网络黑产最大漏洞曝光:摄像头泄露多少隐私?

    网络黑产最大漏洞曝光:摄像头泄露多少隐私?

    近日,国家互联网应急中心下属的关键基础设施安全应急响应中心发布报告称,半个多月的时间内,针对特定漏洞的物联网恶意代码攻击事件数达到6700万次,单个组织对数十万个IP地址发起攻击尝试。可以认为,只要物联网设备暴露到互联网上,随时有被攻击的可能,并且可能被不同组织反复攻击。 众所周知,无论是在公共场合还是私人空间,人们安装摄像头的初衷都是为了安全或者便利,但是现在,很多黑产团伙把摄像头作为新的攻击目标,它们反而成为了人们隐私泄露的安全隐患。随着物联网的发展,摄像头已经成为人们生活中的一个寻常物件。这并非危言耸听。今年2月12日,国家互联网应急中心发布一则预警通报称,“近期,境外黑客组织声称将于2月中旬对我国发起网络攻击,以我国多家视频监控系统作为攻击目标,并公布了其掌握的一批相关视频监控系统在用境内IP地址”。 那么暴露在互联网上的摄像头有多少个?此前发布的《2018年摄像头安全报告》有过统计,截至2018年11月底,全球共有228个国家8063个城市中的2635万个摄像头设备对公网开放访问权限。其中,中国位列第三,共有165万个。 由此可见,处于不安全状态的摄像头并不在少数。3月25日,21世纪经济报道记者采访了化名为KK的腾讯守护者计划安全专家,他表示,在与网络犯罪对抗中,永远是犯罪走在前面,这也要求我们要时刻关注网络安全发展,尤其是在技术变革的时代,特别容易出现技术漏洞。 但KK也表示,对于网络安全也不必过于恐慌,国内的安全公司在对抗黑产过程中也沉淀出了很多方法论,只要能够保证对新技术的及时掌握及提高警惕,还是能起到很大的防御作用。 罪恶的窥私欲 网络黑产的出现,都是受利益所驱动。摄像头背后能有哪些利益?KK告诉记者,黑产链大概分为摄像头破解工具开发出售、网络摄像头扫描、摄像头视频搜集售卖三个环节。 其中,摄像头破解工具的开发和出售处于黑产链条的最上游。这些掌握技术能力的黑产团伙开发出的软件具有扫描功能,可以批量获得摄像头ID,然后进行弱口令探测。 而“网络摄像头扫描”则是黑产链条的中游,一些黑产团伙在获得上游提供的破解工具后,开始大批量的“攻击”网络摄像头,当成功获取了网络摄像头标识ID后,便批量廉价出售。在国外的通讯工具上,就曾发现有人198块钱打包出售500个摄像头ID号。 KK告诉记者,在售卖摄像头ID环节,有些黑产人员会一个一个ID去筛选,然后将有涉及公民隐私特别是一些敏感画面的ID,单独打包出售,往往这样的ID可以卖得价钱更高。 黑产链条最下游就是直接售卖摄像头视频。当黑产团伙拿到大批量偷拍或者监控视频,如在住宅楼道、车站、宾馆等隐私场所的视频后,会按照敏感及隐私程度明码标价,然后出售给以“色情网站”为主的其他黑产团伙,实现盈利。 摄像头黑产链条的上中下游,获利的方式都各不相同,一位网络安全与犯罪研究人员告诉记者,从现有的判例结果来看,通过摄像头后续进行犯罪的,超过50%都是用于敲诈勒索。但需要注意的是,这里面也包括了那些针对某一个被害人,专门安装摄像头拍摄及敲诈勒索的偷拍案例。 另外一位从事网络安全的人士表示,网络黑产之所以存在,都是因为最终有人愿意为之买单。像摄像头盗拍,最终目的就是为了获取隐私画面,因为他们知道一定有人愿意花钱满足自己的窥私欲。 最近,韩国的N号房事件闹得沸沸扬扬,也让隐私保护的话题再次升温。但KK坦言,目前国内黑产的水平,无论是精细化程度还是产业链条的成熟度,都已经走在了国际前列。而且随着国内安全行业以及政府部门的不断打压,部分黑产团伙正开始向境外转移。 安全意识弱是最大漏洞 据KK介绍,目前黑产团伙攻击网络摄像头的方式主要有以下几种:一是针对摄像头终端,黑产团伙通过调试摄像头硬件上的接口固件以及对设备序列号篡改的方式,获取硬件编码等敏感信息并进行协议破解。 二是针对手机端摄像头应用,黑产团伙会进行静态反编译,通过通信安全进行中间人攻击以及协议的抓包和诱骗;三是针对云端,一些摄像头的数据会传至云端,黑客则通过渗透WEB访问界面的子域名,进行信息窃取。 在与黑产的对抗过程中,KK发现摄像头的安全防护也确实存在一些难点。他表示,网络摄像头作为物联网设备本身就很容易存在技术漏洞,同时一些软件都是固化在硬件上,很难及时更新填补。 更为重要的是,大多数用户对摄像头的安全意识还不足够高。“他们在选购摄像头的时候,只会从外观上看好不好看,并不去了解网络安全性,而且很多用户把摄像头买回来就直接用弱口令或者默认密码直接使用,这些都给黑产团伙留下了可乘之机。”KK说。 某品牌网络摄像头的研发人员告诉21世纪经济报道,市场上主流的摄像头公司,都会把安全性放在非常重要的位置,但是,在安全问题上没人敢做出百分之百的保证,而且目前隐私泄露的最主要原因,都是由于用户的大意而造成。 “黑产使用像暗网这样的平台工具,就是因为它的隐匿化,包括很多黑产的资金都开始利用比特币,这都给黑产的追踪溯源带来了难度,但这也是全球性的问题。不过,现在黑产的产业链条变得很长,只要有一个环节出现漏洞就能够挖掘到一些线索。”KK说。

    时间:2020-03-27 关键词: 隐私 网络摄像头

首页  上一页  1 2 3 4 5 下一页 尾页
发布文章

技术子站

更多

项目外包

更多

推荐博客