微闻

标签: 用户

  • ChatGPT Plus用户可享受联网功能

    ChatGPT Plus用户可享受联网功能

    ChatGPT 现在有支持联网的官方版本,面向 Plus 用户灰度发布

    根据 Reddit 和 Twitter 用户的说法,网络访问插件似乎可供一部分的 ChatGPT Plus 用户使用,为 AI 聊天机器人带来了新的体验。Twitter 用户Zacknotes 声称,ChatGPT 现在可以使用这个革命性的插件从 CNN 和 NYTimes 获取最新的头条新闻。(Times Now)

  • 中国 ChatGPT 应用可能违反了用户隐私

    中国 ChatGPT 应用可能违反了用户隐私

    一些中国国内基于 ChatGPT API 开发的诚实应用告诉用户输入内容包含敏感词并且已经记录了用户的IP地址。

    当前,由于中国 GFW 和 OpenAI 的双向阻拦,中国一般用户已经很难直接使用ChatGPT,这为自建应用提供了巨大的商业机会。在使用这些应用时应该了解它们几乎肯定会收集用户输入的内容。

    由于无法预期运营方的道德和法律认知水平,这些被收集的信息有可能给输入敏感内容的用户带来潜在的问题。

  • 高通公司收集 smartphone用户位置数据

    高通芯片的智能手机暗中把私人信息发给高通公司,刷入第三方开源系统无用。

    高通公司(Qualcomm)正在从智能手机中收集用户的位置等数据,而这些数据的收集没有得到用户的同意。这些数据被发送到一个名为“ izatcloud.net ”的服务器上,这个服务器是高通公司拥有的。数据是通过未加密的HTTP协议发送的,这意味着它可以被同一网络上的其他人拦截和查看。设备和操作系统的服务条款中都没有提到这种数据收集。这似乎违反了欧洲通用数据保护条例(GDPR)。高通公司为此数据收集进行辩护,指出他们的XTRA服务的隐私政策,该服务用于为移动设备提供辅助GPS(A-GPS)和精确的卫星位置。

    Qualcomm的XTRA服务并不是Android的一部分,而是直接从他们称为 AMSS 的 Qualcomm 固件运行,这个隐蔽的操作系统在宽带处理器(调制解调器)上运行,并管理与基站的实时通信。在操作过程中,隐蔽的操作系统(AMSS)完全控制着硬件、麦克风和相机。

    —— Nitrokey

  • 谷歌 confirms 500 million file limit for cloud storage users

    谷歌确认云端硬盘有文件数量最多500万个的限制,但限制是针对用户维度

    编注:此前一名用户在 Reddit 发帖说自己突然被要求删除200万个文件,但Google从未在任何文档中提到有文件数量上限(不是共享磁盘)。这些限制影响 Google One 和 Workspace 的用户。

    谷歌发言人向 Ars 证实文件限制不是错误,称 500 万文件上限是“防止以可能影响系统稳定性和安全性的方式滥用我们系统的保护措施”。该公司澄清说,该限制适用于“一个用户在所有云端硬盘中创建文件的总数”,而不是限制单个云端硬盘中所有文件的总上限。对于个人用户来说,区别不大,但如果您与多个帐户共享存储空间,这就很重要了。

    谷歌补充说,“这个限制不会影响我们绝大多数用户使用他们的谷歌存储的能力。实际上,这里受影响的用户数量微乎其微。”

    —— ars technica

  • Tiktok CEO 承诺为美国用户建立防火墙

    Tiktok CEO 承诺为美国用户建立防火墙,防止外国访问数据

    华盛顿——根据他的证词,TikTok 首席执行官周受资计划在周四备受期待的国会听证会上就平台安全和保障做出一系列广泛承诺。

    周先生将承诺将中国拥有的 TikTok 的安全放在首位——尤其是对青少年而言——还将承诺为美国用户数据设置防火墙,防止外国访问,并使该平台免受政府​​干预。

    在准备好的国会讲话中,首席执行官将表示 TikTok“不会被任何政府操纵”。

    —— 华尔街日报

  • 拼多多 APP 侵犯用户隐私

    研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控

    注:据信该APP指的是“拼多多”

    微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。

    该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。

    提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)

    之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;

    进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;

    随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;

    甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

    —— 深蓝洞察

  • Netflix家庭账号分享限制

    Netflix 文档显示其禁止家庭外分享账号,将对不住在一处的用户进行验证

    文档中写道:不住在您家中的人需要使用自己的帐户才能观看 Netflix。

    当您的家庭以外的设备登录帐户或持续使用时,我们可能会要求您验证该设备,然后才能使用它观看 Netflix 或切换您的Netflix 家庭。我们这样做是为了确认使用该帐户的设备已获得授权。

    当需要验证时,Netflix 会发送指向与主要帐户所有者关联的电子邮件地址或电话号码的链接。该链接会打开一个包含 4 位验证码的页面。验证成功,该设备即可用于观看 Netflix。但是可能需要定期进行设备验证。

    —— Netflix帮助文档

  • TikTok加热按钮让视频被提升到用户推荐页面

    TikTok承认它的员工有能力决定让谁走红

    TikTok向《福布斯》证实,其部分美国员工有能力提升视频,以便“向TikTok社区推介名人和新兴创作者”。该声明是关于TikTok的“加热”按钮的报告的一部分,《福布斯》称该按钮可用于将选定的视频放到用户的 “推荐”页面上,帮助提高浏览量。

    TikTok的发言人Jamie Favazza告诉福布斯,TikTok还将“推广一些视频,以帮助实现内容体验的多样化”。Favazza表示TikTok并不经常这样做,只有“0.002%的推荐视频”是加热的。然而,根据《福布斯》获得的一份内部文件,据说加热的视频占每日视频总浏览量的大约1%-2%。

    报道称,被加热的视频不会像广告或赞助帖子那样有标签显示它们已经被TikTok提升了。相反,它们的出现就像算法为你选择的任何其他视频。

    TikTok也远非唯一一家不自然地提升视频的社交媒体公司。据称,Facebook知道它显示的浏览量比实际的要高,但没有立即解决这个问题,而是借此吸引广告商和媒体公司使用其平台。虽然TikTok的视频似乎确实得到了真正的浏览量,但其结果可能是类似的;大家最终以为他们在TikTok上的表现会比实际情况更好。

    这也意味着TikTok正在挑选赢家和输家:创作者和品牌可能在某人的推荐页面上失去一个位置,而被与该公司关系更紧密的人拿走。据《福布斯》报道,曾经发生过员工加热他们不应该加热的内容,推广朋友、合作伙伴,甚至他们自己账户的视频。

    —— The Verge

  • twitter用户电子邮件泄露

    2亿条 Twitter 用户的电子邮件地址被黑客泄露

    一个据称包含超过 2 亿 Twitter 用户的电子邮件地址的数据泄漏在黑客论坛上以大约 2 美元的价格销售。 BleepingComputer 已确认泄漏中列出的许多电子邮件地址的有效性。

    自 2022 年 7 月 22 日以来,威胁行为者和数据泄露收集者一直在各种在线黑客论坛和网络犯罪市场上出售和传播大量的 Twitter 用户配置文件数据集,其中包含私人数据(电话号码和电子邮件地址)和公共数据。

    这些数据集是在 2021 年通过利用 Twitter API 漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码以确认他们是否与 Twitter ID 相关联。

    今天,一名威胁行为者在 Breached 黑客论坛上发布了一个包含 2 亿条 Twitter 个人资料的数据集,需要 8 个论坛货币积分,价值约 2 美元。

    据称,该数据集与 11 月份流传的 4 亿组相同,但经过清理后不包含重复项,总数减少到约 221,608,279 行。 然而,BleepingComputer 的测试也证实了最新泄露数据中的重复项。

    数据以 RAR 存档的形式发布,其中包含六个文本文件,总数据量为 59 GB。

    文件中的每一行代表一个 Twitter 用户及其数据,包括电子邮件地址、姓名、昵称、关注计数和帐户创建日期。

    —— Bleeping Computer

  • Twitter禁止用户将Mastodon账号链接起来

    Twitter 禁止用户关联Mastodon账号

    Mastodon被设计为一种分布式,类似于Twitter的可自托管的社交网络。更详细的介绍可见于: 这里。

    在Twitter被Elon Mask收购之后,出现了大规模裁员潮,以及其他事件,导致许多Twitter用户出走 Mastodon作为抗议。但是在最近的一系列事件(在封禁了对Elon私人飞机的追踪账号后,其试图宣传其Mastodon账户,Elon声称会给其家人带来安全威胁)之后,Twitter禁止了Mastodon最著名的几个社区服务器的链接(声称他们是有害网站)。

    用户发现,无法通过在bio(简介)中添加这些链接以关联社交账户,致使难以转移自己的社交网络以离开twitter

    来源