欧洲隐私机构指控火狐浏览器侵犯用户隐私
欧洲知名隐私倡导组织 noyb 公开指责火狐浏览器在未经用户明确同意的情况下,通过一项名为隐私保护归因 (PPA) 的功能追踪用户网上行为,这与火狐浏览器一向标榜的隐私保护立场背道而驰。noyb 指出,尽管火狐声称 PPA 功能可以让网站在不收集个人数据的情况下了解广告效果,但实际上该功能在用户安装最新软件更新后默认启用,并未明确告知用户。noyb 认为,即使这种方法可能比无限制跟踪的侵犯性要小,它仍然违反了欧盟 GDPR 规定的用户权利,尤其是该功能是默认开启的。
—— 新浪新闻、noyb、路透社
Plex 会将观看记录发送到同一台服务器上的其他用户
许多 Plex 用户上周收到一封“一周回顾”电子邮件时感到震惊,这封邮件显示了他们和他们的朋友在这款流行的媒体服务器软件上观看的内容。
一些用户表示,他们朋友的软色情习惯被该功能泄露给了他们,而另一些用户则对更广泛的潜在入侵性功能感到恐惧。
这是 Plex 为社交功能添加的名为“一起发现”新功能,并引入了“活动”选项卡:“查看您的朋友观看过的内容、评分过的内容、添加到他们的观看列表中的内容或与您分享的内容,”Plex 指出。
它还会在“一周回顾”电子邮件中分享这些活动,并将其发送给同一台 Plex 服务器上的用户和其他可以访问该服务器的用户。
该功能是选择退出的,这意味着许多人对收到这些电子邮件并看到此功能感到非常惊讶,因为用户需要主动将其关闭。(此处和此处的说明)。
—— 404media
Brave 浏览器似乎在未经用户同意的情况下安装 VPN 服务
如果你在 Windows 设备上安装了 Brave 浏览器,那么你的电脑可能在未经你同意的情况下被 Brave 浏览器安装了 Brave VPN 的相关服务,而不管用户是否正在使用或过去曾使用过。
Brave Firewall + VPN 是 Brave 提供的一项 VPN 订阅服务。于 2022 年中期推出,是由 Brave 浏览器开发商和 Guardian 公司合作推出的,每月 9.99 美元。
你可以通过以下步骤轻松验证这一点:
1. 使用 Windows-R 组合键打开“运行”对话框。
2. 输入“services.msc”以打开 Windows 上的服务管理器。
3. 向下滚动,直到找到“Brave”部分。
4. 检查是否存在 Brave VPN 服务和 Brave VPN Wireguard 服务。
如果存在,则 Brave 已在你的设备上安装了这些服务。如果你从未订阅过 Brave Firewall + VPN,该公司可能在未经你同意的情况下这样做了。
关于该问题,Brave 回应表示,将计划在未来的更新版本中解决。后期仅在用户购买 VPN 后才会安装相关服务。
—— Ghacks.net
Mozilla 基金会:汽车品牌在隐私和安全方面很糟糕
汽车在数据隐私方面表现得很差。一项新研究发现,大多数主要汽车制造商承认他们可能正在出售您的个人信息,其中一半还表示他们会在没有法院命令的情况下与政府或执法部门分享这些信息。
汽车上的传感器大量增加,从远程信息采集到完全数字化的控制台,使它们成为了大量数据收集的中心。
但是,非营利性组织 Mozilla 基金会的研究人员在他们最新的“未包含隐私”的调查中指出,驾驶员对其汽车收集的个人数据几乎没有或根本没有控制权,安全标准也很模糊。考虑到汽车制造商易受黑客攻击的记录,这是一个大问题。
—— Mozilla 基金会
美国政府购买大量美国人的个人商业数据引发隐私和公民自由问题
这份近期解密的政府报告首次证实,美国情报和间谍机构购买了大量有关美国人的商业信息,包括来自联网车辆的数据、网络浏览数据和智能手机。美国政府自己承认,它购买的数据“显然提供了情报价值”,但也“引发了与隐私和公民自由相关的重大问题”。
应参议员罗恩·怀登 (D-OR) 的要求披露情报界如何使用商业数据,国家情报总监办公室 (ODNI)于周五解密并发布了日期为 2022 年 1 月的报告。此类数据由联网设备生成,并由数据经纪人提供以供购买,例如收集精细位置数据的电话应用程序和车辆,以及在用户浏览互联网时跟踪用户的网络浏览数据。在此处下载报告。
这份解密报告是美国政府首次公开披露与美国人的商业数据相关的风险,这些数据可以被任何人轻易购买,包括对手和敌对国家。美国没有管理美国人私人信息共享或出售的隐私或数据保护法。
在报告发表后的一份声明中,怀登说:“这项审查表明,政府现有政策未能为美国人的隐私提供必要的保障,也未能监督机构购买和使用个人数据的方式。”“根据这份报告,ODNI 甚至不知道哪些联邦情报机构正在购买美国人的个人数据,”怀登补充道。
怀登呼吁国会通过立法,“为政府采购设置护栏,控制收集和出售这些数据的私营公司,并防止美国人的个人信息落入我们的对手之手。”
—— techcrunch 、Forbes
研究人员发现TikTok的应用内浏览器注入了JS代码能够追踪用户点击并可以获取输入内容
根据与福布斯分享的新研究,当TikTok用户通过应用程序上的链接进入一个网站时,TikTok插入的代码可以监控他们在这些外部网站上的大部分活动,包括他们的击键和他们在页面上点击的东西。这种跟踪将使TikTok有可能获取用户的信用卡信息或密码。
TikTok可以通过向应用内访问的网页中注入编程语言JavaScript行来跟踪这种活动,创建新的命令,提醒TikTok注意人们在这些网站上做什么。
Tiktok坚决驳斥了它在其应用内浏览器中跟踪用户的观点。该公司证实代码中存在这些功能,但表示TikTok从未使用这些功能。
—— 福布斯
知名建站面板宝塔陷入隐私风波
Hostloc 的网友发现宝塔面板的开源代码中发现向远程服务器发送信息的功能。备注标识为“从云端验证域名的可用性”。该功能收集的信息可能比它声称的要多。用途令人疑虑。
日志每1小时打包一次,格式如下:
[“2022-05-06 01:58:10”, “你的 IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]
研究发现安卓的 “短信 “和 “电话 “应用程序悄悄向谷歌发送文本和通话信息
根据都柏林三一学院计算机科学教授 Douglas Leith 的一项研究,Android 短信和电话应用一直会收集和向 Google 发送数据,这一过程没有特别通知或征得用户同意,或提供退出机制。
此举可能违反了欧洲的数据保护法律。Android 手机预装的短信应用 Google Messages 和电话应用 Google Dialer 会向 Google Play Services Clearcut 日志服务和 Google Firebase Analytics 服务发送数据,其中 Google Messages 发送的数据包含了短信文本的哈希值和发送者的电话号码,Google Dialer 发送的数据包含了电话号码、通话时间和持续时间。
这些应用用户互动的时间和持续长度也都会发送给 Google。Google Messages 和 Google Dialer 的安装量都以十亿部计算。Google 没有提供方法允许用户退出收集。
——Theregister,solidot
孰真孰假?
立陶宛国家网络安全中心(NCSC)对三款中国产手机进行了安全审查(PDF):华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块:其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics,该模块默认激活;其二是 Sensor Data 模块,它会收集与应用活动相关的 61 个参数,数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务,这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件,该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭,但由于手机会定期下载该文件,小米能在任何时候远程激活该功能。
—- solidot
#孰真孰假
有传言说Facebook泄漏了5.53亿条用户数据。包含了姓名电话号码位置等信息。