近日,多位小红书用户反映该应用存在高频获取用户信息的问题,引发广泛关注。用户数据显示,在未使用软件的情况下,部分用户的定位等信息仍被频繁访问,最高达到3天内1.7万次读取。这不仅涉及地理位置、设备状态和照片视频等常规数据,还包括日程安排和剪贴板内容。
对此,小红书官方回应称,该平台不会在未经授权的情况下获取用户位置信息,且读取频次与用户使用场景相关。官方客服表示,只有当用户主动授权开启相关权限时,才会出现此类操作现象,并强调这是正常机制。
值得注意的是,除了高频数据读取问题外,网络安全专家还指出小红书存在其他风险漏洞。例如,未能有效防范的数据库注入攻击和未受保护的WebView组件等问题,均可能被用于获取用户敏感信息。
此事件引发了公众对用户隐私安全的高度关注。尽管小红书官方作出解释,但用户的担忧并未完全消除。有用户反映最早在2024年7月就注意到类似问题,并在社交媒体上引发广泛讨论。这些情况表明,社交平台的数据收集和使用机制仍需进一步规范和完善。
这一系列事件凸显了移动应用领域数据保护的重要性,如何平衡用户体验与隐私安全,成为行业需要共同面对的课题。
谷歌日历移除骄傲月等多元活动默认显示
部分谷歌日历用户注意到,如骄傲月等特定活动不再默认突出显示,因此愤怒地向该公司发出呼吁。据谷歌产品专家称,黑人历史月、原住民月、犹太遗产月、大屠杀纪念日和拉丁裔遗产月也被移除。一名用户称此举“可耻”,并指责该平台是在“向法西斯主义屈服”。在过去几年中,一直有评论和媒体抱怨这些注释的存在,但现在这些已被删除。谷歌发言人表示:“我们收到反馈称缺少了其他一些活动和国家,并且在全球范围内手动且持续地维护数百个时刻是不可扩展或可持续的。因此从2024年中期开始,我们恢复了仅显示Timeanddate上的全球公共假期和国家纪念日,同时允许手动添加其他重要时刻。”
—— TheVerge
用户刷脸登录招商银行APP出现他人信息
最近杭州市民魏先生登录招商银行企业客户端时,刷脸登录出来的却是别人的账号。1月2日当天,他和往常一样登录招商银行企业客户端。魏先生很自然地使用了刷脸登录,在程序快速响应之后,他突然发现客户端内显示的个人信息并不是他的公司。为了避免发生纠纷,在留存证据之后,魏先生就退出了该账号。后续他多次尝试登录,再也没有发生过相同的情况。3日晚间,银行相关负责人与客户经理上门和魏先生解释了情况。据魏先生回忆,银行称这是网络抖动带来的极小概率事件,并表示客户端登录使用的是手机自带的刷脸系统,金融支付用的是另外一套银行的自有系统,可靠性、安全性更高。
—— 潮新闻
欧洲隐私机构指控火狐浏览器侵犯用户隐私
欧洲知名隐私倡导组织 noyb 公开指责火狐浏览器在未经用户明确同意的情况下,通过一项名为隐私保护归因 (PPA) 的功能追踪用户网上行为,这与火狐浏览器一向标榜的隐私保护立场背道而驰。noyb 指出,尽管火狐声称 PPA 功能可以让网站在不收集个人数据的情况下了解广告效果,但实际上该功能在用户安装最新软件更新后默认启用,并未明确告知用户。noyb 认为,即使这种方法可能比无限制跟踪的侵犯性要小,它仍然违反了欧盟 GDPR 规定的用户权利,尤其是该功能是默认开启的。
—— 新浪新闻、noyb、路透社
Plex 会将观看记录发送到同一台服务器上的其他用户
许多 Plex 用户上周收到一封“一周回顾”电子邮件时感到震惊,这封邮件显示了他们和他们的朋友在这款流行的媒体服务器软件上观看的内容。
一些用户表示,他们朋友的软色情习惯被该功能泄露给了他们,而另一些用户则对更广泛的潜在入侵性功能感到恐惧。
这是 Plex 为社交功能添加的名为“一起发现”新功能,并引入了“活动”选项卡:“查看您的朋友观看过的内容、评分过的内容、添加到他们的观看列表中的内容或与您分享的内容,”Plex 指出。
它还会在“一周回顾”电子邮件中分享这些活动,并将其发送给同一台 Plex 服务器上的用户和其他可以访问该服务器的用户。
该功能是选择退出的,这意味着许多人对收到这些电子邮件并看到此功能感到非常惊讶,因为用户需要主动将其关闭。(此处和此处的说明)。
—— 404media
Brave 浏览器似乎在未经用户同意的情况下安装 VPN 服务
如果你在 Windows 设备上安装了 Brave 浏览器,那么你的电脑可能在未经你同意的情况下被 Brave 浏览器安装了 Brave VPN 的相关服务,而不管用户是否正在使用或过去曾使用过。
Brave Firewall + VPN 是 Brave 提供的一项 VPN 订阅服务。于 2022 年中期推出,是由 Brave 浏览器开发商和 Guardian 公司合作推出的,每月 9.99 美元。
你可以通过以下步骤轻松验证这一点:
1. 使用 Windows-R 组合键打开“运行”对话框。
2. 输入“services.msc”以打开 Windows 上的服务管理器。
3. 向下滚动,直到找到“Brave”部分。
4. 检查是否存在 Brave VPN 服务和 Brave VPN Wireguard 服务。
如果存在,则 Brave 已在你的设备上安装了这些服务。如果你从未订阅过 Brave Firewall + VPN,该公司可能在未经你同意的情况下这样做了。
关于该问题,Brave 回应表示,将计划在未来的更新版本中解决。后期仅在用户购买 VPN 后才会安装相关服务。
—— Ghacks.net
Mozilla 基金会:汽车品牌在隐私和安全方面很糟糕
汽车在数据隐私方面表现得很差。一项新研究发现,大多数主要汽车制造商承认他们可能正在出售您的个人信息,其中一半还表示他们会在没有法院命令的情况下与政府或执法部门分享这些信息。
汽车上的传感器大量增加,从远程信息采集到完全数字化的控制台,使它们成为了大量数据收集的中心。
但是,非营利性组织 Mozilla 基金会的研究人员在他们最新的“未包含隐私”的调查中指出,驾驶员对其汽车收集的个人数据几乎没有或根本没有控制权,安全标准也很模糊。考虑到汽车制造商易受黑客攻击的记录,这是一个大问题。
—— Mozilla 基金会
美国政府购买大量美国人的个人商业数据引发隐私和公民自由问题
这份近期解密的政府报告首次证实,美国情报和间谍机构购买了大量有关美国人的商业信息,包括来自联网车辆的数据、网络浏览数据和智能手机。美国政府自己承认,它购买的数据“显然提供了情报价值”,但也“引发了与隐私和公民自由相关的重大问题”。
应参议员罗恩·怀登 (D-OR) 的要求披露情报界如何使用商业数据,国家情报总监办公室 (ODNI)于周五解密并发布了日期为 2022 年 1 月的报告。此类数据由联网设备生成,并由数据经纪人提供以供购买,例如收集精细位置数据的电话应用程序和车辆,以及在用户浏览互联网时跟踪用户的网络浏览数据。在此处下载报告。
这份解密报告是美国政府首次公开披露与美国人的商业数据相关的风险,这些数据可以被任何人轻易购买,包括对手和敌对国家。美国没有管理美国人私人信息共享或出售的隐私或数据保护法。
在报告发表后的一份声明中,怀登说:“这项审查表明,政府现有政策未能为美国人的隐私提供必要的保障,也未能监督机构购买和使用个人数据的方式。”“根据这份报告,ODNI 甚至不知道哪些联邦情报机构正在购买美国人的个人数据,”怀登补充道。
怀登呼吁国会通过立法,“为政府采购设置护栏,控制收集和出售这些数据的私营公司,并防止美国人的个人信息落入我们的对手之手。”
—— techcrunch 、Forbes
研究人员发现TikTok的应用内浏览器注入了JS代码能够追踪用户点击并可以获取输入内容
根据与福布斯分享的新研究,当TikTok用户通过应用程序上的链接进入一个网站时,TikTok插入的代码可以监控他们在这些外部网站上的大部分活动,包括他们的击键和他们在页面上点击的东西。这种跟踪将使TikTok有可能获取用户的信用卡信息或密码。
TikTok可以通过向应用内访问的网页中注入编程语言JavaScript行来跟踪这种活动,创建新的命令,提醒TikTok注意人们在这些网站上做什么。
Tiktok坚决驳斥了它在其应用内浏览器中跟踪用户的观点。该公司证实代码中存在这些功能,但表示TikTok从未使用这些功能。
—— 福布斯
知名建站面板宝塔陷入隐私风波
Hostloc 的网友发现宝塔面板的开源代码中发现向远程服务器发送信息的功能。备注标识为“从云端验证域名的可用性”。该功能收集的信息可能比它声称的要多。用途令人疑虑。
日志每1小时打包一次,格式如下:
[“2022-05-06 01:58:10”, “你的 IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]