Tor 项目推出新的以隐私为中心的浏览器 Mullvad,它结合 VPN 一起使用,而不是洋葱网络
匿名网络和浏览器背后的组织 Tor Project正在帮助推出一款注重隐私的浏览器,该浏览器旨在连接到 VPN 而不是去中心化的洋葱网络。它被称为 Mullvad 浏览器,以与该项目合作的 Mullvad VPN 公司命名,可用于 Windows、Mac 或 Linux。
Mullvad 浏览器的主要目标是让广告商和其他公司更难通过互联网跟踪您。它通过减少浏览器的“指纹”来实现这一点,“指纹”是一个描述网站可以收集的所有元数据以唯一标识您的设备的术语。你的指纹可以由简单的东西组成,比如你使用的浏览器和操作系统,也可以是更具侵入性的信息,比如你安装的字体和扩展,以及你的浏览器可以访问的输入/输出设备。
需要明确的是,如果您试图躲避政府和执法机构(如美国国家安全局、联邦调查局)或为世界各地其他政府的追踪,这些措施就没那么有用了。对于任何拥有足够资源的人来说,除了跟踪像素和第三方 cookie 之外,还有其他方法可以跟踪互联网活动。
—— The Verge
TikTok 向欧盟展示数据保护决心,在欧洲存储本土数据并允许安全公司审计
在欧盟机构出于数据安全问题禁止官方设备使用该应用程序两周后,该社交媒体平台周三宣布了一项计划,以保护欧洲人的数据免受中国政府的影响。
该计划旨在避免对其应用程序的使用施加更多限制,其核心是将更多欧洲用户的数据保存在欧洲的服务器上,并允许一家欧洲安全公司广泛访问审计网络安全和数据保护控制。
TikTok 将其称为“三叶草计划”,这是对其在爱尔兰处理欧洲数据的计划的认可,并类似于其“德克萨斯计划”,后者承诺在 2020 年让美国立法者进行类似的控制。
从今年开始到 2024 年,TikTok 超过 1.5 亿欧洲用户的数据将转移到位于都柏林的两个数据中心和挪威哈马尔地区的第三个数据中心。在美国,该公司与云软件公司 Oracle 建立了合作伙伴关系。
—— 政客(POLITICO)
研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控
注:据信该APP指的是“拼多多”
微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。
该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。
提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)
之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;
随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;
甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
—— 深蓝洞察
Telegram 取消注册时的 SIM 卡要求,添加了全局定时自动删除
多年来,像Telegram和WhatsApp这样的应用程序一直限制用户使用SIM卡和电话号码进行注册。现在,Telegram正在放弃这一要求,同时也为所有用户增加一些额外的隐私选项。并非每台设备都使用SIM卡,因此,将注册限制在安装了SIM卡或eSIM卡的设备上,总感觉有点奇怪。今天,Telegram宣布取消这一限制,向任何人开放注册,甚至那些没有电话号码的人。
由于流程还需验证,Telegram 与 Fragment 联手。Fragment 将允许用户创建一个匿名号码来登录 Telegram。该号码是您的私人专属号码,就像 SIM 卡一样。
因此,Telegram 带来了一些扩展的安全功能。一个可能很熟悉的是某些聊天的自动删除计时器。现在,该应用正在添加设置全局自动删除计时器的选项,该计时器会在一段时间后擦除所有聊天记录。设置计时器后,所有新聊天都将有一个由您指定的倒计时。用户还可以选择在该自动删除计时器中也包含较旧的聊天记录。
—— 9to5google
有消息说 Telegram 将推出匿名虚拟号码服务,在 Android 的 Beta 版 Telegram 中可以看到在 Fragment 平台上购买虚拟号码的提示。在早期的 Beta 版本中,可以使用前缀为 +888 且属于 Fragment 的号码登录帐户。(开源社区频道)
DuckDuckGo 的反跟踪 Android 工具可能比 iOS“更强大”
以隐私为重点的搜索网站 DuckDuckGo 添加了另一种方法来防止您的更多数据流向广告商,向 Beta 测试人员开放其适用于 Android 的 App Tracking Protection 。
DuckDuckGo 将 App Tracking Protection 定位为类似于Apple针对 iOS 设备的 App Tracking Transparency,但“功能更强大”。在适用于 Android 的 DuckDuckGo 应用程序中启用该服务会在您的手机上安装本地 VPN 服务,然后它可以开始自动阻止 DDG 的公共黑名单上的跟踪器。DuckDuckGo 表示,这种情况“不会将应用程序数据发送到 DuckDuckGo 或其他远程服务器”。
DuckDuckGo 的高级通信经理 Allison Goodman 告诉 Ars Technica,App Tracking Protection 需要 Android 的 VPN 许可才能监控网络流量。当它从其阻止列表中识别出跟踪器时,它会“查看任何出站请求的目标域,如果它们在我们的阻止列表中并且请求应用程序不属于拥有该域的同一家公司,则阻止它们。”
—— Ars Technica
意大利禁止面部识别技术,但打击犯罪除外
米兰,11月14日(路透社),意大利周一禁止使用面部识别和 “智能眼镜”,其数据保护局对两个尝试使用这些技术的城市进行了申斥。
该隐私监督机构说,在通过一项具体的法律之前,或者至少在明年年底之前,不允许使用生物识别数据的面部识别系统。
当这种技术在司法调查或打击犯罪的过程中发挥作用时,则是例外。
—— 路透社
有消息说 ,微信从10月1日起屏蔽了海外用户与内地用户的私聊、朋友圈以及微信群信息。双方互相收不到对方信息,犹如两个世界,且用户不会因此得到任何提示。今天又悄悄恢复了通讯,正如它此前悄悄屏蔽了一样。
但是有许多用户表示并没有遇到这种情况,有可能屏蔽只针对部分用户而不是所有。
在8亿人脸车辆数据库泄漏事件中外媒曾通知被泄漏数据库的管理方,但没有任何回应
TechCrunch 说,他们曾向已知与心爱创始人关联的电子邮件地址发送了几条关于暴露数据库的消息,这些电子邮件没有被退回。直到 8 月中旬,该数据库已无法访问。
数据库中出现了数据勒索者留下的未注明日期的要求赎金的信息,他们声称窃取了数据库的内容,要恢复数据必须支付数百美元的加密货币。
目前尚不清楚勒索者是否窃取或删除了任何数据,但勒索信中留下的区块链地址显示它尚未收到任何资金。
WPS 发布《给 WPS 用户的一封信》,承认审查但否认删除文件,强调保护用户隐私
·对于网传的“删除用户本地文件”,重申,WPS不会对用户的本地文件进行任何审核、锁定或删除等操作。
· 根据《网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等相关法律法规,所有提供网络信息服务的平台,对通过其平台传播的内容均负有审核义务。我们在依法审核时,会采取严格的加密脱敏措施,保护用户信息安全。与此同时,也为用户提供了客服申诉渠道、文档找回路径。
· 在保护用户隐私方面,我们严格遵循《个人信息保护法》及《网络安全法》的相关规定。公司不仅通过了国家信息安全等级保护三级,还取得了ISO/IEC 27001:2013信息安全国际标准认证以及ISO/IEC 27701:2019隐私信息管理体系国际标准认证。
—— WPS公众号 摘要