top of page
Search
Writer's pictureIYP

恐怖锤子、炒房暴冻、流氓护驾、强行渗透 - Newsletters (04.11.2019)

欢迎来到知识点栏目!今天的话题包括自我保护、基本自卫思路、“主流媒体”的概念为什么是错误的、以及 APP 的监视行为。希望这些内容能为您带来帮助。



今天的主题如下:

  1. 上网就如走出家门,您应该先穿好衣服,以免招来色狼。很多人使用浏览器的“不跟踪”设置来保护隐私,但是这样做根本没用,为什么?您需要额外的帮助,怎么做?;

  2. 很多朋友在询问哪些软件足够安全,这非常好,不过保护安全最需要的是一系列思考方式,而不是专注于哪个软件。这一思考方式是什么样的?;

  3. 人们一直在说“主流媒体”如何,但是这个概念如今已经过时了,如果继续沿用它会有明显的误导性,以至于难以扭转当下新闻不利于民主的现状,为什么?;

  4. 你觉得自己的姓名和电话号码很简单吗?可以随意告诉别人?事实上可没那么简单。一个最近发生的社交工程攻击案例希望能帮您理解为什么这些小细节的暴露是非常危险的;

  5. 许多 iPhone 应用程序一直在“秘密记录你的屏幕”。这是真的吗?为什么会这样?



&1


【“不跟踪”设置根本无效,您需要额外的帮助】所有人类都知道,出家门之前应该先把衣服穿上,至少要穿到能遮住三点。然而上网的人们经常在家里连接,面对的是冷冰冰的显示器,结果就是,人们从一开始就下意识地认为上网是私密的行为。但事实上完全相反,你连接到互联网的那一刻就是打开了自己家的大门,如果你此时光着屁股,任何人都可以欣赏你的裸体。


其实比裸体更糟糕,它让你暴露的不只有屁股,还有你的内心所想,那些你最难以启齿的东西,都在被所有人欣赏。我们介绍过浏览器跟踪有多危险,详见《浏览历史记录曝光你的内心全景图:#OSINT 开源调查演示》是吧,你真的应该穿件衣服。


大多数浏览器都有“不跟踪”(DNT)设置,向网站、分析公司、广告网络、插件提供商以及您在浏览时遇到的其他网络服务发送“特殊信号”,以停止跟踪您的活动。听起来不错是吧?可悲的是,它根本就没有效果。那是因为这个 Do Not Track 设置只是发送到网站的自愿信号,网站不必尊重。


尽管如此,许多浏览器中的大部分用户都使用“不跟踪”设置。虽然大多数主要网络浏览器默认禁用 DNT,但在2018年11月对503名美国成年人进行的调查中,23.1%(±3.7)的受访者有意识地在其桌面浏览器上启用了DNT设置。(注意:Apple正在从 Safari 中删除 DNT 设置)


研究还加入了DuckDuckGo的 DNT 使用情况,发现一天内24.4%的 DuckDuckGo 请求来自启用了“不跟踪”设置的浏览器。这在调查的误差范围内,从而为其结果提供了更多的可信度。


不幸的是,数以千万计的美国人(以及更多的全球人)使用 DNT 时并不知道它只发送自愿信号。在至少对“不跟踪”设置“略微熟悉”的受访者中,有 44.4%(±7.3)的人并不知道其真正的性质。即使在浏览器中有意识地启用 DNT的人里,也有 41.4%(±8.9)不知道这事。


可以形象一下简单理解这事,Do Not Track 就像在你家门前的草坪上贴一个标语“请不要看我的房子”,而你所有的百叶窗都保持打开状态,就是那个效果。事实上,大多数主要的科技公司,包括 Google,Facebook 和 Twitter,在您访问和使用他们的网站时都不尊重 Do Not Track 设置 - 其中 77.3%(±3.6)的美国成年人总体上并不知道这些


设置动作与实际设置效果之间存在巨大差异。这本质上就是误导性的。当了解了 DNT 设置的真实功能和限制时,75.5%(±3.8)的美国成年人表示,这些公司“在启用时尊重 Do Not Track 信号”是“重要的”或“非常重要的”。很简单,当人们说自己不想被追踪时,他们就真的不想被追踪。



我们同意并希望政府今年开始将重点放当用户启用时强制遵守“不跟踪”设置,遵守联邦法律。正如我们在这里以及其他私人浏览研究中看到的那样,许多人一直在努力寻求最容易获得的(尽管通常是不幸的、无效的)方法来保护自己的隐私。


就像私人浏览(又名“隐身”)模式一样,“不跟踪”设置在大多数浏览器中都是一个易于发现的选项,但它完全无法有效地保护用户,远远低于用户对它的期望。在 Do Do Track 设置最终能符合其所声称的功能之前,您得自己保护自己,尽快使用浏览器扩展回收您的隐私和阻止跟踪器 —— 穿件衣服再出门。


比如浏览器隐私跟踪插件 Ghostery,德国软件开发公司 Cliqz 开发的,在 Chrome 已经拥有近 300 万用户,Firefox 有 100 万用户。


Ghostery 允许用户阻止一些脚本、图片、iframes 以及各种用户所不信任的嵌入程式。 该扩展还有个 GhostRank 功能,就是将用户遇到的这些隐私追踪的讯息匿名的发给 Ghostery 伺服器,以便更多人浏览该网站时,能给他们提供参考。


现在 Ghostery 已经开源了,它更安全。


不仅如此,它还可以智能拦截,在浏览时自动优化页面性能;动态用户界面,包括多个显示器和详细的跟踪器仪表板增强的反跟踪,将用户的数据匿名化以进一步保护用户的隐私。


Cliqz 一年前收购了 Ghostery。通过开源这些浏览器扩展,实现他们对透明度和开放式互联网的承诺。根据 Cliqz 的说法,Ghostery 拥有一个活跃的社区,许多用户分享检测新追踪者的匿名统计数据。当然,用户也可以选择不与 Cliqz 共享数据。



&2


【保护安全需要一系列思考方式,而不是哪个软件】很多读者留言询问这个软件怎么样、那个行不行,这些读者都是真正注重隐私安全的人,对此我们非常高兴。不过,保护安全是保护自己的安全,它不是说别人认为足够好的东西也适合您。就像同样是汽车,有人需要防撞杆,而有人必须整体装甲才行。于是,对于安全性来说最基本的是需要一些思考方式,它非常简单,我们曾经陆续介绍给,这里稍微总结一下。


简单说就是,在考虑您自己的数字安全性时,请考虑以下这些基本提示。


知识就是Power——


良好的安全决策始于对自身面对的情况有一个全面的了解。于是首先问自己以下问题:

  • 我想保护的是什么?

  • 我面对的敌人是谁、敌人想要的是什么?

  • 我有多大可能做到保护我自己的利益和人身安全?

  • 如果我失败,后果会有多糟糕?

  • 我愿意花多少钱来防止潜在的后果?


回答完这些问题后,您就可以更好地评估数字安全需求并创建安全计划或威胁模型。你已经拥有了比你想象的更多的力量!


最薄弱的地方就是最危险的地方 ——


“一环不力满盘全输“,这些古老格言也同样适用于安全性。例如,如果您根本没有窗闩,安装最好的门锁也是没有用的。同样,如果您将未加密的副本存储在笔记本电脑上并且笔记本电脑被盗,即便您一直在加密电子邮件以便在传输过程中不会被截获,也不会保护该电子邮件的安全。


所以,请考虑您的信息和计算机使用的每个部分、每一个环节,并尝试识别数字安全实践中的任何薄弱环节。


安全性并没那么复杂 ——


很多人会被他们听到的每一个闪亮的新型安全解决方案所诱惑。但很快他们就会发现,自己使用了这么多工具、并尝试了很多东西,其结果却是无法保持这一切!


正因为拥有过于复杂的安全系统使得识别薄弱环节变得更加困难了。所以,请保持简单。有时最安全的解决方案可以是技术含量最少的解决方案。计算机可以用于许多事情,但有时简单的笔和便条纸的安全问题可以更容易理解,因此更易于管理。


最贵的不一定就是最好的 ——


有钱人,羡慕你。不过要知道,最昂贵的安全解决方案不一定就是最好的; 特别是如果它夺走了别处所需的资源的话,那就是得不偿失。在将垃圾扔掉之前请彻底粉碎纸张上印有的任何文字信息和二维码(我经常能在任何地方捡到极高价值的废弃物,令人惊讶,幸亏我不是坏人)


真的提请注意,这些生活小细节非常重要。也就是我们在社交工程演示系列中多次强调的。其实诸如检查垃圾这类很低成本的措施都可以为您带来更多的安全保障。


可以信任,但必须知道你信任的是谁 ——


计算机安全建议最终可能听起来就像你应该完全信任除了你自己之外的任何人……呃?


在现实世界中,您几乎肯定会相信很多人至少拥有一些您的隐私信息,从您的亲密家庭或同伴到您的医生或律师。这正是数字空间中最棘手的问题:了解你信任的人是谁,以及你给了他什么。


您可以向律师提供一份密码列表:但是您应该考虑,这些信息可能给他们带来什么样的权力 —— 或者说如果是一个恶意行为者拿到这些东西后能干什么。您可以在 Dropbox 或 Google 等云服务中编写仅供您自己使用的文档:但您也同时允许了 Dropbox 和 Google 访问它们。


记住,不管是在线还是离线,与您分享秘密的人越少,您保密的机会就越大。


没有真正完美的安全计划 ——


还是那句老话:安全性是相对的,就像锁自行车,你只需要比旁边那些锁更牢固就行了。


所以,请制定适合您的安全计划,了解您面临的风险,了解您和您的同事将采取的实施步骤。如果现实难以理解,那么纸上的安全计划即便再完美也无法运作。


今天的安全不一定就是明天的安全 ——


别怕,这只是意味着您需要持续重新评估您的安全实践,这至关重要。仅仅因为它们满足了去年或上周的安全,并不意味着它们现在仍然安全!


请持续关于安全性建议的网址,因为我们会尽可能快地更新我们的建议,以反映我们对数字安全的理解和现实的变化。


请记住:安全是一个持续的过程。



&3


【停止“主流”】为什么必须停止“主流”的问题,IYP 曾经讲过很多。因为中国一直在朝着这一认知垄断的绝对化进击,与此同时逃离中国式洗脑的人们却再次陷入了其他语种营造的同样的怪圈。继续下去不仅找不到民主,甚至会越来越少的人真正理解什么是民主。


事实上,这些研究在近三十年内几乎层出不穷,与此同时,研究前辈们也只能眼睁睁看着当初提出警告的状况一直在不断迅速恶化。


和任何一种问题的解决一样,首先需要做的就是知道这个问题是怎么来的。


历史上,“主流媒体”一词指的是最大型的媒体机构。这些报纸和广播媒体能夺取大多数公众的眼球。当卡尔·詹森(Carl Jensen)创立 Project Censored 时的1976年,就是这种情况。


那年,主流媒体已经开始越来越多地忽略掉了重要的新闻报道,这引起 Carl Jensen 极大的担忧;于是他与研究人员合作,开始制作被主流媒体忽视了的最重要新闻报道的年度报告。


从最初的影印报告到1993年出版的第一个年鉴,“Project Censored”一直在将美国媒体统称为大众媒体或主流媒体。在 Project Censored 的20周年纪念册中,Carl 写了一篇文章《没有制作新闻的新闻 - 以及为什么》[纽约:Seven Stories Press,1996,p.9]。


在20世纪80年代,关于主流媒体如何在美国发生变化的两个重要分析,改变了媒体和传播的整体研究。1982年,Ben Bagdikian 完成了他的著作 “媒体垄断”的研究,当时他发现有50家公司控制了至少一半的媒体业务。然而到了1986年12月,当他完成对该书第二版的修订时,权力的集中度已经从50家公司降至29家。Bagdikian 指出,全国1,700种日报中有98%是当地垄断企业,剩下的只有不到15家媒体。


媒体研究发展的第二个重要转折点是 Edward S. Herman 和 Noam Chomsky 的著作《Manufacturing Consent》的出版。这本书指出,由于媒体牢牢地嵌入了市场体系,它们仅仅反映了其所有者和广告商的阶层价值观和关注点


这本著作报告,媒体通过五个系统过滤以维持公司的阶级偏见,他们称之为“宣传模式”:集中私有制、严格的底线利润取向、过度依赖政府和企业的新闻来源、避免冒犯强者的主要倾向、 以及对市场经济的近乎宗教式崇拜,强烈反对其他信仰。这些过滤器限制了整个社会的认知,并设定了可接受的日常事件覆盖范围的参数。


1997年,Project Censored 开始揭露,主流媒体正在转型日益成为企业媒体。在1997年的 Censored 报告中,IvanHarsløf 使用“主流企业媒体”这个术语来描述美国媒体的持续快速整合、以及他们所采取的审查形式。[ Phillips 和 Harsløf,“现代民主社会中的审查制度”]。这份研究引用了 Herbert Schiller 的调查,对通过集中化新闻机构操纵公众认知的现实表达了严重担忧。


次年,1998年的 Project Censored 报告采取了强有力的立场反对自我审查,特别是当企业媒体官僚机构内的组织文化影响记者的选择和特定新闻报道的导向时 [Phillips,Bob Klose,Nicola Mazumdar 和 Alix Jestron,“自我审查和媒体精英的同质性“1998年,第141-52页]。


此外,报告还研究了六大媒体机构的联锁董事职位,发现81名公司董事(其中89%为男性)在巨头企业董事会中担任104个董事职位。很明显,我们所谓的主流媒体不再存在,已经转变成了简单的企业媒体。


1999年的 Censored 写道:“美国媒体已经失去了多样性和能够提出不同观点的能力……每个企业媒体都花了数百小时和一大叠的新闻纸来报道比尔克林顿的性侵犯,并在此过程中忽略了许多最重要的新闻报道” [Phillips, “Building Media Democracy,” in Censored 1999: The News That Didn’t Make the News (New York: Seven Stories Press, 1999), p. 129]


到千禧年,就 Censored 而言,“主流”媒体已完全从美国消失。取而代之的是一个日益集中的、被高度控制的和宣传性的公司结构,它已经放弃了为广大公民提供信息和服务的历史悠久的承诺


为了说明媒体公司转型的程度,2006年 Censored 报告中,来自索诺玛州立大学的 Project Censored 学生团队确定了美国十大媒体机构的118名董事会成员,从报纸到电视再到广播,追踪他们与其他公司董事会的直接联系。基于这种关系网分析,该团队得出结论:“企业主导的资本主义财富高度集中才是目标,企业媒体就是这种集中化的啦啦队” [Bridget Thornton, Brit Walters, and Lori Rouse, “Corporate Media is Corporate America: Big Media Interlocks with Corporate America and Broadcast News Media Ownership Empires,” in Censored 2006: The Top 25 Censored Stories (New York: Seven Stories Press, 2005), p. 246].


今天,经过十几年的进一步整合,企业媒体已经形成一个整体的高度集中的权力结构,服务于帝国、战争和资本主义的利益。Ratonya Coffee,Robert Ramirez,Mary Schafer 和 Nicole Tranchina 共同撰写了一篇题为《出售帝国、战争和资本主义:为跨国资本家服务的公共关系宣传公司》的报告,揭露了公关宣传的方式,以及更广泛的企业媒体,通过“对人类欲望、情感、信仰和价值观的霸权式心理控制”,促进资本增长成为他们的首要目标 [Phillips, Coffee, Ramirez, Schafer, and Tranchina, “Selling Empire, War, and Capitalism: Public Relations Propaganda Firms in Service to the Transnational Capitalist Class,” in Censored 2017: Fortieth Anniversary Edition (New York: Seven Stories Press, 2016), p. 307].


对于我们这些捍卫民主努力反对集中化财富帝国破坏性议程的人来说,当“企业媒体”更加准确和具有启发性时,显然是时候停止使用“主流媒体”一词了 —— “主流”似乎意味着大众的选择,但如今并不是如此,恰恰相反是大众没有选择权,只能被资本驱动的巨型机器绑架认知。


1996年至2010年,作者 Peter Phillips 担任“Project Censored”主任十四年。他于2018年正式退出 Project Censored。他是索诺玛州立大学政治社会学教授。 Seven Stories Press于2018年8月出版了他的新书“巨人:全球权力精英”。



&4


【决胜细节】你觉得自己的姓名和电话号码很简单吗?可以随意告诉别人?


事实上没那么简单。最新调查发现,只需要少数的个人信息就可以让您非常容易被攻击。


这件事就发生在 Erynn Tomlinson 身上。在黑客与罗杰斯客户服务代表的交互中使用她的一些个人详细信息以最终获得对她的帐户的访问权之后,这位前加密货币执行官在加密货币中损失了大约 30,000 美元。


“我不知道如何描述它。我对整个事情感到震惊,” Tomlinson 说,骇客偷走了她计划用于抵押贷款的储蓄。


Tomlinson 是困扰电信行业的最新类型攻击的受害者:这种攻击被称为SIM交换,骇客使用的是社交工程技术


社交工程欺诈通常通过电子邮件、电话或文本发生 —— 或者通过在线聊天窗口发生,这就是在 Tomlinson 的情况下发生的。骇客使用魅力和说服力来诱导客户服务代表认为他们实际上是账户持有人。


这就需要骇客实际拥有一些公开的个人信息:一个人的姓名,电子邮件地址,生日,邮政编码或电话号码。如果你曾经在线公开过这些信息(大多数人都这么做过)那么本案例应该能提出警告:你已经非常危险


攻击者利用这些可以轻易获取的并且很有说服力的信息做诱饵,以令服务代表交出更多的信息并最终获得对帐户的完全访问权限。


请注意,在 Tomlinson 案中,攻击者仅仅拥有她的名字和电话号码。通过一系列八种不同的在线聊天,骇客设法获得了她的出生日期、电子邮件地址、帐号、信用卡的最后四位数字以及有关其帐户的其他详细信息。


有了这些信息,攻击者就能说服罗杰斯代表激活一张与 Tomlinson 帐户相关联的新SIM卡,然后将其存入他们所拥有的手机中。


一旦攻击者执行了SIM卡交换,他们就可以使用自己的手机访问 Tomlinson 的一些敏感帐户,包括那些与她的财务相关的帐户。


Tomlinson 在她的敏感帐户上使用了双因素身份验证,这是一个额外的安全步骤,可在授予访问权限之前向您的手机发送消息。 而SIM卡交换攻击允骇客将这些传入的消息转移到新设备上,有效地绕过了她的安全措施 —— 这就是为什么我们一再强调短信双因素验证并不可靠。


当她的手机停止工作时,她首先意识到出了什么问题。在附近的咖啡馆停下来使用Wi-Fi之后,她发现自己的一个财务账户被清零了。她赶回家,登录了其他帐户,发现一切都没了。


总的来说,攻击者窃取了相当于30,000美元的加密货币。


“我希望这是一个极端的例子,”她说,“但是必须承认......现在每个人都面临着这样的风险。”

的确如此。世界各地的公司都表示社交工程攻击正在上升。


加拿大联邦隐私专员现在要求所有公司报告任何安全或隐私泄露事件。自2018年11月以来,仅在该国的电信部门就发生了十多起社交工程漏洞报告。


在一封电子邮件中,隐私专员办公室告诉 Marketplace,这一趋势“明显引起了人们的关注”。


社交工程欺诈的爆发对道德黑客和网络安全专家 Joshua Crumbaugh 来说并不奇怪。攻击者只是在利用人性的基本弱点或者漏洞。


想要帮助和避免冲突是人的本性,这就是为什么 Crumbaugh 说成功的社交工程攻击的关键取决于谁主动上钩。如果一个不愿意上钩,那可能就是下一个。


这只是心理学。所以,如果你能理解某人对某事的反应,你就可以轻易地操此人给你信息、或者让他们做不应该做的事


为了了解罗杰斯如何回应社交工程攻击,市场要求 Crumbaugh 试图入侵 Marketplace 主持人 Charlsie Agro 的个人账户,只向他提供她的姓名和电话号码。


在第一次尝试时,Crumbaugh 称该公司的客服为 Agro 的私人助理。电话很快就结束了,对方拒绝让 Crumbaugh 访问该帐户,除非 Agro 亲自打电话并将其添加为用户。


几分钟后他再次打电话,这次对方是不同的代表,他根本没有掩饰自己的声音。这一次,对方要求 Agro 的生日和电子邮件地址作为验证,Crumbaugh 在网上进行了一些快速搜索后就可以提供了。


对方还要求 Crumbaugh 提供帐户附带的PIN和邮政编码。 Crumbaugh猜到了PIN,然后在网上搜索后提供了一个邮政编码。两个号码都错了一位,但是对方仍然允许 Crumbaugh 访问该帐户了。


Crumbaugh 认为公司需要更好地教育他们的客服代表如何识别和预防社会工程攻击者。


Marketplace 询问加拿大无线和电信协会 - 无线行业的主要游说团体等,问他们正在做些什么来帮助保护消费者免受社交工程攻击。


CWTA主席 Robert Ghiz 表示,其每个成员都对自己的安全负责,但公司已采取措施保护客户的数据安全,包括PIN,密码,安全问题和语音识别。


他还表示,许多电信公司正在为其员工进行培训,他认为保护消费者免受社交工程攻击是 CWTA 成员的首要任务。


“必需教育那些前线服务和培训这些服务人员 - 需要时刻保持警惕,”Ghiz 说。


当 Marketplace 指出不正确的PIN和邮政编码并没有阻止渗透测试人时,Ghiz 依然认为现有的安全措施基本上有效,并辩称每周有数百万的电话,“总会有一些人为错误存在,”他说。


Mitnick 已经入侵了40多家公司,从麦当劳到摩托罗拉,曾经是联邦调查局最想要的人之一 - 最终因电脑和手机黑客入狱五年。如今他经营着一家企业,为他曾经瞄准的公司指出安全漏洞。


Mitnick 说,社交工程攻击每天都在发生,而且这通常是攻击者采取的第一个技术,因为“打电话给某人比做你需要闯入电脑的技术魔术要容易得多”。他说,如果您对提供商为保护您的帐户所采取的措施不满意,请使用您的钱包进行投票


他说,“消费者只能要求改变 - 如果他们不愿意这样做,你会去另一家供应商。”


Crumbaugh 说,消费者也可以通过某些方式帮助自己。


首先,如果可能,请在您的帐户中设置PIN码。随机选择四位数,千万不要它们连接到一个易于猜测的生日或地址。


并且,为常见的安全问题创建假答案,例如“你妈妈的娘家姓名是什么”。例如,不要使用您的狗的真实姓名,如果您这样做了,就请不要公开该信息。


时刻记住,社交媒体是攻击者首先寻找有关您的密码和常见安全问题答案的线索之一,例如您的出生日期以及您度蜜月的地方等。


“这么多人会用他们孩子的名字或出生日期或他们的宠物的名字作为密码,然后你去他们的社交媒体上看看就知道了,他们已经发布了一百万张标记着狗的名字的图片,他们'基本上等于把自己的密码放在那里供所有人看,“C​​rumbaugh 说。


永远不要轻视小细节;人是最危险的因素。甚至,您可以怀疑那些主动提供私人信息的人,这样的人至少非常明显地不懂得自我保护,于是他们也非常可能不会保护你,他们会暴露你的重要信息,和他们交往会出现危险。



&5

Are Apps Really Recording Your iPhone’s Screen? The big news here is that apps were being secretive about it and collecting more data than normal.


【你下载的应用程序一直在间谍你?】TechCrunch 报道了一件看起来惊人的事:许多 iPhone 应用程序一直在“秘密记录你的屏幕”。这是真的吗?嗯,是的,的确如此,虽然他们的记录能力有限。


首先,让我们明确一点:iPhone 和 iPad 应用程序无法记录您在手机屏幕上执行的所有操作。一个应用程序只能记录该应用程序本身内发生的情况。


换句话说,即使应用程序试图记录它所能做的一切,它也只能记录您在该应用程序中输入的滑动,点击和数据。 Expedia 应用程序是为数不多的特例之一。因此,如果您使用的是 Expedia,该应用可以记录您刷新、点按并输入 Expedia 应用的所有内容。但是,在您离开应用程序后,它无法看到您在主屏幕上执行的任何操作或您在其他应用程序中输入的任何内容。 Apple 的 iOS 操作系统会阻止应用程序始终记录您的屏幕,即使他们想要这样做。


唯一能够在屏幕上录制所有内容的功能就是使用 iPhone 内置的屏幕录制工具。APP 无法访问该内容。


该消息不应该是什么惊人的爆料。当您使用 Air Canada、Hollister 或 Expedia 等应用时,它们都可以监控您点按的所有内容以及在应用内的滑动动作。它们可以监视您在特定屏幕上浏览的时间;甚至可以记录您在该应用中输入的文字。例如,如果您在更改主意,删除信用卡和键入新的卡号之前在该应用中已经键入了一个信用卡号,则该应用可以捕获第一个信用卡号。毕竟,您在应用程序中键入了它,应用程序可以监视应用程序本身发生的所有事。


但是这些都没有解决更大的问题:公司是在没有向客户明确披露的情况下这样做的。不过,即使一家公司说它没有在它的应用程序中执行此类操作,你也应该意识到,任何应用程序都可以监视自身内部发生的任何事而你无法知道。


并且,请注意,此类行为不仅限于 iPhone 应用程序。当您访问网站时,网站也可以监控您在该网站上执行的任何操作。而且经常如此


网站可以知道您点击的内容,查看广告的时间以及您在网页的不同部分上花费的时间。如果您在网站上的字段中键入了信息,则网站上运行的脚本就可以捕获文本并将其发送到他们的服务器 - 即使您没有按 Enter 键或提交文本也是如此。


请注意,在线聊天界面也是一样的。即使你没有点击“发送”消息,也就是输入后又删掉了,另一端的支持人员通常都可以看到您输入的确切内容


与 iPhone 上的应用程序一样,网站只能看到您在网站上执行的操作。但如果每个网站都选择嵌入脚本,跟踪服务可能就会在多个网站上跟踪您。只是,您在一个浏览器标签中打开的网站无法在另一个浏览器标签中看到您在网上银行网站上的操作,也不知道您打开了网上银行页面。


这里真正的新闻是应用程序开发人员正在以非常详细的方式监控您的应用程序的使用情况


TechCrunch 涵盖了使开发人员可以嵌入其应用程序的“Glassbox”,它使用“会话重放”技术,让开发人员记录并捕获您在应用程序中执行的所有操作。这包括您在应用中点按,滑动和输入的所有内容。开发人员可以“回放”您对应用程序的使用情况,这在您遇到问题时尤其有用。他们还可以汇总使用这些数据,以了解人们如何使用该应用以及他们正在使用哪些功能。


正如 TechCrunch 指出的那样,应用分析师最近证明, Air Canada 没有正确地“屏蔽”会话重放,向监视人员公开了用户的信用卡详细信息和护照号码。拥有这些数据的 Air Canada 员工可能会看到您的关键私人信息。这很糟糕,但威胁仅限于您已经与之共享数据的公司的员工 —— 并且假设他们不会监守自盗卖掉你的数据。


要知道,应用程序不会在隐私政策中告诉你他们在这样做,更不用说应用本身了!但是,说实话:即使应用程序在他们的隐私政策中警告了你,你会注意到吗?实际上没人会读那些东西


Apple 现已注意到,要求在收集此类数据之前应用程序获得用户许可。 “应用程序必须要求明确的用户同意,并在录制、记录或以其他方式收集用户活动时提供清晰的视觉指示,”Apple 在给 TechCrunch 的电子邮件中说。


不过应用程序仍会监视您可以在其中执行的许多操作,即使他们必须先请求权限。开发人员更有可能不会收集尽可能多的数据。也许他们无法“回放”你的会话,但他们可能仍然知道你正在使用什么功能。


好吧,默认情况下,即使 Apple 的 iOS 操作系统本身也会同样会收集有关您“使用情况”的信息,并将此信息发送给 Apple。这很常见。所以,这里的重大新闻应该是,这些应用程序一直对此保密,并收集了比平常更多的数据。⚪️


感谢帮助 iYouPort!

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

44 views0 comments

Comments


bottom of page