Hasty Briefsbeta

全部标签

#privacy

共 903 篇

双语

Technical Analysis – Improper Use of Private iOS APIs in Vietnamese Banking Apps
a year ago
- BIDV与Agribank手机银行应用利用iOS私有API检测用户设备上安装的应用程序。
- 通过私有API SBSLaunchApplicationWithIdentifierAndLaunchOptions以错误码为侧信道验证应用是否存在。
- 这些应用采用弱异或加密混淆API名称和包标识符，增加检测难度。
- 该行为违反苹果App Store政策，可能导致应用下架并影响数百万用户。
- 此问题与采用合法检测技术的BShield和Verichains无关。
- 苹果指南禁止使用私有API以保护用户隐私和平台安全。
- 该漏洞符合苹果安全赏金计划5000美元漏洞奖励标准。
ToS;DR
a year ago
- Facebook无论账户状态如何都会存储用户数据，并可读取私信内容。
- 亚马逊通过第三方Cookie进行广告投放并跨网站追踪用户。
- 维基百科可能在全球范围处理存储数据，并使用追踪技术。
- DuckDuckGo默认用户同意条款并提供Tor网络访问支持。
- YouTube会保留已删除视频，并通过第三方Cookie投放广告。
- 可汗学院收集大量个人数据，且可能在用户删除请求后继续保留。
- Quora会跨网站追踪用户，并在无互动情况下保留数据。
- 暴雪要求用户放弃精神权利，并实施跨网站追踪。
- Tor浏览器提供匿名服务且不出售个人数据。
- PayPal即使用户选择退出仍会追踪，并保留已删除内容。
- Startpage不追踪用户且抵制合法数据请求。
- WikiHow与第三方共享个人数据并强制仲裁条款。
- CNN在不通知的情况下修改条款，并与非运营第三方共享数据。
- 苹果服务会编辑用户内容，且在账户关闭后保留内容授权。
- ToS;DR提供A(最佳)到E(最差)分级、透明且经同行评审的服务条款摘要。
France fines Apple €150M for “excessive” pop-ups that let users reject tracking
a year ago
- 法国竞争监管机构因苹果公司实施与追踪同意相关的弹窗信息，对其处以1.5亿欧元罚款。
- 应用追踪透明度框架（ATT）因过于复杂且损害依赖广告收入的小公司而受到批评。
- ATT框架要求用户同意为定向广告收集数据，若获得同意则可访问广告标识符（IDFA）。
- 此次法国调查是由广告行业协会的投诉引发的。
- 虽然ATT保护用户隐私的初衷没有问题，但其具体实施方式被竞争法认定为滥用行为。
- 苹果的实施方法使第三方应用使用复杂化，并对依赖广告收入的小型发行商造成不利影响。
- 第三方发行商必须在ATT框架外使用自己的同意收集方案，导致多重弹窗和操作复杂性。
FTC: 23andMe buyer must honor firm's privacy promises for genetic data
a year ago
- 美国联邦贸易委员会主席安德鲁·弗格森正因基因数据隐私问题密切关注23andMe公司的破产及出售事宜。
- 23andMe公司持有数百万用户的敏感个人信息，包括基因数据、健康信息和族谱细节。
- 该公司破产引发了对1500万客户基因数据安全及未来处理方式的担忧。
- 近期一起黑客攻击事件导致690万用户的族谱数据泄露，加剧了隐私忧虑。
- 联邦贸易委员会强调任何收购交易都必须遵守23andMe的隐私承诺，并符合现行政策与法律。
- 破产程序正由美国密苏里州东区破产法院审理。
Discover European alternatives to popular SaaS
a year ago
- 科技巨头将自身利益置于数字主权之上
- 欧洲需停止在基础设施领域依赖硅谷巨头
- 开源软件提供透明性、可控性和灵活性，且无隐藏成本
- openDesk等项目展示了欧洲的开源替代方案
- 欧洲开源奖项表彰卓越的开源解决方案
- CryptPad是托管在欧盟的Google Docs加密替代品
- Collabora Online基于LibreOffice提供注重隐私的文档编辑
- Nextcloud Office与Nextcloud集成实现安全协作
- XWiki是可定制、带迁移工具的Confluence替代方案
- OpenProject和Taiga是Jira的开源替代品
- Penpot是基于开放网络标准的Figma替代方案
- PeerTube是采用ActivityPub协议的去中心化YouTube替代平台
- Element是基于Matrix的安全版Slack/Teams替代品
- Codeberg是非营利性、专注开源项目的GitHub替代平台
- Plausible是轻量级、符合GDPR的Google Analytics替代方案
- Nextcloud Files和Cozy Drive是注重隐私的Google Drive替代品
- Proton Mail是总部位于瑞士的安全版Gmail替代服务
- LanguageTool是开源语法检查工具Grammarly的替代品
- Webmecanik是注重数据隐私的欧洲版Mailchimp替代方案
Mozilla Thunderbird Takes on Gmail with New Email Service
a year ago
- Mozilla Thunderbird正通过现代化更新与新技术应用迎来复兴
- Thunderbird Pro正在开发开源网络服务套件，其中包括注重隐私的电子邮件服务Thundermail
- Thundermail将提供基于浏览器的电子邮件服务并支持自定义域名，通过隐私优先策略与Gmail等竞争对手形成差异化
- Thunderbird Pro的其他服务包括加密文件共享工具Thunderbird Send、日程管理应用Thunderbird Appointment，以及注重隐私的AI邮件功能Thunderbird Assist
- Thunderbird Pro初期将采用付费模式，并计划随着用户增长推出功能受限的免费版本
- Thunderbird的捐赠收入大幅增长，正支持其拓展网络服务业务以抗衡Gmail和Office365等生态系统
Show HN: Appear as anyone in video calls like zoom or Google meets
a year ago
- 仅需一张参考照片，即可在视频通话中变身任意角色。
- 支持Zoom、Google Meet、Slack、Twitch和Discord等多种平台。
- 完全在本地设备运行，确保隐私安全无虞。
- Windows和Mac版本即将推出，现已开放抢先体验。
- 系统要求：Ubuntu 22.04或更新版本，8GB内存（推荐16GB），需配备支持CUDA的NVIDIA显卡。
- 兼容NVIDIA RTX 40/50系列显卡，暂不支持AMD显卡。
Pixelfed leaks private posts from other Fediverse instances
a year ago
- Pixelfed曾存在一个漏洞，允许未经授权访问来自其他Fediverse实例的私有帖子。
- 该问题源于Pixelfed忽略了'manuallyApprovesFollowers'属性，将所有账户视为未锁定状态。
- 来自Pixelfed实例的合法关注者可能向该实例上的任何用户暴露私有内容。
- 漏洞虽被负责任地报告，但维护者响应迟缓且沟通欠佳。
- Pixelfed的修复被捆绑在重大更新(v1.12.5)中，增加了管理员快速应用的难度。
- 该事件暴露出对Pixelfed安全实践和维护者行为的广泛担忧。
- Fediverse生态依赖信任，此次事件凸显了提升安全性与透明度的必要性。
Ente Photos v1
a year ago
- Ente Photos在历经5年开发、提交4万多次代码后，正式发布首个重大版本v1
- 该应用以隐私为核心，采用端到端加密技术，确保只有用户本人能访问照片
- 功能包含设备端的人物/物体/场景搜索，以及重温珍贵回忆的'发现'功能
- 通过在不同地点（含地下防空洞）存储3份加密备份，提供超高数据可靠性
- 应用完全开源，支持用户自行搭建服务器
- 未来将推出视频流媒体、新相册布局、本地优先版本及共享回忆时间线等功能
- 与部分竞品不同，Ente强调全平台可用性
- 团队感谢社区支持，将于2025年4月5日举行线上问答会
I asked police to send me their public surveillance footage of my car
a year ago
- 作者通过驱车300多英里穿越多个社区进行个人监控实验，观察其车辆被Flock车牌识别摄像头捕获的频率。
- 15个执法机构中有9个响应了作者依据《信息自由法》提出的请求，提供了其车辆被拍摄的影像，另有4个机构拒绝了该请求。
- Flock摄像头能捕捉车辆的详细信息，包括车牌、品牌型号以及如保险杠贴纸等独特标识，形成所谓的‘车辆指纹’。
- 作者车辆在罗阿诺克和斯汤顿被多次捕获，这些数据可揭示其出行规律。
- 拥有48个Flock摄像头的马丁斯维尔仅捕获到作者车辆一次，连警察局长都感到意外。
- 丹维尔虽与Flock签有合约，但在作者到访时尚未安装摄像头。
- 作者反思公共监控涉及的伦理问题，包括可能被滥用于跟踪或其他个人调查。
- 警方使用Flock摄像头引发对监管缺失的担忧，以及公众是否有权获取公共空间中被记录的自身影像。
- 作者目睹警方为调查案件向唐恩都乐索取监控录像的真实案例，凸显隐私权与公共安全之间的平衡难题。
Digital Echoes and Unquiet Minds
a year ago
- 2007年问世的iPhone作为'万能设备'带来了前所未有的便利，却也带来了始料未及的心理负担。
- 智能手机默认设计就是分散注意力的，全系统通知缺乏优先级区分，迫使用户不得不关闭功能来对抗干扰。
- 许多人尝试简化智能手机使其接近'功能机'，却不愿放弃优质摄像头和短信等核心功能。
- 除了直接干扰，还存在'数字回响'现象——意识到自己的行为生成的数据正被他人观测并变现，这种认知负担挥之不去。
- 像特斯拉这样的智能设备每个动作都会产生数字信号，而15年车龄的本田汽车完成同样功能却不会留下数字痕迹。
- 自动驾驶汽车体现了将便利性和注意力价值置于控制权与所有权之上的极致追求，引发人们对技术代价的思考。
- 被持续观测的认知将独处行为转化为隐性的社交互动，形成挥之不去的自我意识。
- 由于能建立专注、在场且有意识的媒介关系，单功能模拟技术（如黑胶唱机、胶片相机）正重获青睐。
- 个人对特定技术的取舍（选择自有媒体而非流媒体、坚持纸质书、拒绝智能家居）折射出对深度参与的追求。
- 下一波数字变革可能会倡导选择性连接，专注于为注意力和特定用途设计的设备与界面。
Madison Square Garden's surveillance banned this fan over his T-shirt design
a year ago
- 弗兰克·米勒因多年前设计的'禁止多兰'T恤被终身禁止进入麦迪逊广场花园（MSG）旗下场馆，尽管他并未参加相关活动。
- MSG采用面部识别技术识别并封禁目标人员，米勒事件与新泽西州律师的先前案例均体现了这一做法。
- 米勒的朋友曾因穿着'禁止多兰'T恤遭封禁，此事经媒体报道后引发对MSG政策的批评。
- 尽管米勒在2021年事件中既未穿着争议T恤也未到场，仍被技术识别并封禁，这加剧了公众对监控与隐私的担忧。
- MSG以米勒在社交媒体发出威胁及销售攻击性商品为由为其禁令辩护，而米勒则认为这种监控是恐吓手段。
DEDA – Tracking Dots Extraction, Decoding and Anonymisation Toolkit
a year ago
- 文档色彩追踪点（黄色小点）几乎在所有商用彩色激光打印机中都嵌入了打印机及打印输出的信息编码。
- 该软件支持读取、解码及匿名化追踪点，以防止任意形式的追踪行为。
- 安装需Python 3和Deda环境，可选配Wand库用于对含空白区域的图像进行匿名化处理。
- 通过`deda_parse_print`、`deda_compare_prints`和`deda_extract_yd`等命令可分析追踪点数据。
- 匿名化操作需先用`deda_anonmask_create`生成掩模，再通过`deda_anonmask_apply`应用掩模。
- 常见问题解决方案包括调整扫描设置、安装依赖库或修改ImageMagick策略文件。
Hacking the call records of millions of Americans
a year ago
- Verizon Call Filter iOS应用存在安全漏洞，允许未经授权访问Verizon无线客户的通话记录日志。
- 该漏洞使攻击者能够通过修改请求中的电话号码绕过身份验证检查，获取任意Verizon号码的通话记录。
- 包括时间戳和来电详情在内的通话元数据可能被用于监控，对隐私和安全构成威胁，尤其危及弱势群体。
- 漏洞根源在于请求头中的电话号码与认证用户的JWT令牌之间缺乏服务端验证。
- 存在漏洞的终端托管在与电信技术公司Cequint关联的域名上，引发了对数据安全和访问控制的担忧。
- Verizon迅速响应，承认漏洞报告并在发现后一个月内解决了该问题。
Declarative Web Push
a year ago
- 声明式网页推送允许在不需安装服务工作者的情况下发送网页推送通知。
- 与传统网页推送相比，该技术设计更节能且更注重隐私保护。
- 声明式网页推送采用标准化的JSON格式传递推送消息，确保兼容性和易用性。
- 此特性支持向后兼容，现有网页推送通知可与声明式通知并行运作。
- WebKit通过强制显示通知内容及拦截静默推送消息来保障用户隐私。
- 声明式网页推送可在iOS和iPadOS 18.4系统中进行测试。
- 该实现包含标准化工作，以确保广泛兼容性及未来功能扩展。
AdNauseam: Clicking ads so you don't have to
a year ago
- AdNauseam是一款浏览器扩展，能自动点击被屏蔽的广告以干扰追踪系统。
- 基于uBlock Origin开发，该工具通过伪造广告访问记录，使用户追踪和定向广告失效。
- 其设计初衷是保护隐私，并对侵入式广告网络提出抗议。
- AdNauseam通过混淆浏览数据，赋予用户对抗单向监控的能力。
- 该工具与TrackMeNot等理念一致，通过数据干扰挑战追踪权力的不对等关系。
Wary of US Surveillance? Try These European Alternatives to Big Tech
a year ago
- 谷歌、苹果、微软、亚马逊和Meta等美国科技巨头主宰着互联网，其代价往往是牺牲用户隐私。
- 《外国情报监视法》第702条等法律允许美国政府无需搜查令即可获取私人数据，甚至影响非美国居民。
- 发源于瑞士的Proton公司提供注重隐私的替代方案，强调端到端加密以抗衡美国服务。
- 欧洲在多个领域存在替代选择：搜索引擎（Qwant、Ecosia）、浏览器（Vivaldi、LibreWolf）、即时通讯（Threema、Olvid）。
- 其他替代方案包括导航（OsmAnd、Organic Maps）、网络托管（OVHcloud、Infomaniak）、流媒体（Deezer、PeerTube）。
- 还有专注隐私的笔记工具（Standard Notes）、社交媒体（Mastodon、Lemmy）及翻译服务（DeepL）。
- Proton通过端到端加密确保用户掌控数据，即使服务提供商也无法获取信息。
- 重获隐私权需要选择将用户权利置于监控和利润之上的服务。
Non-US-based alternatives to popular services
a year ago
- 非美国本土的流行服务替代品优先考虑隐私、安全和数字主权。
- 根据《爱国者法案》，美国本土服务可在未经同意的情况下访问私人数据，甚至针对非美国公民。
- 五眼联盟在美国、英国、加拿大、澳大利亚和新西兰之间共享情报数据。
- 在美国设有实体（服务器、办公室、员工）的非美国服务仍可能被迫交出数据。
- 科技巨头遵守监控法律，与情报机构共享用户数据。
- 已删除的数据仍可能被当局存储并恢复。
- 该清单推荐的替代方案旨在减少对美国科技巨头的依赖并增强隐私保护。
- 鼓励通过社区贡献、验证和透明度来完善清单内容。
- 关键分类包括电子邮件、搜索引擎、云存储、即时通讯、社交媒体等。
- 替代方案示例：ProtonMail、Qwant、Nextcloud、Mastodon、Bitdefender、LibreOffice等。
NNCP
a year ago
- NNCP支持系统间安全文件传输与远程执行，无需双方同时在线
- 它通过U盘、磁带、无线电、云服务等多种媒介实现异步通信
- NNCP是UUCP协议的加密认证升级版，采用洋葱路由技术增强隐私安全
- 专为小型自发式朋友间(F2F)网络设计，提供端到端加密与完整性校验
- 支持电子邮件、Usenet、网络服务等多种应用，具有灵活的路由选项
- NNCP是注重隐私性、抗灾能力和技术自主场景的理想解决方案
- 提供完整文档与学习资源，包含核心概念、入门指南及项目实践方案
Show HN: I Built ImgFiber-Better Image Optimizer. Free No Limits
a year ago
- 即时、无损的文件压缩，完全保障隐私（文件从未上传至服务器）。
- 支持所有图像格式，包括JPG、PNG、WEBP等。
- 100%无损压缩，画质零损失。
- 快速压缩流程，秒速完成，操作简单无需复杂步骤。
- 完全免费使用，图像压缩无任何限制。
- 用户好评如潮，盛赞其高效、极速与节省成本的特性。
- ImgFiber比其他工具节省高达25%的存储空间。

About|Login

#privacy

Technical Analysis – Improper Use of Private iOS APIs in Vietnamese Banking Apps

ToS;DR

France fines Apple €150M for “excessive” pop-ups that let users reject tracking

FTC: 23andMe buyer must honor firm's privacy promises for genetic data

Discover European alternatives to popular SaaS

Mozilla Thunderbird Takes on Gmail with New Email Service

Show HN: Appear as anyone in video calls like zoom or Google meets

Pixelfed leaks private posts from other Fediverse instances

Ente Photos v1

I asked police to send me their public surveillance footage of my car

Digital Echoes and Unquiet Minds

Madison Square Garden's surveillance banned this fan over his T-shirt design

DEDA – Tracking Dots Extraction, Decoding and Anonymisation Toolkit

Hacking the call records of millions of Americans

Declarative Web Push

AdNauseam: Clicking ads so you don't have to

Wary of US Surveillance? Try These European Alternatives to Big Tech

Non-US-based alternatives to popular services

NNCP

Show HN: I Built ImgFiber-Better Image Optimizer. Free No Limits