Hasty Briefsbeta

全部标签

#privacy

共 903 篇

双语

GrapheneOS and Forensic Extraction of Data
8 months ago
- GrapheneOS是一款基于安卓的开源操作系统，以隐私保护为核心，以其高安全性著称。
- 五月期间，社交媒体上出现不实攻击，谎称GrapheneOS系统遭破解，歪曲其基于用户同意的数据提取机制。
- 数字取证技术涉及分析电子数据以获取法律证据，但可能被滥用于针对活动人士或记者。
- Cellebrite是一家以色列数字取证公司，其销售的工具被全球多国使用，包括某些威权政权。
- 数据提取方式包括：基于用户同意的（设备解锁状态）、黑客入侵或暴力破解PIN码/密码。
- 设备可能处于BFU（首次解锁前，加密状态）或AFU（首次解锁后，解密状态），这会影响数据可获取性。
- Cellebrite能攻破多数安卓和部分iOS设备，但对保持最新版的GrapheneOS设备束手无策。
- GrapheneOS通过安全元件的尝试限制功能（失败后延迟机制）有效防御Pixel 6+设备上的暴力破解。
- 自动重启功能使设备回归BFU状态，大幅提升对抗数据提取的安全性。
- GrapheneOS通过禁用AFU模式下的USB连接，并允许用户彻底关闭USB功能来反制取证工具。
- 未来版本计划引入双重指纹解锁和随机密语生成功能，以提供更强大的安全防护。
Every Keystroke You Make: A Tech-Law Measurement and Analysis of Event Listeners
8 months ago
- 本研究通过技术-法律分析，将美国窃听法映射到网络追踪领域，重点关注第三方追踪器使用的JavaScript事件监听器。
- 研究发现，排名前百万的网站中有38.52%使用第三方事件监听器截获键盘输入，其中3.18%会将截获数据传输至第三方服务器。
- 被截获的数据（如电子邮箱地址）有时会被用于未经许可的电子邮件营销。
- 该研究强调窃听法可能为隐私侵害案件提供法定私人诉讼权。
- 未来需开展法律研究以判定观察到的窃听行为何时构成违法。
The Grammar Checker That Gets Developers
8 months ago
- Harper是一款专为开发者设计的语法检查工具，解决了Grammarly等工具带来的困扰。
- 它支持离线运行，通过不将敏感代码或文档发送至外部服务器来确保隐私安全。
- Harper能无缝集成到VS Code、Neovim、Obsidian和Chrome等开发环境中。
- 基于Rust语言构建，Harper可在不拖慢编辑器速度的情况下提供实时反馈。
- 尤其擅长捕捉技术写作中的错误，如大小写不规范、单词拼写错误和表达生硬等问题。
- Automattic于2024年11月收购了Harper，将其纳入内容创作工具组合。
- 此次收购凸显了Automattic对隐私保护和开发者体验的重视。
- Harper作为免费开源工具，使没有预算限制的团队也能轻松使用。
- 其隐私优先的特性使其成为处理敏感信息的理想选择。
- Harper的成功关键在于真正理解开发者需求，而非试图满足所有人。
Swiss government look to undercut privacy tech stoking fear of mass surveillance
8 months ago
- 瑞士政府提议要求用户超过5000人的服务提供商收集政府签发的身份证件，保留用户数据六个月，并在多数情况下禁用加密功能。
- 该提案绕过了议会批准程序，引发全球对破坏网络匿名性的担忧，即使对瑞士境外用户也将产生影响。
- 注重隐私的公司如Proton正因这项大规模监控提案将基础设施迁出瑞士，向欧盟投资超1亿欧元。
- Proton首席执行官安迪·严表示该法规在欧盟和美国均属非法，并称其堪比俄罗斯相关法律。
- 瑞士官员让-路易斯·比伯斯坦声称该法规对打击网络攻击、有组织犯罪和恐怖主义是必要的，并设有严格措施防止大规模监控。
- 包括NymVPN和欧洲数字权利组织在内的批评者指出，该法律要求用户提供官方身份证件，允许当局无需法院命令即可获取元数据，严重侵害隐私权。
- 新规将大规模保留电子邮件地址、电话号码、姓名、IP地址及设备端口号等数据长达六个月。
- 隐私倡导者警告该法律威胁网络匿名性，对人权捍卫者、记者和寻求网络安全的少数群体构成重大风险。
Show HN: Consentless – A minimalist, privacy-preserving traffic counter
8 months ago
- Consentless 是一个开源、极简且保护隐私的流量计数器
- 专为符合CCPA/CPRA、UCPA、GDPR等隐私法规设计，无需用户授权同意
- 仅追踪URL访问量，不记录IP地址或个人身份信息(PII)
- 时间戳仅精确到分钟级别以增强用户隐私保护
- 可部署于任意VPS、托管服务、Docker容器或云平台
- 客户端JavaScript仅4行代码，服务端代码不足100行
- 直接输出CSV格式数据至标准输出，可重定向到文件或进行后续处理
- 采用图片请求实现追踪，避免CORS问题并保持代码极简
- 支持使用SQLite等工具直接查询数据
- 基于MIT许可证开源发布于GitHub平台
Swiss e-ID vote: 'Digitalisation must serve citizens' interests'
8 months ago
- 瑞士公民将于9月28日就《数字身份法》进行投票，该法案提议推出可选的、免费的、国家管理的电子身份证。
- 反对者认为电子身份证可能通过允许商业机构使用护照数据侵犯隐私，而支持者则认为它比实体身份证能提供更好的数据控制。
- 2021年的电子身份证提案因由私营企业管理遭否决；新版本改为国家管理，但仍因数据隐私问题面临批评。
- 《数字身份法》第23条允许验证方为防欺诈索取个人数据，引发对过度收集数据的担忧。
- 支持者强调该法律强化了隐私保护，弥补了先前草案的漏洞。
- 电子身份证可简化海外瑞士公民的行政手续，但有人认为现有登录系统（如Agov）已足够。
- 海外瑞士人组织视电子身份证为电子投票的铺垫，但辩论嘉宾以安全隐患为由表示反对。
- 瑞士在欧盟37国的电子政务排名中位列第31位，电子身份证被视为推动数字进步的潜在催化剂。
- 批评者强调数字化必须优先保障公民利益和民主，质疑当前电子身份证法案是否符合这些目标。
Gemini (2023)
8 months ago
- Gemini是万维网（WWW）的一种更简洁、符合人类使用尺度、无干扰且保护隐私的替代方案。
- 用户需安装Gemini客户端（类似网页浏览器）来访问Gemini，官方为Windows、MacOS、iOS、Android和Linux等操作系统提供了推荐客户端列表。
- Gemini内容以纯文本为主，采用极简排版，聚焦博客（gemlogs）和人工精选目录，而非现代互联网常见的多媒体密集型内容。
- 在Gemini上发现内容需通过聚合器、人工目录及主要搜索引擎Geminispace.info实现，但搜索功能的重要性远低于传统万维网。
- 当前在Gemini发布内容需要较多技术操作，包括使用独立工具进行内容创作和服务器上传，不过部分网站提供简化发布的Web应用。
- Gemini内容托管方案包括共享托管服务、pubnixes（公共UNIX服务器）及自建服务器，技术门槛各不相同。
- Gemini生态崇尚DIY精神，众多客户端和服务器由个人或小团队开发，提供去商业化、高度个性化的网络体验。
Introduction to GrapheneOS
8 months ago
- GrapheneOS 是一个专注于安全的基于安卓的操作系统，仅兼容谷歌Pixel设备。
- 它通过彼此隔离的加密配置文件提供对智能手机活动的增强控制，这些配置文件之间无法相互通信。
- 配置文件允许设置不同的参数、应用和权限，包括完全停止某个配置文件以防止后台活动。
- 可以通过专用的GOS应用商店轻松安装Google Play和Google Play服务，但也可以在不使用谷歌服务的情况下运行GOS。
- 通过网页界面即可简单安装，并通过无线（OTA）方式推送更新以方便用户。
- GOS提供对应用权限的严格管控，允许用户为每个权限指定访问范围。
- 该系统不允许root访问，但通过权限和配置文件提供了更多控制权。
- 性能影响微乎其微，在CPU/GPU密集型任务中无明显性能损失。
- 作者分享了其使用多配置文件的工作流程，例如分别用于工作、多媒体和游戏等不同用途。
- 推荐谷歌Pixel 8a因其长期支持、性能表现和OLED屏幕，但该机型不支持SD卡扩展。
- GrapheneOS因赋予用户对手机的高度掌控而受到赞誉，但对于对现有安卓设置满意的用户则不作推荐。
Meta bypassed Apple privacy protections, claims former employee
8 months ago
- Meta前产品经理指控该公司绕过苹果隐私保护措施欺骗广告商，并因此遭解雇。
- 据报道，Meta为规避每年100亿美元收入损失，对拒绝追踪授权的苹果用户进行识别。
- 苹果2021年推出的应用追踪透明度框架(ATT)要求获得用户追踪许可，但多数用户选择拒绝。
- 指控称Meta使用"确定性匹配"等技术手段在未经同意下追踪用户，违反苹果政策。
- 前员工Samujjal Purkayastha声称Meta虚增广告销售价值，并因他提出质疑将其非法解雇。
- Meta否认不当行为，称解雇与该指控无关。劳动仲裁听证会即将举行。
Massive Attack turns concert into facial recognition surveillance experiment
8 months ago
- Massive Attack在演唱会上使用实时面部识别技术，将处理后的观众数据作为演出内容投射展示。
- 此举引发两极反应——有人赞赏其对监控行为的批判，也有人对未经同意的数据采集感到不适。
- 该乐队素有通过作品批判监控政治的传统，这次演出是其艺术行动的延续。
- 由于数据存储政策不透明且未获得参与者明确同意，引发了伦理争议。
- 这场表演迫使观众直面面部识别技术在公共空间日益普及的现实。
Google Secretly Handed ICE Data About Pro-Palestine Student Activist
8 months ago
- 康奈尔大学的国际学生莫莫杜·塔尔和阿曼德拉·托马斯-约翰逊因公开反对以色列对加沙的战争，担心成为移民当局的针对目标。
- 国土安全调查局（HSI）向谷歌和Meta发出传票，要求提供塔尔和托马斯-约翰逊的账户数据，谷歌在未事先通知托马斯-约翰逊的情况下就配合了传票要求。
- 美国移民及海关执法局（ICE）利用宽泛的法律条款向科技公司发出行政传票，通常无需司法监督，这引发了人们对隐私权和权力滥用的担忧。
- 塔尔曾起诉特朗普政府以防止自己被拘留，但在他离开美国后，ICE撤销了对他记录的传票要求。
- 托马斯-约翰逊在一位朋友被询问其行踪后逃离美国；谷歌后来在没有事先通知的情况下，配合了对其Gmail数据的传票要求。
- 法律专家批评这种缺乏透明度且无法质疑传票的机制，强调这对言论自由和隐私权构成威胁。
- 文章还提到对特朗普政府威权主义倾向的更广泛担忧，包括无视法院命令和打压新闻自由的行为。
The Camera-Shy Hoodie
8 months ago
- “镜头羞涩连帽衫”是一款DIY服装，旨在使穿着者在夜视监控录像中匿名化
- 通过高功率红外LED灯以匹配监控补光灯的波长频闪，造成图像过曝和细节丢失
- LED灯带环绕上半身布局，可模糊穿戴者头部特征，肉眼不可见但能有效干扰红外摄像头
- 含全套DIY材料包：组件物料、设计图纸、组装指南及高清效果图
- 获Motherboard、Popular Science和Hackaday专题报道，其隐私保护创新设计引发关注
- 开放套件预售（含定制电子元件），可选捐赠模式支持开源项目发展
- 采用知识共享署名-非商业性4.0国际许可协议
Is WhatsApp safe? Not according to its ex-security chief
8 months ago
- WhatsApp前安全主管Attaullah Baig指控Meta无视重大漏洞，允许员工访问敏感用户数据，且未能阻止大规模账户入侵事件
- WhatsApp端到端加密（E2EE）技术仍有效保护文字、照片和语音通话内容，但元数据（联系人、时间等）可被WhatsApp获取，并在部分区域与Meta共享
- Baig诉讼指出约1500名员工能访问敏感用户信息，可能违反剑桥分析丑闻后美国政府颁布的监管令
- 现存安全风险包括PixPirate恶意软件、零点击漏洞攻击、SIM卡劫持，以及可能通过交叉比对重新识别用户身份的元数据泄露
- WhatsApp与Meta共享数据用于跨平台精准广告投放，Meta人工智能的集成引发数据使用和隐私担忧
- 安全建议：启用账户安全通知、使用通行密钥、开启加密备份功能、切勿分享验证码
- 若担忧Meta数据收集行为，可考虑使用更注重隐私的即时通讯替代品
Kmart broke privacy laws by using facial recognition, commissioner finds
8 months ago
- 凯马特因未经同意对顾客使用面部识别技术(FRT)被认定违反隐私法
- 该技术曾在澳大利亚28家门店用于打击退货欺诈，采集了'数万至数十万'顾客的面部数据
- 隐私专员裁定凯马特使用FRT'不成比例'，并非最有效的安全措施
- 凯马特曾援引《隐私法》中针对打击非法活动的豁免条款，但该主张被驳回
- 专员指出其防欺诈效果微乎其微，却可能带来监控和歧视等潜在危害
- 凯马特被勒令停止该行为，并需在官网发布关于调查结果的声明
- 此前Bunnings也因使用FRT受到类似裁决，但澳大利亚商店并未禁用该技术
- 凯马特已于2022年停用FRT，正考虑上诉，理由是盗窃案增加及安全顾虑
Study Exposes How Travel ESIMs Reroute Data Through China
8 months ago
- 许多旅行eSIM提供商在未告知用户的情况下，将数据流量经中国等非预期国家路由，引发隐私监控担忧。
- 研究发现eSIM配置文件常通过第三方国家中转流量，中国运营商出现频率异常高。
- eSIM技术存在安全漏洞：包括未授权小程序安装、克隆配置文件劫持用户身份等风险。
- eSIM欺诈（如SIM卡置换攻击）激增，已造成重大财务损失案例。
- 部分eSIM配置文件存在静默主动行为，无需用户操作即可发起连接，涉及透明度与隐私问题。
- eSIM分销商准入门槛极低且缺乏监管，使用户暴露于潜在风险中。
- 专家建议选择透明运营商、启用强认证、使用VPN并保持设备更新以降低风险。
- eSIM静默行为可能导致控制权丧失、遭受监控、数据泄露、欺诈及隐藏收费等旅行风险。
- 市场正转向透明可控模式，部分供应商已提供可自主选择的路由方案。
- 未来eSIM市场竞争优势将属于那些能提供路由记录、本地直连选项及安全合规的供应商。
Tails 7.0 Released
8 months ago
- Tails 7.0 正式发布，基于 Debian 13（Trixie）和 GNOME 48（班加罗尔）系统
- 特别纪念 Tails 和自由软件项目的核心贡献者 Lunar（1982–2024）
- 采用 zstd 压缩替代 xz 使启动速度加快 10–15 秒
- 建议使用优质 U 盘以避免启动速度下降
- 已更新 Tor 浏览器、雷鸟邮件客户端、Electrum 钱包、OnionShare、KeePassXC 等应用程序
- GNOME 更新包含设置界面重构、新增无障碍功能及屏幕阅读器优化
- 移除了位置菜单、收藏夹中的 Kleopatra、unar、aircrack-ng 等组件
- 硬件支持升级：Linux 内核 6.12.43，内存要求提高至 3GB
- 修复了部分语言键盘布局选择等问题
- 提供现有用户升级指南及新用户安装说明
- 用户可通过 Tails 官网获取支持与提交反馈
Tell the EU: Don't Break Encryption with "Chat Control"
8 months ago
- 欧盟正在提议一项名为'聊天管控'的法律，该法律将强制要求科技公司扫描私人信息，包括那些采用端到端加密的内容。
- 客户端扫描（CSS）技术将允许在发送前对消息、照片和文件进行扫描，这会给黑客、企业和政府留下可乘之机。
- Mozilla社区敦促欧盟政策制定者保护加密技术、捍卫网络安全，并咨询独立专家意见。
- 欧盟各国对聊天管控立场不一，部分国家反对、未作决定或积极推动该法案通过。
- 客户端扫描会破坏加密体系，存在误判风险，且可能被扩大用于监控各类对话内容。
- 若法案通过，聊天管控将影响WhatsApp、Signal等通讯应用，以及iCloud和Google Drive等云服务。
Kmart's use of facial recognition to tackle refund fraud unlawful
8 months ago
- 澳大利亚Kmart超市因未经同意使用面部识别技术（FRT）收集生物特征数据而侵犯隐私。
- 2020年6月至2022年7月期间，28家门店部署FRT以打击退货欺诈，但无差别抓拍顾客面部。
- 隐私专员认定该数据收集行为过度，指出存在侵入性更小的替代方案且实际效果有限。
- Kmart辩称符合《隐私法》中打击非法活动的豁免条款，但该主张被专员驳回。
- 此前2024年Bunnings五金连锁也因在62家门店使用FRT被裁定违规，目前正接受法庭复审。
- 裁决强调需平衡隐私权与商业需求，而非全面禁止FRT技术。
- 澳大利亚信息专员公署（OAIC）发布FRT隐私风险评估指南，重点要求措施相称性和透明度。
- Kmart已于2022年停用FRT并配合调查。
Fonts.upset.dev: A privacy-friendly Google Fonts alternative
8 months ago
- fonts.upset.dev 是 Google Fonts 的隐私友好型替代方案
- Google Fonts 有两个终端节点（fonts.googleapis.com 和 fonts.gstatic.com），提供未压缩的 CSS 文件，且不符合多项欧盟法规
- Google Fonts 仅使用 gzip 进行文件压缩
- fonts.upset.dev 将 CSS 和字体文件整合在单一终端节点中，优化并压缩 CSS 文件，同时隐藏用户 IP 地址使其不被 Google 获取
- fonts.upset.dev 同时支持 brotli 和 gzip 两种文件压缩方式
Notesnook: Open-source, encrypted, local-first note taking app
8 months ago
- Notesnook是一个私密加密的笔记工作空间，无追踪无监控
- 所有数据在离开设备前均已加密，确保用户隐私安全
- 支持移动端/桌面端/浏览器端的端到端加密笔记同步
- 笔记在存储、传输及云端均全程加密，保障数据安全
- 应用锁功能可在设备丢失时保护笔记安全
- 100%开源，用户可审查代码或自行搭建服务器
- 通过密码保护安全共享笔记
- 网页剪藏工具可私密保存网页内容
- 双向笔记链接实现更高效的知识管理
- 支持表格、任务清单、Markdown等丰富编辑功能
- 笔记保险库可为重要笔记添加密码保护
- 内置任务提醒功能帮助管理工作事项
- 提供Vericrypt工具验证加密可靠性
- 桌面端和移动端免费使用，支持无缝同步
- 用户好评集中体现在隐私保护和使用体验
- 社区驱动开发模式，开放意见反馈渠道
- 未来计划拓展更多应用商店并增加多语言支持

About|Login

#privacy

GrapheneOS and Forensic Extraction of Data

Every Keystroke You Make: A Tech-Law Measurement and Analysis of Event Listeners

The Grammar Checker That Gets Developers

Swiss government look to undercut privacy tech stoking fear of mass surveillance

Show HN: Consentless – A minimalist, privacy-preserving traffic counter

Swiss e-ID vote: 'Digitalisation must serve citizens' interests'

Gemini (2023)

Introduction to GrapheneOS

Meta bypassed Apple privacy protections, claims former employee

Massive Attack turns concert into facial recognition surveillance experiment

Google Secretly Handed ICE Data About Pro-Palestine Student Activist

The Camera-Shy Hoodie

Is WhatsApp safe? Not according to its ex-security chief

Kmart broke privacy laws by using facial recognition, commissioner finds

Study Exposes How Travel ESIMs Reroute Data Through China

Tails 7.0 Released

Tell the EU: Don't Break Encryption with "Chat Control"

Kmart's use of facial recognition to tackle refund fraud unlawful

Fonts.upset.dev: A privacy-friendly Google Fonts alternative

Notesnook: Open-source, encrypted, local-first note taking app