Google Starts Scanning All Your Emails After Gmail Upgradea year agohttps://www.forbes.com/sites/zakdoffman/2025/05/07/googles-gmail-upgrade-you-mus...谷歌正在为Gmail更新AI功能,引发了隐私与安全方面的担忧。由Gemini驱动的全新AI功能'情境智能回复'会分析邮件内容来生成详细回复。这些功能目前仅面向Workspace商业版和企业版用户提供,并支持手动启用或禁用。谷歌警告称Gemini的建议可能不准确,不应视为专业意见。由于AI会扫描邮件中的私密和机密信息,隐私问题随之浮现。谷歌提供了退出选项和隐私指引,将决定权交给用户和企业。Gmail的端到端加密功能可阻止AI处理加密邮件,这凸显了隐私保护的争议性。
Sam Altman Wants Your Eyeballa year agohttps://www.privacyguides.org/articles/2025/05/10/sam-altman-wants-your-eyeball/OpenAI首席执行官萨姆·奥尔特曼宣布扩大World项目(原Worldcoin),该项目涉及扫描用户眼球进行生物特征验证。World App通过虹膜扫描提供'人格证明',将唯一标识符存储在区块链上,并包含加密货币管理、游戏和社交互动等功能。批评者指出其存在不道德行为,包括通过经济激励手段剥削发展中国家弱势群体获取生物特征数据。由于生物特征数据的不可逆性、潜在滥用风险及全球范围内法律保护不足,引发隐私担忧。肯尼亚、巴西和印尼等国已因隐私与安全违规问题禁止或暂停Worldcoin运营。该项目与Tinder、Visa等大公司的合作引发对强制生物识别验证普及化的担忧。监控常态化和权力集中于单一营利性企业,对隐私权和人权构成重大威胁。
Email Forwarding for Your Domaina year agohttps://mailwip.com7天免费试用,可轻松取消订阅。付费订阅模式保障高品质服务与快速客户响应(美国工作时间30分钟内答复)。除非用户明确要求,否则不存储邮件内容;所有数据均采用透明数据加密技术。可创建无限量邮箱并自动转发至指定地址。支持别名邮件多收件人转发,类似邮件组功能。全收地址确保重要邮件无一遗漏。通过Mailwip SMTP服务器发件,呈现专业发信标识(Gmail不显示'via'标签)。Maillog功能支持网页界面直接回复邮件,实现类Webmail操作体验。可为不可信服务生成一次性临时邮件别名。详细收信记录功能便于问题排查(默认关闭以保护隐私)。支持Webhook集成处理邮件(例如以JSON格式POST请求发送邮件数据)。Slack集成实现团队邮件可视化,无需反复查收收件箱。提供获取邮件和域名数据的REST API接口。命令行工具支持邮件追踪及本地Webhook监听。极速邮件投递(5秒内送达)。若邮件被误判为垃圾邮件,Maillog可协助处理。仅存储维持功能运行的必要数据。人性化界面设计,配备引导式入门指引。专业支持MX记录配置、SPF设置及邮件投递问题(文档/邮件/在线客服)。
Airlines Are Selling Your Data to ICEa year agohttps://jacobin.com/2025/05/airlines-data-ice-trump-immigration/航空报告公司(ARC)向美国移民及海关执法局(ICE)及其他联邦机构收集并出售乘客数据ARC每年处理120亿次航班数据,覆盖全球54%的航班数据包含飞行行程、乘客姓名及财务信息,可通过旅行情报计划获取ARC由达美航空、美联航、美国航空等九家主要航司共同控股隐私专家担忧政府无限制获取海量乘客数据将危害公民自由ICE、国防部、财政部等联邦机构与ARC签订旅行数据访问合同ARC数据库存有超10亿条记录,涵盖过去及未来39个月的旅行数据由于缺乏替代清算机构,ARC对航空乘客数据的垄断引发重大隐忧2024年以来,ARC通过联邦机构合同获利超130万美元批评者质疑在特朗普政府移民打压背景下,数据隐私保护措施及潜在滥用风险
I hacked a dating app (and how not to treat a security researcher)a year agohttps://alexschapiro.com/blog/security/vulnerability/2025/04/21/startups-need-to...Cerca约会应用存在严重安全漏洞,导致私密聊天记录、护照信息及性取向等隐私数据外泄漏洞包括OTP验证系统失效和API接口未授权访问,使得攻击者可任意获取用户数据安全研究员已向Cerca公司提交漏洞报告,但该公司修复后既未回应也未通知受影响用户漏洞利用可访问超6000份用户档案,内含身份证件等敏感信息与个人隐私内容安全防护缺失可能导致身份盗用、跟踪骚扰及敲诈勒索,事件暴露出约会类应用亟需加强安全防护机制
Build Your Own Siri. Locally. On-Device. No Clouda year agohttps://thehyperplane.substack.com/p/build-your-own-siri-locally-on-device文章探讨了在设备本地运行AI模型以保护隐私和提高效率的潜力。介绍了一个关于构建本地语音助手的迷你课程,该助手能理解自然语言并离线执行应用程序功能。课程内容涵盖使用LoRA微调LLaMA 3.1 8B模型、创建函数调用数据集以及在本地运行推理。强调即使对于纯本地AI系统,遵循MLOps原则对确保可靠性和避免静默故障的重要性。系统概述包括数据集生成、针对函数调用的指令微调,以及在MAC生态系统中测试模型。本文主要面向构建隐私优先移动应用的开发者,以及在敏感环境中部署应用的团队。该迷你课程免费提供,包含实践课程并配有GitHub代码库以便实际操作。
"Google wanted that": Nextcloud decries Android permissions as "gatekeeping"a year agohttps://arstechnica.com/gadgets/2025/05/nextcloud-accuses-google-of-big-tech-gat...Nextcloud是一个自托管云平台,旨在通过视频聊天、文件存储和协作编辑等功能替代Google Workspace等服务。据称自2024年年中起,Google阻止了Nextcloud安卓应用上传非媒体文件,限制了其功能。Nextcloud声明其安卓应用自首次发布起就拥有完整文件访问权限,却在2024年9月突然被无理由禁用。Nextcloud表示Google对其申诉的回复毫无帮助,仅提供重复且模板化的答复。这一事件凸显出现代计算生态系统中用户控制权与隐私保护的隐忧。
Making my app worse because of macOS privacy protectionsa year agohttps://lapcatsoftware.com/articles/2025/5/3.html苹果推出了一项新的macOS功能,当应用未经用户输入就编程读取通用剪贴板时会发出警报。开发者可使用终端命令测试此行为:`defaults write <你的应用包ID> EnablePasteboardPrivacyDeveloperPreview -bool yes`。链接还原工具(Link Unshortener)在启动时触发警报,因为它会检查剪贴板中的URL以自动填充新窗口。新警报缺乏「始终允许访问」「说明访问原因」或「避免首次启动时请求权限」的选项。作者决定从链接还原工具中移除自动填充功能,以避免警报带来的负面用户体验。系统设置中将新增剪贴板权限管理模块,但当前警报本身信息简陋且无帮助性。苹果可能会引入新的`Info.plist`键来声明剪贴板访问理由,类似其他隐私相关键值。该警报的存在迫使开发者在安全性与可用性之间权衡,导致应用功能被迫缩减。重度依赖剪贴板访问为核心功能的应用可能面临更严重的兼容问题。全局启用该功能会导致谷歌Chrome和Safari等应用出现异常行为不一致问题。
EU ruling: tracking-based advertising [...] across Europe has no legal basisa year agohttps://www.iccl.ie/digital-data/eu-ruling-tracking-based-advertising-by-google-...比利时上诉法院裁定'透明度与同意框架'(TCF)违法,影响80%的互联网生态TCF被谷歌、微软、亚马逊和X等科技巨头用于基于追踪的广告投放该判决源于Johnny Ryan博士等人协调发起的投诉,揭露了具有欺骗性的用户同意机制TCF原本合法覆盖的实时竞价(RTB)系统,在缺乏适当安全措施或真实同意的情况下追踪并传播用户数据裁决确认了比利时数据保护局2022年的调查结论,并立即在整个欧洲范围内生效Ryan博士强调行业需转向非追踪广告模式创新,这将使用户和内容发布商双双受益
Appeals court rules that tracking-based online advertising is illegal in Europea year agohttps://www.engadget.com/big-tech/appeals-court-confirms-that-tracking-based-onl...比利时上诉法院裁定《透明与同意框架》(TCF)违反《通用数据保护条例》(GDPR)构成非法该用于在线广告的TCF框架通过cookie追踪个人活动,违反了GDPR基本原则此次判决维持了比利时数据保护局2022年的原裁决广告实时竞价系统(RTB)所依赖的追踪数据被认定违法TCF创建方IAB欧洲庆幸未被认定为数据收集的联合控制者IAB欧洲已提议修改TCF以体现'有限控制权'概念隐私保护人士视此为胜利,但广告商后续应对方案尚不明确由于监管机构正监督TCF整改,用户同意弹窗可能仍将持续出现
California sent residents' personal health data to LinkedIna year agohttps://themarkup.org/pixel-hunt/2025/04/28/how-california-sent-residents-person...加州健康保险官网CoveredCA.com被发现通过追踪器向LinkedIn发送敏感用户数据。共享数据包含失明、怀孕、跨性别状态等健康状况,以及处方药使用和家庭暴力受害情况。在The Markup和CalMatters媒体曝光后,追踪器被移除,Covered California解释称是'营销机构交接期间'的疏漏。尽管LinkedIn政策禁止追踪敏感健康数据,但其Insight标签仍被用于收集访问者数据以进行精准广告投放。专家谴责该行为侵犯隐私,指出消费者既不知情也未给予同意。Covered California已启动隐私协议审查,防止未来数据共享问题。LinkedIn因类似数据收集行为面临多起诉讼,包括追踪医疗预约信息。加州《医疗信息保密法》要求共享医疗数据需获消费者同意,但执法力度参差不齐。维权人士呼吁加强监管,防止敏感健康信息遭未授权追踪。
Old and Small Technologya year agohttps://www.complete.org/old-and-small-technology/旧技术指过时的技术,而小型技术则具有极简体量,无冗余代码或间谍软件。旧技术因历史局限往往体积小巧,但嵌入式系统等现代技术也符合小型技术特征。小型技术优势包括:易用性强、隐私保护、点对点传输、零知识验证、去殖民化、个人化、共享性、互操作性、非商业性和包容性。UUCP、Gopher和Usenet等传统小型技术具有资源消耗低、经济环保等优势。小型技术通过减少计划性淘汰延长硬件寿命,促进可持续发展。尤其是自由软件类的旧技术能避免现代侵犯隐私的功能,增强用户控制权。NNCP、Gemini等现代改良版旧技术在保留小型技术优点的同时加入了加密等改进。Meshtastic和Yggdrasil等新兴小型技术专注于安全去中心化通信。典型小型技术案例:UUCP协议、Kermit传输、Usenet论坛、Gopher协议、树莓派设备及Linux系统(视使用方式而定)。Small Web等项目将小型技术理念应用于现代网络,Gemini等替代方案提供轻量级浏览体验。Linux Lite和Debian(搭配轻量桌面)等系统能流畅运行于老旧或低功耗硬件。推广小型技术的组织包括:小型技术基金会、低科技杂志、纯文本计划等。
The Crypto Anarchist Manifesto (1988)a year agohttps://groups.csail.mit.edu/mac/classes/6.805/articles/crypto/cypherpunks/may-c...加密无政府主义正作为一股变革性力量在现代社会崛起,它使匿名互动和交易成为可能。计算机技术的进步,如公钥加密和零知识证明,正在使匿名通信变得可行。出于对国家安防、犯罪问题和社会影响的担忧,政府可能会试图遏制加密无政府主义,但其蔓延已不可避免。加密无政府主义将从根本上改变政府监管、征税模式,以及经济往来中的信任与声誉本质。这项技术将为各类信息创造流动性市场,对传统的知识产权概念构成挑战。
Postman is logging all your secrets and environment variablesa year agohttps://anonymousdata.medium.com/postman-is-logging-all-your-secrets-and-environ...Postman会记录所有密钥和环境变量,由于隐私问题,该工具不适合医疗健康类应用。Charles Proxy在揭露Postman的日志记录行为中起到关键作用,其数据显示该工具存在大规模数据收集行为。无论是否标记为'秘密',Postman都会将未加密的环境变量和密钥发送至其服务器。该工具声称保护敏感数据的说法,与其实际的日志记录行为相矛盾。文章呼吁软件开发应重视伦理考量,并指出开发者缺乏类似希波克拉底誓言的行业规范。
Google's Advanced Protection for Vulnerable Users Comes to Androida year agohttps://www.wired.com/story/google-advanced-protection-vulnerable-users-lockdown...苹果、谷歌和微软等科技巨头正致力于保护高风险用户免受针对性威胁。苹果iOS的锁定模式(2022年)以牺牲功能为代价提升安全性,主要保护公众人物、活动人士和记者群体。谷歌高级保护计划为易受攻击用户的谷歌账户增设额外安全层。谷歌正通过Android 16的新功能扩展高级保护,包括专为增强安全设计的独立模式。Android高级保护功能强制启用高强度安全设置、隔离数据存储,并减少与非安全服务的交互。谷歌采用设备端AI扫描技术进行监控和预警,而非彻底移除功能。强制性限制措施包括屏蔽2G网络及禁用Chrome浏览器的JavaScript优化器。新增的入侵日志功能通过端到端加密将防篡改日志存储在云端。内存标记扩展(MTE)技术通过使进程崩溃来防范缓冲区溢出等基于内存的攻击。高级保护功能将随Android 16推出,入侵日志和USB防护措施稍晚上线。谷歌将提供API接口,允许第三方应用集成高级保护以实现更深层次的安全防护。
Outlook stores email in Microsoft Cloud – what you need to knowa year agohttps://blog.runbox.com/2025/05/outlook-stores-email-in-microsoft-cloud-what-you...Outlook近期更新引发隐私担忧,微软云服务充当电子邮件访问中介环节邮件及认证信息现存储于微软云服务器,不再仅保留在用户设备本地微软宣称新系统提升性能并与Microsoft 365服务深度整合隐私隐患涉及宽泛权限设置、模糊的数据管辖范围及存储失控问题虽遵守GDPR法规,但个人账户可能不完全适用欧盟数据边界政策替代方案包括使用Runbox网页邮箱、切换Thunderbird等客户端或继续使用旧版Outlook
O2 VoLTE: locating any customer with a phone calla year agohttps://mastdatabase.co.uk/blog/2025/05/o2-expose-customer-location-call-4g/VoLTE通过IP多媒体子系统(IMS)实现基于互联网的移动网络通话IMS系统的复杂性导致了设备兼容性问题和安全隐患英国O2运营商2017年推出的IMS实施方案'4G Calling'会在SIP消息中暴露敏感数据SIP消息头会泄露主叫方与被叫方的国际移动用户识别码(IMSI)、国际移动设备识别码(IMEI)以及基站小区ID基站小区ID数据可用于精确定位用户位置,即使在漫游状态下也能实现高精度定位O2公司缺乏明确的安全漏洞上报流程2025年3月尝试报告该隐私风险后,未收到O2公司的任何回应
Wacom drawing tablets track the name of every application you opena year agohttps://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-ap...Wacom数位板会追踪并发送用户打开的每个应用程序数据至Google Analytics分析平台。作者在安装Wacom驱动时通过阅读隐私政策发现这一追踪行为,该政策仅模糊提及数据收集。通过Wireshark和Burp Suite等工具拦截分析传输数据,作者揭露了其对应用程序使用情况的侵入式追踪。Wacom隐私政策未明确说明数据收集范围,引发了对透明度和用户知情权的担忧。作者认为此类追踪对绘图板设备毫无必要,并强调了潜在的隐私风险。通过在Wacom桌面中心的'Wacom体验计划'中勾选退出选项,找到了禁用追踪的方法。该追踪曾因服务器错误被Wacom临时关闭,但后续恢复运作,证实了数据收集仍在持续进行。
Mobile, Open Hardware, RISC-V System-on-Chip (SoC) Development Kita year agohttps://www.crowdsupply.com/sutajio-kosagi/precursorPrecursor是一个开放式硬件开发平台,专为安全移动计算与通信设计。配备内置显示屏、物理键盘和内置电池,体积比智能手机更小巧轻便。采用基于FPGA的软核系统级芯片(SoC),支持完全定制化设计和代码审查。内置密码保险库应用,支持U2F认证器和密码自动填充功能。支持可合理否认数据库(PDDB)系统,通过加密存储实现秘密数据分层。可通过USB接口对PDDB进行加密备份与恢复。基于证据的信任体系设计,开源硬件与软件确保完全透明性。采用精密加工的铝合金机身,高效能电源管理带来持久续航。主要面向密码管理器、加密钱包和安全通讯等高安全性应用场景。横向对比显示Precursor在可信性、可黑客性和便携性方面具有独特优势。
Show HN: TitleBridge - A FinalCut Workflow Plugina year agohttps://bustin.tech/apps/titlebridge/需要配备Apple Silicon(M1或更高版本)的Mac电脑以获得最佳功能,特别是在Final Cut Pro中进行音频转录时。TitleBridge不会自动收集或发送用户信息,确保隐私安全。支持通过页面上的公开评论获取,问题解决将通过GitHub进行私下跟进。