#隐私与安全 — Public Fediverse posts

@board

————加密聊天工具推荐————

———中国大陆—不翻墙即可使用——

1. session
　　支持：安卓、ios、Desktop（ Mac, Linux, windows）
　　网址：https://getsession.org/
　　介绍：目前国内还能用。無需手機、郵箱註冊。但是純以加密論，安全性不如signal。
在國外，你如果有條件也可以用signal，不過据知情人士透露，signal自斯诺登事件后，受到了CIA等机构的打压。

——————分界线————

2. Delta Chat
　　支持：安卓、ios、Desktop（ Mac, Linux, windows）
　　中文网址：https://delta.chat/zh_CN/
　　介绍：本质上就是加密邮件服务，还有一些小功能，非常棒。
只要有邮箱即可使用，方便程度最高！但是可能觸發郵件服務商相關規則導致無法使用，建議高阶玩家自建服務器。

数据频繁、大量地走一批境外服务器，这是最致命的一点，但是Delta Chat不存在这个问题。

——————分界线————

3. Briar
　　支持：全平臺？
　　网址：https://briarproject.org/
　　介绍：依赖局域网、蓝牙即可以使用，甚至是依托sd卡也能用，Tor不是必要選項。推荐校内秘密社团使用，它拥有论坛、博客功能，很nice。我们学校新华三的网关，平时端对端加密聊天靠briar，同步文件靠syncthing。

——————分界线————

4.berty
5.cwtch
6.tox
7.qaul
　　支持：全平台？
　　网址：自行谷歌

——————分界线————

# Q.2 为什么不建议使用Matrix、XMPP

这些工具对于小白来说，学习成本过高。很多朋友可能连Telegram使用起来都费力。实际上加密性不太OK。

（ btw，telegram也最好别用，尤其是国内+86手机注册的，近乎裸奔）

————关于Tor————

☝️上面有几个工具基于Tor网络，蜜罐（也就是陷阱）很多，国内用户自己做取舍。

下次再补充~

#长毛象安利大会 #翻墙 #telegram #隐私 #隐私与安全 #隐私保护 #加密聊天工具 #端对端加密的通信软件 #deltachat #vpn

【拼多多apk内嵌提权代码，利用了 Android 系统漏洞提权使其难以卸载】
拼多多APP首先利用了多个厂商 OEM 代码中的反序列化漏洞提权。
提权控制手机系统之后，拼多多APP即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。
之后，拼多多APP利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

https://www.solidot.org/story?sid=74293
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://github.com/davinci1010/pinduoduo_backdoor

#拼多多 #隐私与安全

LastPass 又出资安事故。
总结一下 LastPass 出过的资安事故吧。

2015年6月
https://www.forbes.com/sites/katevinton/2015/06/15/password-manager-lastpass-hacked-exposing-encrypted-master-passwords/

2017年3月
https://www.theguardian.com/technology/2017/mar/30/lastpass-warns-users-to-exercise-caution-while-it-fixes-major-vulnerability

2019年9月
https://www.forbes.com/sites/daveywinder/2019/09/16/google-warns-lastpass-users-were-exposed-to-last-password-credential-leak/

2021年12月
https://blog.lastpass.com/2021/12/unusual-attempted-login-activity-how-lastpass-protects-you/

2022年8月
https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

#LassPass #隐私与安全

Fight to Repair
https://www.fsf.org/campaigns/fight-to-repair/
https://www.fsf.org/blogs/community/watch-fight-to-repair-demand-the-right-to-repair
#FOSS #自动驾驶 #隐私与安全

马化腾微博答用户提问:QQ绝无隐私扫描行为
#3Q大战 #隐私与安全

IOS14暴露了微信对用户手机相册的控制欲
https://10beasts.net/ios-wechat-photos-privacy/
#微信 #隐私与安全

QQ 正在尝试读取你的浏览记录
https://www.v2ex.com/t/745030
https://web.archive.org/web/20210115084841/https://www.v2ex.com/t/745030
#QQ #隐私与安全

我向来不惮以最坏的恶意揣测中国人。

Telegram上这种有数万人关注，仍提供可用节点的代理“公益”频道。
这些翻墙节点是不是蜜罐？这是一个特别需要注意的问题。
由于你无法保证这些节点不是蜜罐节点，再结合这些频道长期存在，关注人数众多，但其提供的翻墙节点仍然可用，因此将这些节点直接视为蜜罐节点是一种稳妥的做法。

退而言之，即使这些节点不是蜜罐，但由于其公布了翻墙服务器的IP、Port等信息。因此结合ISP的TCP连接日志，可以很轻松的找出所有使用过这些翻墙节点的用户。

简而言之，不要使用这些公开的翻墙节点。
#gfw #隐私与安全

周鸿祎谈个人隐私保护： 要尊重用户的知情权、选择权
https://tech.ifeng.com/c/826qjtIW1aF

『周鸿祎表示，360的安全产品就对用户的个人隐私不感兴趣，因为个人隐私和网络安全没有什么关系。360不关心用户的隐私比如看什么照片、聊什么天、买什么东西，只关心的是网络安全，木马和攻击者必须要联网通信，所以用户电脑里肯定有**很多奇奇怪怪的IP和奇奇怪怪的域名的连接，这是360所关心的**。』
#隐私与安全 #360

中文长毛象实例开启 secure mode 的必要性
https://blog.bgme.me/posts/the-necessity-of-chinese-instance-to-enable-secure-mode/
#博文发布 #Mastodon #隐私与安全 #实例维护

在时间轴上刷到了远程跳蛋相关的嘟文。
便想到有嘟友[1]之前提到过的：著名情趣玩具品牌 Lovense 曾被曝出使用APP录下使用者高潮时的声音[2]。

因此，为了安全与隐私考虑，那些专有的、非自由软件的跳蛋控制端APP不要安装（几乎所有的跳蛋自带APP）。
特别是国内的一些跳蛋控制APP，更是内置了交友等一大堆功能。搞社交之类的功能，说明该公司具有强烈的盈利欲望，以国内的法治环境及普遍的道德水准，这些公司有动机，也有能力干出偷录使用者声音的事情。

简而言之，不要购买所谓的远程跳蛋（智能跳蛋），因为这些设备的控制程序是不安全的，有隐私泄露风险的。

如果你懂得编程，又比较喜欢折腾，你可以使用这个项目：
https://buttplug.io/

该项目逆向了部分商业品牌情趣玩具的通迅协议，进而实现了一个自由可信的控制客户端。
该协目所支持的玩具品牌及型号如下：
https://stpihkal.docs.buttplug.io/

当然，目前该项目的支持设备中并没有国内流行的那几个品牌。
所以特别希望懂硬件，懂逆向工程，会编程，有时间，愿意奉献的嘟友向该项目添砖加瓦，造福社会。

[1] https://bgme.me/@orz/104637963788237808

[2]
https://web.archive.org/web/20210420130436/https://www.zhangzs.com/246813.html
https://metro.co.uk/2017/11/13/sex-toy-company-accidentally-recorded-sound-of-peoples-orgasms-7074155/

#情趣玩具 #隐私与安全

安全警告：
由于 OCSP 是明文HTTP以及macOS 强制验证 OCSP 的设计，所以ISP只需要进行简单的监听即可知晓你系统中运行着什么软件。
如果你在 macOS 系统中安装了 ShadowsocksX-NG 这种不太符合社会主义核心价值观的软件，macOS 这种设计毫无疑问给你带来了潜在的隐私泄漏风险以及人身安全风险。
https://twitter.com/quakewang/status/1327844193662746625
#macOS #OCSP #隐私与安全

输入法取证：一种Windows8/10中文用户输入痕迹信息提取方法研究与实现
https://mp.weixin.qq.com/s/WsZtdYOFLIgq23XU0z2RcQ
https://archive.vn/8txLf
#隐私与安全 #输入法

主页出现求推荐安全靠谱的梯子的嘟文了。
梯子，当今互联网必备工具，但要安全靠谱这就很难了。
虽然我不知道有什么安全靠谱的梯子可以用，但写一写我认为的几个排除标准吧。
1、客户端不是开源自由软件的，不要使用。
2、名声太大的老牌梯厂不要使用。
3、内置审查屏蔽系统的，不要使用。
4、”爱国三观正“[1]的机场不要使用。
上面几条有任何一条，千万不要使用。

如果还要再加一条，那就是：
使用微信、支付宝作为支付工具的，不要使用。
当然这条，不如上面几条那么致命，可以视为可选项。

[1] https://t.me/s/aiguojichang

#梯子 #隐私与安全 #安全上网

Ebay is port scanning visitors to their website - and they aren't the only ones
https://blog.nem.ec/2020/05/24/ebay-port-scanning/
#隐私与安全

Social Cooling - Big Data's unintended side effect
https://www.socialcooling.com/
#大数据 #隐私与安全

为了拒绝小区门口的人脸识别，我给 12345 打了 17 次电话
https://mp.weixin.qq.com/s/cu_d1aNSyug3WWckcjptag
https://archive.vn/7NONV
#人脸识别 #隐私与安全 #阅读

邪恶列表 — 您了解这些邪恶公司吗？
https://www.iyouport.org/%E9%82%AA%E6%81%B6%E5%88%97%E8%A1%A8-%E6%82%A8%E4%BA%86%E8%A7%A3%E8%BF%99%E4%BA%9B%E9%82%AA%E6%81%B6%E5%85%AC%E5%8F%B8%E5%90%97%EF%BC%9F/
#隐私与安全

如何像专家一样查找隐藏式摄像头
https://blog.bgme.me/posts/how-to-find-hidden-cameras/
#博文发布 #隐私与安全

#屏蔽实例
实例主付出了金钱与精力运营实例，想订什么规则，和其他实例保持什么关系，都可以是ta说了算（试过自建实例之后，我就成为了一个站长独裁制的拥护者🤦 ）站长就是爹，爹没啥不好（暴言
另一方面，我个人不喜欢实例级别的屏蔽，也不太希望住在一个大政府的实例中。我宁愿自己列一长串的屏蔽列表，也不希望站长代劳。
我完全支持任何一个站长搞大政府管理，我也完全支持各位象友自由迁徙用脚投票。

#hello2hengxin
我个人不喜欢这个实例。

#隐私与安全
我在这个号其实漏出去挺多个人信息的，要说屏蔽了一个实例就能保障我的安全那是绝对不可能。隐私与安全，在现今的网络世界中，只能自己注意。