MozTW 討論區

各項 Mozilla 相關軟體與技術討論
現在的時間是 2021-04-18, 23:45

所有顯示的時間為 UTC + 8 小時





發表新文章 回覆主題  [ 26 篇文章 ]  前往頁數 上一頁  12
發表人 內容
文章發表於 : 2011-06-22, 01:17 
離線
[MozTW 版主群]

註冊時間: 2009-07-06, 18:15
文章: 418
k5a 寫:
不會吧,樓上你是指這個不能用嗎?
在附加元件搜尋IE Tab 就只有4個,其中一個無法在FF4.01使用,剩三個,如果這個不行,那請問要裝那個呢?

都別裝,一定要用IE的時候再手動開IE就好了。

其實一開始我看到套件點進去右邊作者的其它套件那邊居然沒有 "PCMan BBS 擴充套件" 就覺得怪怪的。
(我很習慣在看套件的時候順便看同作者的其他套件)
然後我就看了一下作者ID,這兩個PCMan居然不同個ID,
當下本來想講是假貨,但是後來想想PCMan本人也還沒出來說明,所以還是不要亂講話好了。
但是如果是有人故意建一個一樣的ID來假冒PCMan,那真的讓人覺得其心可議...

事實上這一個就是前面提到的IE Tab 2(但是它又改名了,改成現在這個,我不懂為啥要一再改名),
是幾個IE Tab中 "比較" 沒問題的一個,
但是這次事件後...如果是冒名的話,請自行判斷要不要相信作者了...


附加檔案:
檔案註釋: 備份1
ietab.png [101.7 KiB]
被下載 778 次
檔案註釋: 備份2
ietab2.png [102.82 KiB]
被下載 772 次
回頂端
Mozilla/5.0 (Windows NT 6.0; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2011-07-08, 11:33 
離線
頭像

註冊時間: 2005-04-17, 20:22
文章: 710
來自: ウルダハ不滅隊 - 少闘士
火狐套件區可以容忍同名不同帳號..0.0?
我覺得要出現防範機置吧..
要不然找幾個有名套件..然後作者消失.
掛作者名但不同人..找個時間加個後門程式..
被轟一轟就閃人或換名再上..
如果同IE TAB這樣..感覺就是同一批人做好幾個IE TAB..
之前出加料版..那個作者也是活的好好的..

以後套件會有更嚴格的把關機制..??


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2011-07-08, 13:49 
離線
[MozTW 版主群]

註冊時間: 2009-07-06, 18:15
文章: 418
天邪翼 寫:
火狐套件區可以容忍同名不同帳號..0.0?
我覺得要出現防範機置吧..
要不然找幾個有名套件..然後作者消失.
掛作者名但不同人..找個時間加個後門程式..
被轟一轟就閃人或換名再上..
如果同IE TAB這樣..感覺就是同一批人做好幾個IE TAB..
之前出加料版..那個作者也是活的好好的..

以後套件會有更嚴格的把關機制..??

應該說,你看到的名稱不是真的帳號,只是個類似暱稱的東西,
amo上的使用者帳號是一組e-mail,但是並沒有顯示出來,只有要登入的時候才會用到。
加料的問題,某些有binary code的套件比較有可能有危險而已,
一般套件解開都是完整的javascript source code和xul檔,
在審核的時候如果內容有問題應該就會被抓包了。


回頂端
Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2011-07-08, 14:01 
離線
頭像

註冊時間: 2005-03-13, 15:11
文章: 343
看來現在先不要安裝ie tab。以下圖片作者比對。好奇addons.mozilla.org,為何可以創立一模一樣暱稱?
圖檔


回頂端
Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2011-07-15, 10:15 
離線
頭像

註冊時間: 2005-04-17, 20:22
文章: 710
來自: ウルダハ不滅隊 - 少闘士
[/quote]
應該說,你看到的名稱不是真的帳號,只是個類似暱稱的東西,
amo上的使用者帳號是一組e-mail,但是並沒有顯示出來,只有要登入的時候才會用到。
加料的問題,某些有binary code的套件比較有可能有危險而已,
一般套件解開都是完整的javascript source code和xul檔,
在審核的時候如果內容有問題應該就會被抓包了。[/quote]

我上文有說"同名不同帳號"..XD
我只覺得要連暱稱都無法重複才對..
不然有多少人會去點個人資料..
我對審核不了解..也就是說如果那些人再加料..
現今的審核過程一樣抓不到..??


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2011-07-26, 16:19 
離線
頭像

註冊時間: 2006-10-28, 15:41
文章: 1421
來自: マカオ
k5a 寫:
火狐4.01版, IE Tab 有好多版本,請問要用那一個?

IE Tab V2 (FF 3.5, 4, 5, 6, 7+) 作者:PCMan, ietab.net

請問這個沒問題吧?作者是PCMan
Thanks
貌似這個就是 IE Tab 2。至於那個同名的 2011 版 "PCMan" 就不太了解...

_________________
圖檔 挑選‧儲存圖片 圖檔 History Submenus Ⅱ 圖檔 Personal Menu
圖檔 Page Title in URL Bar 圖檔 Double Click Top-Left to Close


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0
 個人資料  
引用回覆  
文章發表於 : 2012-02-02, 01:19 
離線

註冊時間: 2012-02-02, 01:13
文章: 1
還是希望PCMAN大能趕快把新版的推出,否則蠻不方便的。目前還是只能暫時使用V2版本...


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
 個人資料  
引用回覆  
文章發表於 : 2013-03-24, 02:10 
離線

註冊時間: 2006-03-06, 13:01
文章: 68
我用的是 ie tab 2

作者是ietab.net

安全嗎??


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
 個人資料  
引用回覆  
文章發表於 : 2014-04-03, 16:04 
離線

註冊時間: 2013-09-04, 13:40
文章: 5
我之前是裝了
https://addons.mozilla.org/zh-TW/firefo ... serprofile

這個版本
不過在看過這篇討論串之後
我決定把它停用了


回頂端
Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
 個人資料  
引用回覆  
文章發表於 : 2014-04-04, 16:11 
離線
[MozTW 版主群]
頭像

註冊時間: 2006-01-29, 23:45
文章: 1419
IE Tab 2 我認為是沒有問題的
從頭到尾看起來只有掛名 PCMan 被人譙
掛名的原因我印象和時常冒名別人的 IE Tab Plus 有關
我忘了以前在哪看到 IE Tab 2 作者的說法

_________________
倉頡輸入法


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
 個人資料  
引用回覆  
文章發表於 : 2014-08-23, 18:58 
離線
[MozTW 版主群]
頭像

註冊時間: 2006-01-29, 23:45
文章: 1419
看到一篇文章轉貼


中國App惡質競爭延燒海外 老總坦言無法保證捍衛用戶資料
http://www.ithome.com.tw/news/89998
引言回覆:
中國為一黨專政的威權國家,中國共產黨為了將全國人民納入其管控範圍,進行嚴密的網路監控,加上中國在政治上和臺灣處於緊張關係,根據趨勢科技這幾年來的觀察,中國政府已經透過默默地蒐集資料,全面監控臺灣重點人員,也就是以「情蒐為主,但不破壞。」

引言回覆:
詹鴻基表示,市面上這些「流氓行為」App屢見不鮮,是因為這也是一種獲利方式。舉例來說,當民眾安裝某款遊戲App後,遊戲開發商會在使用者不知情的狀況下,發送簡訊到國外去,以賺取發送簡訊過程中,所產生的價差費用。舉例來說,若一封簡訊計價15元,由中華電信與AT&T拆帳,而AT&T獲得其中5元,遊戲開發商就可以和AT&T協商,原先發10封簡訊,要付給AT&T 5元,現在若發1萬封,則付4元,其中的1元,就成為遊戲開發商的利潤來源。

2013年中國達34.5%的應用程式,截取使用者資料


2015/2/20 補充
http://technews.tw/2015/02/20/lenovo-in ... rity-data/

聯想筆電安裝廣告軟體,並且竊取用戶私密資料
引言回覆:
聯想被爆出販售的電腦中,出現間諜軟體,讓使用者曝露在 HTTPS 中間人攻擊的風險。意味著駭客有辦法看到你在瀏覽器中的資料,包括瀏覽的網站,甚至私密的資料如密碼、銀行帳密。影響範圍至少包括聯想賣出的電腦,在Windows 作業系統的 IE、Chrome、Safari。
這次聯想被發現預裝的間諜 Superfish,其實早在今年一月時就爆出來了。但當時以為只是一款會在瀏覽器瀏覽網頁時插入廣告的廣告軟體,如今卻被發現這是一款間諜軟體,會竊取使用者的瀏覽器中的私密資料。Superfish 會安裝自行簽署的 HTTPS 安全憑證,攔截使用者瀏覽的網站資訊。如果使用者連到需要 HTTPS 認證的網站,Supaerfish 會假冒是該網站的身份,讓使用者以為連到正常的網站。

Superfish... 不就跟 ie tab plus 用的同個東東

2015/9/25 補充
http://www.ithome.com.tw/news/98893
引言回覆:
日前中國各安全論譠爆出有開發人員改寫了蘋果專為Mac OS X與iOS所設計的Xcode程式開發環境,並將改寫過後的XcodeGhost版本置放在百度的雲端分享服務上,造成許多行動程式受到影響,不過,自稱為XcodeGhost作者的開發人員已將XcodeGhost放到GitHub,並宣稱這只是一次的錯誤的實驗,沒有任何威脅行為。

引言回覆:
XcodeGhost在網路上流竄的結果讓許多知名的行動程式都中了招,也創下蘋果史上最大的一次惡意程式入侵紀錄。蘋果已移除了App Store中受到影響的程式,但並未公布所移除的程式數量,根據奇虎360估計,總計有344款行動程式受到XcodeGhost的感染,受到波及的使用者數量可能超過1億。
數量級是10的8次方的實驗

2016/1/31 補充
http://3c.ltn.com.tw/news/22764
引言回覆:
根據《SCmagazine》報導,FireEye 指出這次造成安全問題的主因,是一項開源開發工具 JSPatch,由於這款工具可以快速設置 App 的更新代碼,而無須經由 App Store 更新 App。這讓駭客可以輕易的繞過官方審查,透過 JSPatch 的功能入侵、遙控手機,像是修改網路訊號的狀態、查看用戶的私人照片、甚至是在兩個不同 App 之間轉貼內容等。

由於 JSPatch 工具在中國地區被廣泛使用,FireEye 表示有 1220 款具有中國血統的 App 受到影響,不過 FireEye 並沒有公布詳細的 App 名單。


2016/2/24 補充

支付寶Android版被爆竊取使用者隱私,竟自動拍照、錄音上傳伺服器
http://www.soft4fun.net/tech/news/alipa ... ground.htm

2016/5/13 補充
不可信的 CNNIC 憑證
https://www.ptt.cc/bbs/Soft_Job/M.1428155735.A.7B9.html
引言回覆:
發信人: thrifty (yang), 信區: Military 標 題: 警惕CNNIC﹗谷歌警告稱存在一個未經授權的証書危害所有操作系統 發信站: BBS 未名空間站 (Thu Apr 2 23:42:44 2015, 美東) CNNIC是firefox和windows內置的CA, CA的意思是可以簽發任意SSL証書,並且ff和 windows都認為這個簽發的証書是合理合法的 GFW隻需在某個網關做一些處理, 大概的流程簡單描述一下, 比如你用FF訪問https:// gmail.com, 首先在HTTPS握手階段給你發一份CNNIC CA簽發給gmail.com這個域名的SSL証書公鑰, 同時,這個網關持有這個証書的私鑰, 因為CNNIC CA是合法的CA, 所以FF對於這次HTTPS握手結果的驗証是合法的 接下來你在gmail上的提交的數據都會根據CNNIC簽發証書的公鑰進行加密 然後GFW網關收到你的gmail數據傳輸請求, 會根據SSL協議先用私鑰把你的數據解密, 順帶分析存儲一份, 再用真正的gmailssl公鑰加密原始傳輸數據再發給google的服務器 google服務器收到數據傳輸請求,按SSL協議規范驗証也是完全合法的, 然後根據你的請 求返回相關數據 這時候返回的數據對於GFW來說也是透明的, 所以它隻需解包然後再用CNNIC簽發的証書 加密以後再發給FF 最終FF收到的數據,經過SSL協議規范驗証也是完全合法的 但是, 你傳輸的xxoo內容已經完全被人掌握 谷歌稱﹐在3月20日發現有未經授權的數字証書﹐冒充成受信任的谷歌的域名。由一家 叫 MCS 的中間証書頒發機構頒發的証書。此中間証書是由CNNIC發布的。


2016/6/16 補充
[2015-09-30更新]严重威胁!扩展CrxMouse会上传你所有浏览的网页!同时会拖慢你的网速
http://bbs.kafan.cn/thread-1693616-1-1.html
引言回覆:
扩展CrxMouse和扩展Hover Zoom应该是同一个作者,这两个扩展会把你浏览的所有网页base64编码后传送到webovernet.com和searchelper.com两个网站,

注意!是你浏览的所有网站!一个不漏!

可以在google搜索webovernet和searchelper.com这两个关键词就可以找到分析文章,也可以用网络嗅探软件自己看,或者用goagent全局代{过}{滤}理也可以看到,向webovernet.com和searchelper.com发送信息,是你每一个浏览的网页都会发送给这两个网站,不仅严重威胁你的网络安全和隐私还会严重拖慢网速!

通过搜索可以看到网上很多人发现了自己的计算机向webovernet.com和searchelper.com发送信息,但不知道是哪个软件发送的,其实就是chrome的这两个扩展CrxMouse和Hover Zoom,这两个扩展还挺多人用的,扩展作者应该已经收集了海量信息……

https://chrome.google.com/webstore/deta ... o?hl=zh-CN
引言回覆:
crxMouse Chrome Gestures
由 crxmouse.com 提供
概述
原名:Gestures for Chrome(TM)汉化版.方便,快捷,充分发掘鼠标的所有操作.功能包括:鼠标手势,超级拖曳,滚轮手势,摇杆手势,平滑滚动,标签页列表等.
本扩展致力于通过鼠标来实现一些功能操作,充分挖掘鼠标的所有操作.
功能包括:鼠标手势,超级拖曳,滚轮手势,摇杆手势,平滑滚动,标签页列表等.

**本扩展最开始是汉化的Gestures for Chrome(TM),从2.0版本开始全部重写代码.
**其中平滑滚动借用了Gestures for Chrome(TM)中的平滑滚动部分.
**自Ver 2.4.219.1347起,已重命名为CrxMouse.


2016/7/29 補充
[-Mx-] 外媒:遨游瀏覽器收集使用者敏感資訊
https://www.ptt.cc/bbs/Browsers/M.1468671052.A.EE2.html
引言回覆:
傲遊瀏覽器收集的資訊包括:OS版本、螢幕解析度、CPU類型、 CPU速度、安裝的記憶體量、傲遊瀏覽器可執行位置、 廣告過濾器狀態、瀏覽器首頁URL、使用者的整個瀏覽歷史、 所有Google搜尋、系統安裝的其它應用程式清單,包括版本號。 Exatel表示,這些封包含在名為ueipdat.zip的檔案內, 透過HTTP定期從使用者瀏覽器傳送至傲游瀏覽器的中國伺服器。
引言回覆:
先前,Citizen Lab的安全與隱私研究員在QQ瀏覽器(2013年3月)、 百度瀏覽器(2016年2月)以及UC瀏覽器(2015年5月)發現同樣的情況


2016/7/31 補充
盤古越獄是否安全?國外網友發現帳號遭盜領與PP助手有很大關係
https://mrmad.com.tw/pangu-jailbreak-safe-pphelp
引言回覆:
因越獄要求輸入了「AppleID與密碼」,7/25越獄一個小時候,就造成了Paypal帳號有50美元贈送給陌生帳號novitskvassgs@hotmail.com,甚至還差點遭信用卡盜刷,同篇討論後續還有幾位網友也發生如下案例

FB、Twitter等帳號遭其他地方試圖登入,有來自中國、台灣、越南等,估計都是VPN的IP
Paypal遭陌生IP登入
收到大量的釣魚信件,偽裝Twitter遭黑客入侵,想引誘用戶到釣魚網頁
Windwos Defender 偵測病毒反應 (PP助手5.0/uninst.exe)
甚至更有用戶發現pphelper5.db中取了設備大量資訊

pangu-jailbreak-safe-pphelp-1

根據這些用戶反應,有不少共通點發現,出事用戶都是透過PP助手工具進行越獄,都是輸入了自己主要使用的AppleID與密碼,這些AppleID與密碼與其他帳號如Email、FB、Paypal、Google相同,才導致全數遭駭,如果你曾經是用自己主要的AppleID與密碼來進行替PP助手越獄用戶,請儘速更改你的所有密碼,並且開啟二次認證,防止帳號被竊或入侵,確保帳號安全。


2016/8/11 補充
CNNIC 证书的危害及各种清除方法
如何隐藏你的踪迹,避免跨省追捕[0]:为啥要写此文?
如何防止黑客入侵[5]:Web相关的防范 (上)
引言回覆:
  俺极力反对国产浏览器,还有另一个原因——政治层面的安全问题。朝廷为了监控屁民在互联网上的一言一行,会跟国产浏览器厂商合作,通过浏览器记录网民的行踪。

  举例:
  腾讯当年的TT浏览器,会把用户上网行踪记录在某个文件中。
  至于 360,名声更是臭不可闻。360 浏览器本身就存在收集用户隐私的问题,居然还好意思自称是"安全浏览器"。而且大伙儿别忘了,奇虎公司跟 GFW 一直保持着暧昧的关系哦。

  综上所述,俺个人非常不建议使用国产浏览器。


2016/9/30 補充
老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
https://program-think.blogspot.com/2016 ... oSign.html
引言回覆:
★为啥说“沃通是非常【不】靠谱的 CA”?

  刚才介绍完背景,可能已经有人感觉到沃通是有问题滴。但是俺不能凭空污人清白,下面咱们要来摆事实,讲道理——介绍一下近期曝光的【沃通丑闻】。
  话说有个英国程序员 Gervase Markham,他无意中发现了沃通的一些严重问题,并在Mozilla 的安全讨论组进行曝光(帖子链接在“这里”)。
  他至少提到了三个与沃通有关的严重问题:
  问题1
  沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;
  编程随想点评:这点说明沃通的“合规性”不够,相比后面两个,这已经是小问题了。

  问题2
  证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;
  已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。由于此事很严重,连新浪都报道了(链接在“这里”)
  编程随想点评:一个号称全国最大的 CA,竟然犯如此低级的错误,你觉得这家 CA 能靠谱吗?

  问题3
  被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:
  由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。
  沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。
  编程随想点评:CA 象征着【权威认证】机构。如果一家 CA 去玩这种伪造日期的花样,它还有啥节操可言?


2016/11/17 補充
美資安公司:中國在安卓手機裝設監視軟體
引言回覆:
美國《紐約時報》報導披露,全球約有7億台智慧手機被裝入「後門」軟體,可將用戶使用資訊傳輸至位於中國的伺服器上。雖然該公司表示此軟體是依照中國客戶需求所設計,但美國發現有12萬支手機也被植入此軟體,現在正進行調查,背後是否有中國政府操弄痕跡
順道複習一下兩年前小米手機爆發的的隱私問題
小米手機偷傳資料到北京?iThome找資安專家實測:有
引言回覆:
iThome找來資安專家實測,全新紅米手機打開包裝,裝上Sim卡,開機連上網路,還沒進入任何初始安裝設定,也沒任何同意資料蒐集動作,小米手機就會自動回傳用戶手機號碼到北京
小米再被舉發修正後仍暗地連接北京伺服器
引言回覆:
在 IThome 與資安機構 F-Secure 合作下,被指出有侵犯的疑慮後,小米科技總算出面解釋,並釋出了 OTA 升級包,讓使用者可選擇關閉「網路簡訊」的功能,不過在香港網友的測試下,升級包並未修正全部的問題,小米手機仍背地裡傳送到北京的伺服器上。

加映
如何保护隐私[0]:为啥写这个话题?

2016/11/22 補充
CM Security 及 WhatsCall 涉洩露用家資料 獵豹移動即日暫停功能
引言回覆:
多名中港政要及名人手機號碼疑外洩,原因是三款「來電攔截」程式非法收集用家聯絡人名單,並上載經集成的公開的資料庫。三款程式分別為中國獵豹「CM Security」、瑞典「Truecaller」及以色列「Sync.ME」。

程式下載數已逾2億次,估計已洩露全球約30億個號碼身份,包括梁振英、林鄭月娥、前保安局局長李少光、前警務處處長鄧竟成、中原集團主席施永青、康宏金融行政總裁莊偉忠等等。

中國黑心軟體攻臺,政府怎能放任
引言回覆:
文/吳其勳 | 2014-08-11發表

今年5月我收到一封由CM Security安全實驗室發布的手機簡訊安全新聞稿,這封新聞稿是由知名的外商公關公司代為發送,文中指出CM Security是由Cheetah Mobile公司所開發的資安App,並且強調該公司已在紐約證券交易所上市。

這份新聞稿的內容一開始讓我以為是一家外商資安公司,進一步查證才知道原來Cheetah Mobile就是中國的獵豹移動,其前身為金山網絡,在今年3月更名,並且在紐交所上市。然而為何這篇新聞稿絲毫不提及中國,引起了我的注意。

隨後我詢問也收到該封新聞稿的編輯部同仁,他趕緊打開手機裏的「Clean Master」App,這是一個由Cheetah Mobile出品的手機程式管理工具,此時他才恍然大悟,原來他早就跟中國軟體共存好一段時間了。

我這位同事非常清楚中國一些流氓軟體惡名昭彰的事蹟,他曾經因為必須跟中國的朋友通訊,而不得不安裝中國的即時通訊軟體,然而在事情談妥之後,他要移除該軟體,則費了好大功夫,才把這個軟體移除掉。顯然軟體設計者千方百計不要讓使用者移除軟體,而且,看似移除掉了,其實也不太確定是否還隱藏著其他無法移除的程式。

這倒不是說中國的軟體全部都有問題,然而這些經驗讓他知道有一些中國軟體可是不懷好意,盡量離中國軟體遠一點比較好。但是,即便他已經對中國的軟體有所警覺,但還是不知覺安裝了Clean Master這個中國的手機工具軟體。究其原因,如果他知道要安裝的App是名為獵豹移動清理大師,那他就會意識到是中國軟體,然而,Cheetah Mobile Clean Master這樣讓人誤以為是外商產品的行銷包裝手法,則成功地讓他在毫無戒心的情況下安裝了。

果不其然,7月中旬Google將Clean Master從Google Play排行榜撤除,資安專家發現Clean Master會引誘使用者刪除其競爭對手的App,包括多款瀏覽器與工具軟體。在此之前,資安公司Sophos則發現Clean Master會有廣告警告使用者其手機有病毒,藉由提供使用者進一步的掃毒,而安裝旗下的防毒App。如果使用者的手機果真中毒,那麼這還算是貼心服務,然而Sophos卻發現Clean Master根本是欺騙使用者中毒,藉此增加其防毒App的市占率。以此行徑推敲,難保這個防毒App安裝之後,不會又暗地做些見不得人的事。

上述問題並非只發生在獵豹移動,許多中國軟體、網站在惡意競爭下早已經是常態的作為。更為人所知的就是奇虎360,而奇虎360早在去年就進臺灣了。近期在臉書上時常看到臺灣360安全衛士大打廣告,以360安全衛士加上臺灣兩字,廣告更找來臺灣知名藝人代言,強調免費、信任,不知情的人可不容易分辨其為中國軟體。

這些如果只發生在中國,那我們大可管不著,但是,今日這些中國惡名昭彰的軟體挾大量精心策畫的行銷包裝攻占臺灣,會讓許多民眾誤信。尤其是現在幾乎是人手一支智慧型手機,許多人在缺乏資安意識的情況下,很容易就安裝來路不明的軟體。而中國當今仍與我們處於敵對關係,處心積慮竊取臺灣的機密資料,難保人民的資料會因此被中國所掌握。

事實上,獵豹移動執行長坦承用戶資料會儲存於中國的主機,iThome記者問他:能否保證不把使用者資料交給中國政府,他則坦白承認無法做此保證。

其實,不只是軟體,中國的硬體產品也有諸多問題。資安專家就發現中國天星的Star N9500手機暗藏間諜程式,亦有資安專家發現小米的紅米手機有不尋常的頻繁資料傳送行為

中國黑心軟體、硬體,歷歷在目,然而卻不見政府積極為人民的安全把關。有關單位雖然已開始成立App檢測,但這不只是App的問題而已,而且政府也不能只著眼於只為機關的資安把關,因為這已經是跟普羅大眾習習相關的國家安全問題,政府早就應該大聲疾呼,提升人民的資安意識與警覺性。除非,政府不認為資安等同於國安。


2016/12/11 補充
五款中國支付Apps紀錄用戶手機敏感資料 可用作追縱和監聽
December 10, 2016 | 傳真社 數據組
引言回覆:
根據中國國務院《社會信用體系建設規劃綱要(2014-2020年)》,計劃在2020年,對中國境內每個國民在行政、商業、社會及司法制度中的誠信表現,作記錄、評估及建立檔案,供政府或相關機構監控,網絡行為亦被納入體系之中。今年8月開始,內地的應用程式供應商者亦須保存用戶日誌信息60日,供有關部門監督檢查。

港人使用的熱門手機應用程式,不少由中國企業開發及營運,令人關注上述在中國境內實施的法規,是否同樣影響港人。FactWire傳真社上月底於應用程式商店Google Play「熱門免費應用程式」排行榜中,調查首五款香港人最熱門使用的中資網絡支付或網購應用程式。

五款應用程式皆為中國企業開發及營運。WeChat由中國應用程式開發商騰訊(0700)開發;淘寶、淘寶全球及天貓由阿里巴巴集團開發;支付寶錢包由阿里巴巴關聯公司螞蟻金服營運。根據香港區Google Play資料顯示,該5款應用程式合共錄得至少逾億次下載量。


2016/12/25補充
祕傳資料往中國,又有美國電子書商平板中招
http://technews.tw/2016/12/25/nook-tablet-adups/
引言回覆:
ADUPS 是一個預載在 Android 智慧手機和平板的中國軟體,用來取代 Google 的 OTA 功能向用戶推送軟體更新。ADUPS 出現在不少使用 MediaTek 處理器的裝置,最為人詬病的是會監控用戶的個人資料,包括電話簿、行事曆、地理位置、通話紀錄等,並且在未經用戶同意下傳送至中國的伺服器。

紐時:部份 Android 裝置會私下將資料上傳到中國
http://technews.tw/2016/11/16/some-u-s- ... -to-china/
引言回覆:
國土安全部的報告表示,這款內建在 Android 裝置的特殊韌體會以每 72 小時一次的頻率把資料傳回上海。而該韌體除了可以遠端更新,傳輸的內容也包括用戶的位置,以及完整的聯絡人清單、通話記錄與簡訊內容。相比一般手機的韌體更新通常會有明顯的通知,也通常會告知隱私權限並且得經過用戶允許才會執行,這款韌體不論是安裝、更新或運作都完全隱蔽,引來了一些質疑。


廣升信息技術

承包撰寫該韌體的公司是上海的「廣升信息技術」(Adups)。儘管不了解背後是由哪個單位提出承攬需求,不過廣升指出該單位的目的是「為了提供客服支援」。


2017.1.21 補充
2017年1月20日 星期五
【改圖神器】小心私隱!美圖秀秀被揭自動傳送資料至內地!
引言回覆:
有網民在外國科技網站「Android Police」發文,指成功攔截到美圖秀秀的網絡活動,確認該App會連接到幾個內地的IP地址,即美圖秀秀於有可能已透過App內的「後門通道」把用戶資料傳送至內地的伺服器。

Android Police報道亦指,在用戶安裝美圖秀秀時,該App會要求用戶開放最少23種權限,包括完整網絡存取、更改設定、實際位置、MAC 地址及本地IP等,甚至更要求可以在網絡接收資料,以及遙距控制功能,同時存在一系列代碼,將手機內的若干資料傳送到美圖官方進行分析。

美圖秀秀別亂玩!外媒:暗中傳送手機資料及私隱到中國大陸!
引言回覆:
消息指出,在大家安裝美圖秀秀時,相信大家都有留意到這套工具需要大量的權限,其中有不少的權限是「多餘」的,超過 23 個不同的權限姜至要求徹底存取網絡、GPS 定位、Mac 地址等等。有保安專家指出,在短短的測試中已經發現這個應用程式會暗中連接數個不知道的中國大陸 IP 地址,並傳送一系列的手機資料,包括手機的 IMEI 碼及其他手機內資料等等。專家指出,用戶如非必要請勿安裝這套應用程式,以保障自己的個人私隱,正在使用的就請盡快刪除。

2017/3/6 補充
中國業者DblTek物聯網裝置被爆含後門
http://www.ithome.com.tw/news/112433

百度「hao123」道歉了!承認暗藏惡意程式碼、綁架首頁,但將責任推給外包商
http://www.techbang.com/posts/49702-bai ... ontractors
引言回覆:
中國的一個安全機構「火絨安全實驗室」最近發表了一篇報告,表示他們調查發現在百度旗下的兩個網址:http://www.skycn.net/和 http://soft.hao123.com/(這兩個網址最終都會被導向「hao123下載」這個網站)下載任何軟體工具時,電腦都會被植入惡意程式碼。

當使用者一不小心被該惡意程式碼進入電腦後,程式就會加裝防止被移除的程式,以各種手法來不讓使用者移除,進而長期安裝在使用者的電腦中。從此成為一個遙控木馬,隨時可以被遠端的雲端操控,進而在使用者的電腦上設定網站首頁、購物網站連結,以及嵌入網路廣告等等。

2017.3.22
國際特赦組織調查!16 款通訊軟體保密排行,WeChat 零分出局!
http://3c.ltn.com.tw/news/27035
引言回覆:
在 LINE 之後還有 Viber、Kakao Talk、Skype、Snapchat 與 BBM 等通訊應用,評分落在 47 分到 20 分之間。最後國際特赦組織給了中國通訊應用「Wechat」零分的評價,最主要是因為其母公司騰訊,在保護用戶通訊安全上的作為幾乎沒有,導致 Wechat 和 QQ 一起名列這次調查的最後一名。


2017.4.20 補充
WeChat 通訊審查細節曝光,群組訊息內容比一對一訊息更容易被過濾
http://technews.tw/2017/04/20/wechat-me ... ensorship/
引言回覆:
眾所周知中國為維護國家安全,一向有自己一套網路審查制度。專門研究網路、人權及全球安全的 Citizen Lab 最近進行一項研究,並公開中國針對行動通訊進行審查的一些細節。

據了解,Citizen Lab 這次主要是研究中國最受歡迎的通訊軟體 WeChat(微信)的討論情況,藉此了解中國政府如何審查這個擁有 7.68 億活躍用戶的通訊平台。報告指出 WeChat 的審查主要是利用關鍵字過濾,當中包括「人權」、「大規模逮捕」及「精神自由」等敏感字眼。


微信關鍵詞過濾:群聊比單聊審查更嚴,還不告訴你消息被攔了
https://theinitium.com/article/20161201 ... ensorship/

不只刷臉 傳中國收集所有公民聲紋資訊
http://www.appledaily.com.tw/realtimene ... rart_right
引言回覆:
2017年10月24日12:26

總部設在美國紐約的「人權觀察」組織披露,中國公安部門正與科技公司合作,以反恐名義大量採集中國公民的聲紋數據。有分析人士認為,收集公民的聲紋和收集指紋一樣,必須合法授權,否則是侵犯公民個人隱私權。


2018.12.13 補充

美國會報告 點名華為、中興、聯想涉間諜活動
http://news.ltn.com.tw/news/focus/paper/1194302

間諜晶片惡名遠播 南韓也擋華為5G
http://news.ltn.com.tw/news/focus/paper/1239932
2018-10-17 寫:
南韓媒體Business Korea報導,中國電信設備大廠華為正積極爭取南韓5G網路基礎設施的標案,但受到日前彭博踢爆中國企圖以「間諜晶片」竊取蘋果、亞馬遜網路服務(AWS),還有美國國防部等三十多家公司及政府機關的機密事件影響,南韓相關單位與消費者開始抵制華為。

二○一六年時,華為曾被發現在智慧型手機暗藏後門程式,在未經使用者同意下,自動蒐集與傳輸手機上資訊,並傳送到位於上海的伺服器,還可利用關鍵字過濾文字訊息來鎖定特定使用者,也可偵測裝置安裝的APP,允許遠端執行命令。

華為產品藏間諜晶元?日本曝光重大證據
https://www.ntdtv.com/b5/2018/12/11/a102463552.html
2018-12-11 寫:
【新唐人2018年12月11日訊】孟晚舟事件導致華為四面楚歌,日本政府日前正式宣布禁用華為產品,理由是,發現華為產品內有間諜晶元,威脅到日本國家安全。此前,華為網路設備也被指留有後門,令中共軍方可以隨時存取任何資料,備受海內外質疑。

日本共同社12月10日稱,日本三大電信運營商將放棄使用中國華為和中興通訊現有的和即將推出的五代(5G)設備。中共對此表示不滿。


網傳「42款中國app會竊個資」 印度要軍方禁用
http://news.ltn.com.tw/news/world/breakingnews/2641740

2019.1.15 補充

【狗咬狗,一嘴毛】華為手機強取微信資料,中國兩大品牌數據權大戰開打!
https://buzzorange.com/techorange/2017/ ... ata-fight/

開第一槍!工研院內部網路 禁用華為手機
https://udn.com/news/story/11323/3593543

聯想筆電被爆 BIOS 藏玄機,就算你將Windows重灌它都會藏自家軟體進去
https://www.techbang.com/posts/25236-le ... r-software

是否該排除華為?波蘭呼籲歐盟與北約制定共同立場
https://news.cnyes.com/news/id/4267686

2019.5.19 補充
國家資安疑慮 蔡政府禁用中興通訊產品
https://news.ltn.com.tw/news/politics/b ... ws/2794306
引言回覆:
2019-05-18 14:03
中國電信大廠華為、中興通訊的資通產品引發美國、印度等多個國家的資安疑慮,中興通訊因曾涉及網路間諜活動,就引發美國國會的高度擔憂,據悉,蔡政府包括行政院各部會等中央機關除了早已禁用華為產品之外,基於國家資安疑慮,目前也沒有採購及使用中國中興通訊的資通產品。


2019.6.18 補充
扳倒telegram關鍵:小米手機?
官方黑手滲透網路 港男開群組就被抓

2019.7.24
【反修例】內地網軍「帝吧」出征反被起底 網絡實名欠私隱保障?

2019.9.7
陸追劇APP恐曝個資! 讀取電話簿、錄音監聽
引言回覆:
包括兩款知名追劇APP,西瓜視頻讀取用戶的手機通訊錄,另一款芒果TV,甚至會隨時使用麥克風進行錄音、收集用戶位置,也就是說有了這款APP隨時隨地可能都會被監聽。


2020.1.29
德媒爆:德國政府已掌握華為和中國情報部門合作證據
https://ec.ltn.com.tw/article/breakingnews/3051832

2020.4.20
Zoom的安全問題不只是漏洞,更是信任問題
https://www.ithome.com.tw/news/137076
引言回覆:
在這一連串的事件中,最引發關注的資安疑慮,就是在Zoom平臺加密方面所被揭露的安全問題,外界認為其該公司宣稱的產品安全能力,與實際不符,有誤導與欺騙的問題存在,還有加密作法不夠周延,以及其他地區的會議金鑰會由中國資料中心傳遞等問題,都讓各界對於Zoom抱持不信任的態度,因為這意味著,Zoom過去在本身的安全設計與心態上,可能有很大的問題。

扯!中國教會用「Zoom」進行禮拜 公安竟上門抓信徒
https://news.ltn.com.tw/news/world/breakingnews/3139501

2020.5.2
無痕模式也難逃!小米手機遭爆追蹤用戶一舉一動
https://3c.ltn.com.tw/news/40275
引言回覆:
外媒《富比世》引述研究機構 White Ops 專家 Gabriel Cirlig 調查,指出小米手機會追蹤使用者的數據紀錄,並傳送到遠端伺服器。起初先是 Gabriel Cirlig 從自身使用的紅米 Note 8 中發現,瀏覽器的紀錄、開啟資料夾、設定頁面、聽什麼歌,都會被傳送到小米旗下的遠端伺服器。

2020.5.4
遭爆蒐集用戶資料送中國 小米否認:為改善產品性能
https||newtalk.tw/news/view/2020-05-04/401329
引言回覆:
外媒報導,網路資安專家Gabi Cirlig發現,在使用紅米Note 8時,手機會記錄他的一舉一動,包括瀏覽的網頁、搜尋記錄、曾打開的檔案夾、更改的設定及播放的音樂內容等等,甚至連使用無痕模式打開的網頁都會記錄在內。小米會把這些資料傳送到新加坡或俄羅斯的伺服器,而這些伺服器是向阿里巴巴租用的。


2020.5.21補充
校園反毒創意視頻賽使用抖音引疑慮 新北:停用
https:||udn.com/news/story/7323/4499353

沒帳號卻疑遭蒐集個資 美大學生告抖音
https:||www.cna.com.tw/news/aopl/201912030207.aspx
引言回覆:
根據文件,抖音今年4月把用戶資料轉移到兩個中國伺服器,分別是bugly.qq.com和umeng.com,內容包括用戶使用的電子裝置及所有用戶曾經瀏覽的網站。

Bugly屬於騰訊科技股份有限公司,也就是中國最大的手機軟體企業,網路聊天軟體WeChat也是騰訊所有;友盟+(Umeng)則是數據智能服務商,是電子商務巨擘阿里巴巴集團旗下企業。

集體訴訟還指控抖音應用程式內嵌中國搜尋引擎百度公司及中國廣告服務Igexin的原始碼;安全研究員曾於2017年發現Igexin讓開發人員得以在用戶手機上安裝間諜軟體。

2020.6.7 補充
記者微信密碼改「FuckCCP89」 稱45秒內被永久封號
https:||news.ltn.com.tw/news/world/breakingnews/3188891

安卓粉注意!下載量破億的中國「小影」App 遭資安機構列為「高風險」
https:||3c.ltn.com.tw/news/40633

2020.6.12 補充
Zoom爆資安疑慮 外交部:並未使用
https:||news.ltn.com.tw/news/politics/breakingnews/3124568
Zoom官方證實將資料「誤傳」給中國!多國政府單位、知名企業都宣布禁用
https:||www.storm.mg/lifestyle/2489547
引言回覆:
創辦人袁征的濃厚中國背景,許多人對此也感到憂心。而如果你剛好是ios的用戶,程式則會自動將個人用戶資料傳送給臉書伺服器,除此之外,包含位置地點這些相關隱私都會傳送給第三方的程式。

Zoom遭中國施壓 關閉民運和人權人士六四紀念活動帳號
https:||www.upmedia.mg/news_info.php?SerialNo=89407
引言回覆:
Zoom為總部設在美國的科技公司,在中國設有多個研發中心。


2020.7.1補充
FCC正式指控中興、華為是美國的國安威脅
https:||www.ithome.com.tw/news/138534
引言回覆:
去年11月FCC指稱兩家公司配合中國政府進行間諜活動、在設備產品中加入漏洞及製造網路安全風險而通過命令。FCC聲稱,美國公安及國安局乃是依據完整證據,包括華為、中興及其他各方提供的紀錄而做出最終決定。

印度封殺59款中國APP
https:||news.ltn.com.tw/news/world/paper/1383442
引言回覆:
印度電子及資訊科技部(Ministry of Electronics and Information Technology)表示,已接獲許多關於中國APP竊取個資,並傳至國外的陳情;敵對勢力挖掘印度用戶的數據並建檔,侵犯印度的主權與完整性。

2020.8.7 補充
TikTok 為何惹到川普?微軟收購後就沒有資安問題了嗎【TODAY 看世界】
https:||www.youtube.com/watch?v=qHmM4rdddUQ
【情報】Epic Games Store偷你全電腦資料,建議立刻移除
https:||forum.gamer.com.tw/C.php?bsn=60030&snA=518492

2021.1.9 補充
http:||www.youtube.com/watch?v=N-LrTtfC4vg
引言回覆:
一款由台灣大哥大冠名獨售的AMAZING A32手機,被刑事局警方查出從大陸出廠的時候,就已經被人植入惡意程式,當詐騙集團要用門號註冊遊戲帳號時,原本要發給門號持有者的驗證簡訊,就會透過木馬程式轉發給詐騙集團

_________________
倉頡輸入法


回頂端
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
 個人資料  
引用回覆  
顯示文章 :  排序  
發表新文章 回覆主題  [ 26 篇文章 ]  前往頁數 上一頁  12

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 8 位訪客


不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

搜尋:
前往 :  
Powered by phpBB® Forum Software © phpBB Group
正體中文語系由 竹貓星球 維護製作
© moztw.org, Mozilla Foundation
MozTW,Mozilla 台灣社群