##EasyReadMore##

文章列表

UC浏览器的隐私与安全问题

摘要

UC浏览器是一种移动浏览器,它目前拥有超过5亿的注册用户,是中国和印度最受欢迎的手机浏览器。在《啰嗦的松鼠:UC浏览器的隐私与安全问题》这一报告中,公民实验室(Citizen Lab)发现中文和英文安卓版UC浏览器中存在多个隐私及安全漏洞, 并讨论了它们的重要性。

报告显示安卓版UC浏览器在保护数据方面表现欠佳。报告描述了中文版本在传输数据到其目的地的过程中,对用户的敏感数据保护不足,相关的敏感数据包括装置辨识符、临近无线网络(Wi-Fi)访问点、移动信号塔信息、以及发送给搜索引擎Shenma的搜索问题。 中文版的UC浏览器会永久记忆用户的DNS查询历史,即使是在用户使用应用自带功能删除个人信息后。

英文版的应用将搜索查询以不加密的形式发送给印度版雅虎或是谷歌;除此之外英文版本并不存在中文版应用中的信息泄露问题。

分析显示中文版应用中泄露的信息可以被用来实时或是事后跟踪当事人所在地。此外,使用者无法成功删除其DNS查询历史意味着,任何有能力的第三方都可以通过进入用户高速缓冲储存器来了解该用户之前的网页浏览历史。由于对搜索引擎的查询进行不加密的做法,不管是中文版还是英文版的应用,安全性都非常低。

UC浏览器的用户该怎么办?

在2015年4月15日,我们将研究发现披露给了阿里巴巴(提供UC浏览器的公司)并告知对方我们不会在2015年4月29日前公布我们的发现。该公司在4月19日回应了我们,表示阿里巴巴安全工程师正在调查这一问题。4月23日我们再次联系了对方公司,表达了将于4月29日发表我们研究的意图。

2015年5月19日, 我们测试了从uc.cn网站下载的10.4.1-576版中文UC浏览器。这一版本的浏览器跟报告中测试的版本(10.2.1_161版)有所区别,它并没有将定位数据在不加密的情况下传送给AMAP。然而,报告中反映的传输不加密数据至Umeng部分的问题,以及搜索功能缺乏加密保护的问题,并没有在这一版本中解决。中文版UC浏览器的用户应该升级他们的应用,确保使用的是10.4.1-576以上的版本。

我们分析中文版10.2.1_161,英文版10.4.1.565。不过,我们并没有对新版本的应用进行程序分析。若是用户想进一步了解关于解决我们报告中发现的问题,阿里巴巴是否有任何新的进展,我们建议大家直接联系阿里巴巴(security@service.alibaba.com)。

源地址:https://citizenlab.org/2015/05/%E5%95%B0%E5%97%A6%E7%9A%84%E6%9D%BE%E9%BC%A0%EF%BC%9Auc%E6%B5%8F%E8%A7%88%E5%99%A8%E7%9A%84%E9%9A%90%E7%A7%81%E4%B8%8E%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98/

全球前30大英文网站已被屏蔽14个

@ruanyf:本月中文维基百科被墙以后,全球前30大英文网站还有14个能在中国正常访问。
源地址:https://twitter.com/ruanyf/status/601904877636313088

官方公布一起大规模商业删贴案

官方新华社公布了一起商业删贴案。在中国,商业化删贴被认为是非法的,被定为非法经营罪。报道称,最新的这起案件牵涉到两千余人,有10人被捕,5人被通缉,其中一名主要嫌疑人4年赚了780余万元。报道称,网络公关公司通过“层层转包”将删帖的任务交给“删帖中介”,中介接活以后,就找“管理员”帮助删帖。“管理员”是链条的末端,要么是网站的管理人员、网络论坛的版主,要么是掌握计算机技术的黑客。删帖之后,删帖中介与“管理员”一般按照二八分成...删帖是按照网站类型和帖子热度来收费的。“小网站的帖子,价格在100元到1000元之间,知名网站一般是2000元到4000元。”有的国家级网站收费还会更高,甚至达到上万元。“一个帖子有可能转了几个甚至十几个‘网络中介’,才能找到能删帖的‘管理员’,每转一次手,中介都会加上200元到300元‘手续费’。”从事删帖的不仅有大学生、教师、医生,还有公务员甚至警察,而主要客户则包括政府官员、知名企业和明星等。

源地址:http://www.solidot.org/story?sid=44150

免翻墙访问Twitter的FireTweet

@GetFireTweet:Welcome to FireTweet! #UnblockedTweeting from anywhere in the world. Download here: http://firetweet.io

Unblocked Tweeting.

FireTweet is an Android app powered by Lanternthat gives direct unblocked access to Twitter from anywhere in the world.

Get FireTweet

Features include:

FREE and available on Android
No Ads
Easy-to-use: no extra set-up required
Gives the full experience of Twitter to users in regions where Twitter is blocked
Automatically integrates with Twitter, use an existing account or create a new one
All HTTP traffic is routed through a distributed network of direct proxies

 

上海某网宣内部邮箱数据资料泄露

‏@LeeFunchang:大陆某黑客破解五毛总部邮箱,泄漏各种网络宣传员、文明网络志愿者个人资料以及舆情调研报告、网宣通知等。

编辑注:部分资料真实性待考

https://drive.google.com/folderview?id=0B7OWBMI2bznPfmpsbElfQm1FTzJfWjNXaGFnRzltNm9jZDVybG0zdk5PV1FrcVlKZ1IzMzg&usp=sharing