【拼多多apk内嵌提权代码，利用了 Android 系统漏洞提权使其难以卸载】
拼多多APP首先利用了多个厂商 OEM 代码中的反序列化漏洞提权。
提权控制手机系统之后，
拼多多APP即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。
之后，拼多多APP利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

https://www.solidot.org/story?sid=74293
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://github.com/davinci1010/pinduoduo_backdoor

#拼多多 #隐私与安全

LastPass 又出资安事故。
总结一下 LastPass 出过的资安事故吧。

2015年6月
https://www.forbes.com/sites/katevinton/2015/06/15/password-manager-lastpass-hacked-exposing-encrypted-master-passwords/

2017年3月
https://www.theguardian.com/technology/2017/mar/30/lastpass-warns-users-to-exercise-caution-while-it-fixes-major-vulnerability

2019年9月
https://www.forbes.com/sites/daveywinder/2019/09/16/google-warns-lastpass-users-were-exposed-to-last-password-credential-leak/

2021年12月
https://blog.lastpass.com/2021/12/unusual-attempted-login-activity-how-lastpass-protects-you/

2022年8月
https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

#LassPass #隐私与安全

#长毛象中文使用指南
#中文长毛象使用指南
#长毛象安利大会
#长毛象资源分享
#VPN #翻墙工具 #ipfs #梯子
#隐私与安全 #安全上网 #科学上网

Fight to Repair
https://www.fsf.org/campaigns/fight-to-repair/
https://www.fsf.org/blogs/community/watch-fight-to-repair-demand-the-right-to-repair
#FOSS #自动驾驶 #隐私与安全

2月15日晚间“微信派”微信公众号公布情人节当天“520红包”的相关数据。
数据显示，最浪漫的城市（2月14日发520红包）TOP10中，上海位居第一，北京、深圳分别位列第二、第三。最幸福的城市（2月14日收520红包）TOP10中，上海依旧位列第一，北京、深圳还是前三。
2月14日，单个用户收到520红包的最多超过200个，单个用户发出520红包的最多超过150个。其中，男性发520红包的数量是女性的3.5倍，女性收520红包的数量是男性的3.9倍。
此外，微信派表示，情人节当天被发出的所有520红包里，尚有超123万个还没被领取。
https://mp.weixin.qq.com/s/NNU7q8iOgi71QKuTBovcUQ
https://archive.fo/n0Owr

#微信 #隐私与安全 #BigBrotherIsWatching

影响范围：
QQ Windows 9.0.4 (发布于2018/06/15)之后的版本
TIM Windows 3.1.0 (发布于2020/07/29)之后的版本

具体行为：
- 登录10分钟之后，读取浏览器浏览历史
- 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录；
- 读取IE历史(FindFirstUrlCacheEntryW)
- 对读取到的url进行md5，并在本地进行比较
- md5匹配的情况下，上传相应分组ID（主要为电商、股票等关键词）

事件进展：
- 目前，QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码，暂停了侵害行为
- 目前，TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码，暂停了侵害行为

source: https://www.v2ex.com/t/745030
#QQ扫描用户浏览器数据事件 #隐私与安全

马化腾微博答用户提问:QQ绝无隐私扫描行为
#3Q大战 #隐私与安全

IOS14暴露了微信对用户手机相册的控制欲
https://10beasts.net/ios-wechat-photos-privacy/
#微信 #隐私与安全

QQ 正在尝试读取你的浏览记录
https://www.v2ex.com/t/745030
https://web.archive.org/web/20210115084841/https://www.v2ex.com/t/745030
#QQ #隐私与安全

我向来不惮以最坏的恶意揣测中国人。

Telegram上这种有数万人关注，仍提供可用节点的代理“公益”频道。
这些翻墙节点是不是蜜罐？这是一个特别需要注意的问题。
由于你无法保证这些节点不是蜜罐节点，再结合这些频道长期存在，关注人数众多，但其提供的翻墙节点仍然可用，因此将这些节点直接视为蜜罐节点是一种稳妥的做法。

退而言之，即使这些节点不是蜜罐，但由于其公布了翻墙服务器的IP、Port等信息。因此结合ISP的TCP连接日志，可以很轻松的找出所有使用过这些翻墙节点的用户。

简而言之，不要使用这些公开的翻墙节点。
#gfw #隐私与安全

磁盘加密（英語：Disk encryption）是一种通过将信息转换为无法识别的编码来保护信息的技术，这些编码无法被未经授权的人轻易破译，最终防止未经授权访问数据存储。
术语全磁盘加密（英語：full disk encryption，FDE）表示磁盘上的所有内容都已加密，但主引导记录（MBR）或类似区域是未加密的。[1]

磁盘加密的重要性无需赘述，远可防FBI、国保，近可防设备丢失后的数据未授权访问。
如果陈冠希当年便使用了全盘加密的话，也不会因为维修电脑而致使数据泄露，惹出“艳照门”风波。

就实际而言，全盘加密也已经相当普及。
2014年发布的 iOS 8 [2]，2015年发布的 Android Marshmallow [3]，便已经在新设备中默认开启全盘加密。
换而言之，如今（2020年）你购买的iOS设备与原生Android设备都已经默认开启了全盘加密。

历史更为悠久的桌面操作系统更是很早就支持磁盘加密。
2006年的 Windows Vista 便已经附带了 BitLocker 功能 [4]。
GNU/Linux 系统的磁盘加密功能 dm-crypt 2005年首次发布[5]，2006年进入上游内核。
至于苹果公司，2011年发布的 Mac OS X Lion 的 FileVault 2 [6]终于支持了全盘加密 。

但是由于种种原因，桌面操作系统设备出厂时往往并没有默认开启全盘加密。
本次调查的内容：你的桌面操作系统设备加密了吗？

[1] https://zh.wikipedia.org/wiki/%E7%A3%81%E7%9B%98%E5%8A%A0%E5%AF%86
[2] https://www.theguardian.com/technology/2014/oct/17/apple-defies-fbi-encryption-mac-osx
[3] https://nakedsecurity.sophos.com/2015/10/21/new-android-marshmallow-devices-must-have-default-encryption-google-says/
[4] https://en.wikipedia.org/wiki/BitLocker
[5] https://en.wikipedia.org/wiki/Dm-crypt
[6] https://en.wikipedia.org/wiki/FileVault
#调查 #磁盘加密 #隐私与安全

周鸿祎谈个人隐私保护： 要尊重用户的知情权、选择权
https://tech.ifeng.com/c/826qjtIW1aF

『周鸿祎表示，360的安全产品就对用户的个人隐私不感兴趣，因为个人隐私和网络安全没有什么关系。360不关心用户的隐私比如看什么照片、聊什么天、买什么东西，只关心的是网络安全，木马和攻击者必须要联网通信，所以用户电脑里肯定有**很多奇奇怪怪的IP和奇奇怪怪的域名的连接，这是360所关心的**。』
#隐私与安全 #360

中文长毛象实例开启 secure mode 的必要性
https://blog.bgme.me/posts/the-necessity-of-chinese-instance-to-enable-secure-mode/
#博文发布 #Mastodon #隐私与安全 #实例维护

在时间轴上刷到了远程跳蛋相关的嘟文。
便想到有嘟友[1]之前提到过的：著名情趣玩具品牌 Lovense 曾被曝出使用APP录下使用者高潮时的声音[2]。

因此，为了安全与隐私考虑，那些专有的、非自由软件的跳蛋控制端APP不要安装（几乎所有的跳蛋自带APP）。
特别是国内的一些跳蛋控制APP，更是内置了交友等一大堆功能。搞社交之类的功能，说明该公司具有强烈的盈利欲望，以国内的法治环境及普遍的道德水准，这些公司有动机，也有能力干出偷录使用者声音的事情。

简而言之，不要购买所谓的远程跳蛋（智能跳蛋），因为这些设备的控制程序是不安全的，有隐私泄露风险的。

如果你懂得编程，又比较喜欢折腾，你可以使用这个项目：
https://buttplug.io/

该项目逆向了部分商业品牌情趣玩具的通迅协议，进而实现了一个自由可信的控制客户端。
该协目所支持的玩具品牌及型号如下：
https://stpihkal.docs.buttplug.io/

当然，目前该项目的支持设备中并没有国内流行的那几个品牌。
所以特别希望懂硬件，懂逆向工程，会编程，有时间，愿意奉献的嘟友向该项目添砖加瓦，造福社会。

[1] https://bgme.me/@orz/104637963788237808

[2]
https://www.zhangzs.com/246813.html
https://metro.co.uk/2017/11/13/sex-toy

#情趣玩具 #隐私与安全

安全警告：
由于 OCSP 是明文HTTP以及macOS 强制验证 OCSP 的设计，所以ISP只需要进行简单的监听即可知晓你系统中运行着什么软件。
如果你在 macOS 系统中安装了 ShadowsocksX-NG 这种不太符合社会主义核心价值观的软件，macOS 这种设计毫无疑问给你带来了潜在的隐私泄漏风险以及人身安全风险。
https://twitter.com/quakewang/status/1327844193662746625
#macOS #OCSP #隐私与安全

输入法取证：一种Windows8/10中文用户输入痕迹信息提取方法研究与实现
https://mp.weixin.qq.com/s/WsZtdYOFLIgq23XU0z2RcQ
https://archive.vn/8txLf
#隐私与安全 #输入法

主页出现求推荐安全靠谱的梯子的嘟文了。
梯子，当今互联网必备工具，但要安全靠谱这就很难了。
虽然我不知道有什么安全靠谱的梯子可以用，但写一写我认为的几个排除标准吧。
1、客户端不是开源自由软件的，不要使用。
2、名声太大的老牌梯厂不要使用。
3、内置审查屏蔽系统的，不要使用。
4、”爱国三观正“[1]的机场不要使用。
上面几条有任何一条，千万不要使用。

如果还要再加一条，那就是：
使用微信、支付宝作为支付工具的，不要使用。
当然这条，不如上面几条那么致命，可以视为可选项。

[1] https://t.me/s/aiguojichang

#梯子 #隐私与安全 #安全上网

Ebay is port scanning visitors to their website - and they aren't the only ones
https://blog.nem.ec/2020/05/24/ebay-port-scanning/
#隐私与安全

Social Cooling - Big Data's unintended side effect
https://www.socialcooling.com/
#大数据 #隐私与安全

为了拒绝小区门口的人脸识别，我给 12345 打了 17 次电话
https://mp.weixin.qq.com/s/cu_d1aNSyug3WWckcjptag
https://archive.vn/7NONV
#人脸识别 #隐私与安全 #阅读