浏览器

qwertydvorak:国内互不联网公司的调性,一次性说完好了

1.残废的移动web端。中国互不联网公司的移动web端经常不显示完整内容,疯狂弹窗逼用户下载app。视频内容只能试看6分钟,文字内容默认折叠。这里根据网站的不要脸程度又分成几类。 较克制的网站,比如正经新闻网站,会在“展开全文”按钮下面再放一个“打开XXX app阅读,体验更佳”,但你点击“展开全文”就会直接展开全文,没有其他废话。...

阅读更多

美国之音|中国三大浏览器被指开安全后门 用户隐私堪忧

一份最新的关于网络安全的报告指出,中国三大网络浏览器被指存在安全隐患,以不加密或极易被破解的加密方式收集并传输用户数据,其中包括大量隐私信息。发布这一报告的加拿大人权组织多伦多公民实验室认为,这种安全漏洞可能会被政府或第三方用于网络审查和监控。

人权组织多伦多公民实验室3月29日发布报告称,腾讯公司开发的QQ浏览器在传输用户个人数据至服务器时,不经加密或使用极易被破解的加密方式。报告认为,此种漏洞使得在升级软件时,用户数据容易被间谍或恶意软件植入。在上月和去年5月发布的报告中,该实验室披露百度和阿里巴巴UC浏览器也存在相同的问题。

阅读更多

公司安全部门通知:“百度浏览器过度收集用户隐私信息,请在任何情况下都避免使用”

来源:http://www.v2ex.com/t/263898?r=flied文中提到的国外百度安全问题技术细节:https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/今早整个中国区收到公司总部安全部门经理的邮件,要求停止使用百度浏览器。邮件部分原文如下:It has recently come to my attention that the Baidu Browser is collecting excessive personal information and transmitting it back to Baidu. While many browsers such as Google Chrome collect data, they generally do it anonymously or allow the user to opt-out.

阅读更多

今天,你被运营商 “上” 了么?

来源:http://weibo.com/ttarticle/p/show?id=2309403947881995354308如今这年头,没被运营商“上”过(劫持)都不好意思说自己是中国网民!抱歉今天用这个粗俗的标题,因为谈起这个话题,我相信很多人的心中只有愤怒与无奈。据《中国互联网络发展状况统计报告》统计称,截止2015年12月,中国互联网用户数已达6.88 亿,互联网普及率为50.3 %;同时显示,我国手机网民规模达6.20亿,有90.1%的网民通过手机上网。这是什么概念?相当于每两个中国人中,就有一个人给宽带运营商付费并使用其提供的上网服务,而且几乎每人都使用移动终端。巨大的商机下暗流涌动,怎可能收个宽带费就满足?!所以,网络流量劫持也成了中国互联网成长过程中撇不清的话题。如利用DNS污染、JS投毒、特定请求重定向等手段对搜索结果、广告、网页内容甚至下载文件进行劫持。轻则对正常网络体验造成影响,重则对网络信息真实性甚至我们账号安全造成泄露风险(一会儿在看这个: 你们以为运营商只是HTTP插点广告而已么,图森破啊 )电脑端的流量劫持已屡见不鲜。但随着移动互联网的崛起,一双双的黑手也伸向了移动终端用户,体现比如明明在官方可信渠道(商城)下载的手机软件,结果安装后发现竟然是其他毫不相干的APP!这种抱怨简直不能太多,有位白帽子的朋友被劫持,然后他亲自帮朋友调查了下这个过程,报告到了乌云 疑似某基于运营商流量的APK劫持推广系统存漏洞(每天高达百万计的劫持数据统计) ,今天就是解读这位白帽中其中所发现的细节。事件起源是白帽子某位唐山的兄弟说自己下载小米商店应用,无论是手机端还是 PC 端,下载到本地都会变成了 『UCBrowserV10.9.0.703XXX_(Build151211143335).apk』– UC 浏览器,如上图。白帽通过抓包发现在该运营商网络下,所有的apk请求(Android软件安装包)都会被重定向到一个神秘的系统,然后下载地址就被悄悄的替换掉了。不管怎样这个系统就是问题的关键,白帽打开这个IP后看到了一个『安装分发平台』。乌云君曾想象做这种流量劫持苟且之事的系统都是非常隐秘并且简陋的,这个系统这么高调并且似乎已经成熟化了,简直不能理解。这个互联网太没有安全感。可惜,信息安全上还没那么成熟(存在明显的SQL注射漏洞),这系统上所做的事情和记录都是可以轻易访问到。白帽子发现这个系统对每天对用户的劫持行为都进行了详细的记录。记录包括:来源地区、用户关键字、用户下载的apk、被替换的apk、用户IP、劫持时间等,这个应该是用来做费用结算的。上图是一些下载小米商店和爱奇艺客户端的用户,都被悄悄的替换为UC浏览器安装包了。通过这系统自己的统计得知,每日的成功劫持数量少则六七十万、多则一百多万的劫持量,这只是一个准二线城市的量级。社区里的白帽子还提供过更大的运营商劫持记录,百万其实也算少的,如果这种系统被黑客通过漏洞控制,批量下发恶意手机木马,那会是谁的责任?好说这么多,这到底是哪家运营商做的劫持?CNCERT对该漏洞的通报与反馈来看,你们说是哪家?已经转由CNCERT向中国电信集团公司、中国移动集团公司、中国联合网络通信集团有限公司通报,根据反馈情况,已经由中国电信进行后续处置。翻墙技术博客订阅地址及社交帐号

阅读更多

研究:百度SDK及瀏覽器恐導致用戶個資外洩,上千款App受累

来源:http://www.ithome.com.tw/news/104096研究者指出百度釋出的SDK恐使開發的相關App存在資料外洩的安全風險,以百度瀏覽器為例,Android版本及Windows版本會將用戶的裝置及個資以明碼或容易被破解的簡單加密進行傳輸。加拿大多倫多大學研究人員發現,百度提供外部使用的軟體開發套件(SDK),以及利用該套件開發的瀏覽器蒐集用戶個資以明碼或容易被破解的加密法傳輸到百度伺服器,使用戶曝露在個資外洩的風險,影響App恐達上千個。隸屬於多倫多大學的公民實驗室23日發表研究成果,指中國網路搜尋龍頭百度公司針對Android與Windows平台推出的百度瀏覽器存在安全風險。Android版本會傳輸包括GPS座標、搜尋紀錄、網頁瀏覽紀錄等個資以明碼傳送至百度伺服器,並將使用者行動裝置的IMEI碼與所在位置附近的無線網路資訊,以極易破解的加密法加密後傳輸回百度。至於Windows版的百度瀏覽器,則在傳輸個資外,還會傳輸硬碟序號、MAC位址、CPU編號等更多資料,同樣以簡單的加密或完全不加密傳輸。此外,兩種版本的瀏覽器都未使用程式碼簽章來確保軟體升級時的安全性,讓攻擊者有機可乘,可能導致被動過手腳的軟體被用戶安裝後,讓駭客得以在裝置上執行任意程式碼。研究人員調查發現,導致百度瀏覽器曝露個資外洩風險的原因為該公司開放外界使用的百度SDK,該工具不僅百度本身使用,並有大量Android開發者使用來開發在Google Play與中國內部Android App市場上供人下載的App。百度回應表示,對於被質疑蒐集用戶個資的作法,已經在使用條款中明確告知用戶,對於傳輸資料方式的安全性問題,則會進行修改,最遲會在2月底前完成行動版瀏覽器、5月初前完成Windows版瀏覽器的更新,並將會採用較安全的非對稱式加密法。翻墙技术博客订阅地址及社交帐号

阅读更多

支持中国数字时代

Google Ads 1

CDT EBOOKS

Giving Assistant

Amazon Smile

Google Ads 2

翻墙利器

请点击图片下载萤火虫翻墙代理