电报功能存在安全隐患可被中共利用 网民已向官方提交反馈
近日本频道收到投稿,telegram 中一项“当联系人加入 telegram 时通知我”的功能存在安全隐患,可以被政府利用。
假如用户的 +86 手机号事先没有注册过 telegram,而别人事先将此手机号加入联系人,并开启了“当联系人加入 telegram 时通知我”的功能,那么当该用户使用此手机号注册时,别人就会收到提醒,且其联系人内会显示该用户的帐号和手机号,并可以私聊该用户。倘若类似中共这样的国家或政府大规模利用这一功能以监视民众的行为,恐怕造成安全隐患。据悉伊朗政府已经采取了这一行动。
网民发现,如果用户在此基础上换绑新的 +86 手机号,对方仍然能接收到通知。由于中国大陆的网络平台是被中共政府监管的,如果用户在淘宝等平台上购买了 Google Voice 手机号,也存在同样的安全问题。
目前,已经有网民向 telegram 官方提交问题反馈,链接见:
https://bugs.telegram.org/c/19612
针对这一隐患,投稿者提供了一种规避审查安全的办法,详情见文章:
https://telegra.ph/Telegram-ID-08-11
#投稿 #telegram #中共 #信息安全 #伊朗 #Google_Voice #匿名 #加密货币
近日本频道收到投稿,telegram 中一项“当联系人加入 telegram 时通知我”的功能存在安全隐患,可以被政府利用。
假如用户的 +86 手机号事先没有注册过 telegram,而别人事先将此手机号加入联系人,并开启了“当联系人加入 telegram 时通知我”的功能,那么当该用户使用此手机号注册时,别人就会收到提醒,且其联系人内会显示该用户的帐号和手机号,并可以私聊该用户。倘若类似中共这样的国家或政府大规模利用这一功能以监视民众的行为,恐怕造成安全隐患。据悉伊朗政府已经采取了这一行动。
网民发现,如果用户在此基础上换绑新的 +86 手机号,对方仍然能接收到通知。由于中国大陆的网络平台是被中共政府监管的,如果用户在淘宝等平台上购买了 Google Voice 手机号,也存在同样的安全问题。
目前,已经有网民向 telegram 官方提交问题反馈,链接见:
https://bugs.telegram.org/c/19612
针对这一隐患,投稿者提供了一种规避审查安全的办法,详情见文章:
https://telegra.ph/Telegram-ID-08-11
#投稿 #telegram #中共 #信息安全 #伊朗 #Google_Voice #匿名 #加密货币
Bugs and Suggestions
"Notify Me When Contacts Join" Makes Users in Authoritarian Countries in Danger
Dear Telegram, How is it going? I'd like to give some advice on privacy to you. You've been always advertising your privacy and security. But now, a feature in Telegram is killing users from authoritarian countries! (Screenshots: https://files.catbox.moe/yxygoh.png…
【投稿】推特禁止 Google Voice 手机号注册
据不少网友反馈,现尝试使用 Google Voice 号码注册新推特帐号会被提示“请输入一个有效的手机号码”。已注册的帐号暂时不受影响。曾经匿名上推的利器不再可用于注册新帐号,这对国内反共人士来说是致命打击。而早在两年前,就有网友发现大量 +86 用户被网警请喝茶。
马斯克到底想要干什么?
参考文章:
推特内部混入中国特工?专家:北京借推特收集异议人士信息
前高管爆料推特五大安全隐患
#投稿 #Twitter #Google_Voice #匿名
据不少网友反馈,现尝试使用 Google Voice 号码注册新推特帐号会被提示“请输入一个有效的手机号码”。已注册的帐号暂时不受影响。曾经匿名上推的利器不再可用于注册新帐号,这对国内反共人士来说是致命打击。而早在两年前,就有网友发现大量 +86 用户被网警请喝茶。
马斯克到底想要干什么?
参考文章:
推特内部混入中国特工?专家:北京借推特收集异议人士信息
前高管爆料推特五大安全隐患
#投稿 #Twitter #Google_Voice #匿名
美国之音
推特内部混入中国特工?专家:北京借推特收集异议人士信息
国际社交媒体平台推特的前安全主管称,至少一名中国情报机构的特工潜入推特公司工作,这可能导致中国能够访问有关用户的敏感数据。与此同时,推特高管被曝曾经承认,该公司与中国市场的经济利益关系会影响中国网民的自由和安全,但仍有来自中共官媒广告成为这一平台上的漏网之鱼。
【投稿】机场疑遭黑客网络攻击 已大规模数据泄露
绝大部分机场都在使用的知名面板工具 v2board 被曝出存在安全漏洞,疑遭黑客网络攻击,造成大规模数据泄露。
黑客声称涉事站点有 100 多个,用户数据约 400 余万条。黑客已将 4 个机场的用户数据发布至电报频道,数据包含用户邮箱、密码(加密过的)、套餐信息、订阅链接等。黑客声称希望自己乐意将数据交给中共政府。截至目前,用于发布用户信息的电报频道已被黑客删除。
在 v2board 最新版本 1.7.1 中,该漏洞已修复。1.6.0 之前的版本不受影响。
目前已泄露的 4 个机场站点:
paopao.dog——30583 名用户——月流水 10W+
direct.gfwservice.xyz——24962 名用户
wyy.netyi.cloud——17059 名用户
bygcloud.com——22500 名用户——月流水 10W+
在中国全国人大常委会 2016 年公布的《中华人民共和国网络安全法》中规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。该黑客的行为不仅严重危害个人信息安全,还涉嫌网络攻击犯罪,可能面临刑事责任。
在此,信息安全技术频道🔎给大家的建议如下:
🧲1. 大部分机场和 VPN 都不可靠,非要使用不可,也要用正义人士搭建的机场、VPN,尤其推荐自由门等安全性高的 VPN 软件;
🎈2. 该黑客只是想要出售数据从中获利,在中国大陆,其行为已经构成犯罪,即使提交了数据也免不了牢狱之灾,所以不用担心,其不会向中共提交数据;
💊3. 虽然如此,但是建议使用 QQ 邮箱等大陆邮箱注册机场的订阅者保持谨慎的态度,建议清除设备上的敏感数据,及时备份重要的数据,有条件的对设备进行擦除,减少翻墙频率,换到其他的机场或 VPN。
#投稿 #个人信息 #黑客 #隐私安全 #中共 #中国 #翻墙 #代理
绝大部分机场都在使用的知名面板工具 v2board 被曝出存在安全漏洞,疑遭黑客网络攻击,造成大规模数据泄露。
黑客声称涉事站点有 100 多个,用户数据约 400 余万条。黑客已将 4 个机场的用户数据发布至电报频道,数据包含用户邮箱、密码(加密过的)、套餐信息、订阅链接等。黑客声称希望自己乐意将数据交给中共政府。截至目前,用于发布用户信息的电报频道已被黑客删除。
在 v2board 最新版本 1.7.1 中,该漏洞已修复。1.6.0 之前的版本不受影响。
目前已泄露的 4 个机场站点:
paopao.dog——30583 名用户——月流水 10W+
direct.gfwservice.xyz——24962 名用户
wyy.netyi.cloud——17059 名用户
bygcloud.com——22500 名用户——月流水 10W+
在中国全国人大常委会 2016 年公布的《中华人民共和国网络安全法》中规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。该黑客的行为不仅严重危害个人信息安全,还涉嫌网络攻击犯罪,可能面临刑事责任。
在此,信息安全技术频道🔎给大家的建议如下:
🧲1. 大部分机场和 VPN 都不可靠,非要使用不可,也要用正义人士搭建的机场、VPN,尤其推荐自由门等安全性高的 VPN 软件;
🎈2. 该黑客只是想要出售数据从中获利,在中国大陆,其行为已经构成犯罪,即使提交了数据也免不了牢狱之灾,所以不用担心,其不会向中共提交数据;
💊3. 虽然如此,但是建议使用 QQ 邮箱等大陆邮箱注册机场的订阅者保持谨慎的态度,建议清除设备上的敏感数据,及时备份重要的数据,有条件的对设备进行擦除,减少翻墙频率,换到其他的机场或 VPN。
#投稿 #个人信息 #黑客 #隐私安全 #中共 #中国 #翻墙 #代理
【投稿】诸位墙外的朋友有旧手机的话可以装一个orbot然后打开互助模式,这样可以让整个网络更健壮,或者更直接地说让墙内的人更容易连接tor,使用tor翻墙。
https://guardianproject.info/apps/org.torproject.android/
#投稿 #Tor
https://guardianproject.info/apps/org.torproject.android/
#投稿 #Tor
【投稿】中国三大电商巨头之一的拼多多app被爆出间谍木马化
微信公众号「DarkNavy」[发文],称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。
据信该APP指的是中国三大电商巨头之一“拼多多”。
该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。
提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)
之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;
随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;
甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
#木马 #黑客 #隐私 #投稿
微信公众号「DarkNavy」[发文],称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。
据信该APP指的是中国三大电商巨头之一“拼多多”。
该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。
提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)
之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;
随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;
甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
#木马 #黑客 #隐私 #投稿