蘋果 Safari 隱私爭議,不只是檯面上的資安議題

蘋果日前爆出的騰訊隱私爭議,可視為使用者對近期蘋果不斷對中讓步的反擊。
評論
▲Photo Credit: Shutterstock/ 達志影像
評論

蘋果公司近期爆出的隱私爭議,與其說是資訊安全議題,不如說摻雜了政治性意味的公關危機議題。而這些爭議引起的騷動,也可視為使用者對近期蘋果不斷對中國政府讓步的反擊。

蘋果同時採用 Google、騰訊資料庫

近期蘋果公司爆出使用者用 Safari 瀏覽器「詐騙網站警告」功能瀏覽網站時,會自動傳送 IP 位址等隱私資訊,再與 Safari 採用的外部安全瀏覽程式來交叉比較外部黑名單網站。過去蘋果公司通常採用 Google 安全瀏覽程式,但近期承認也採用騰訊( Tencent )安全瀏覽的黑名單資料,引起美國用戶騷動。

    推薦閱讀:蘋果 Safari 瀏覽器會發送使用者隱私資訊給騰訊!

據了解,雖然安全瀏覽程式所建立的黑名單資料對使用者有示警功能,但如果將它用來追蹤使用者,也可以讓瀏覽器自動提交使用者點擊過的每個網頁,並建立一個與 IP 位址連結的完整網路使用行為日誌。

但根據 The Verge 報導,蘋果雖然承認 Safari 瀏覽器採用 Google 和騰訊的安全瀏覽程式,但這兩家公司都沒有從 Safari 獲得任何用戶的網路使用行為資料。蘋果發布聲明指出,當啟用 Safari 瀏覽器的「詐騙網站警告」功能後,Safari 只會根據已知網站列表來檢查網頁的 URL(Uniform Resource Locator),並在用戶將造訪惡意網站時跳出警告。Safari 從 Google 獲得這些已知惡意網站的列表,而對區域代碼設置在中國大陸區域的狀況,則改從騰訊接收這些已知惡意網站列表。

蘋果聲稱,使用者可以自行關閉該功能;就算啟用,其所造訪網站的實際 URL 並不會與 Google 或騰訊共享。

從資安角度看:第三方網站很難取得完整 URL

ZDNet 也報導,不論是 Google 或騰訊,他們安全瀏覽程式的運作流程都是:先將惡意網站資料庫的副本傳送到使用者的瀏覽器,再讓瀏覽器依據資料庫來檢查使用者將造訪網站的 URL,因此流量是從外部傳入,並未與 Google 或騰訊接觸;此外,只有在無法使用 Google 網域的中國大陸境內,才會開啟騰訊的惡意網站黑名單列表。

約翰.霍普金斯大學密碼學家 Matthew Green 也詳細說明瀏覽器與外部安全瀏覽程式相互合作的複雜關係。首先,Google 安全瀏覽程式會將每個危險網站轉成「雜湊值」(Hash),再取雜湊值最前面的一些子字串,也就是「前綴」,將前綴發送給 Safari。

接下來,當使用者造訪網站時,Safari 也會對把網站的 URL 轉成雜湊值,並與 Google 所送來的惡意網站雜湊值前綴清單交互比對。如果前綴值匹配成功,Safari 會進一步請Google 提供該前綴詞的完整雜湊值,假使 Safari 再次比對後發現完全一樣,這個網站就會被標記為惡意網站並跳出示警。

從這段流程來看,雖然像 Google 安全瀏覽器這樣的第三方業者永遠不會看到完整的 URL 雜湊值,但當 Safari 找到可匹配的前綴值,並要求 Google 提供完整雜湊值時,此時 Safari 不只會呈現使用者將造訪網站的部分雜湊值,也會顯示他們的 IP 位址。

Matthew Green 認為,如果第三方合作廠商是誠信經營,那就可在保護隱私下有效制止使用者造訪惡意網站;但倘若廠商有心追蹤用戶的網路使用行為,就算只取得小部分資訊,日積月累下也可能入侵使用者的資訊、隱私安全。雖然他沒有表明騰訊是否嘗試追蹤使用者,但仍呼籲蘋果公司應該公開更多細節,避免大眾恐慌。

從政治角度來看:近期不斷對中讓步,引發網友不滿

評論認為,這件事情之所以會引爆網友負面騷動,是因為近期蘋果公司不斷對中國政府讓步,早已累積許多歐美網友不滿。例如,知名抗爭地圖 App「HKmap.live」,在香港反送中運動中可幫當地民眾避開警察檢查駐點,但蘋果公司上週卻將之從 App Store 上移除;此外,之前香港版跟澳門版的 iPhone 系統更新後,也把台灣國旗從 Emoji 表情符號中拿掉。

    推薦閱讀:香港抗爭地圖 HKmap 二度下架!庫克內部信指惡意用於襲警

    推薦閱讀:隨反送中越演越烈,中華民國國旗 emoji 在港版 iPhone「被蒸發」

雖然蘋果公司對外經常號稱自家產品的隱私、安全性遠遠高於競爭對手,但近期對中國政府讓步的種種行徑,似乎也成為這間公司的明顯弱點。

延伸閱讀:

核稿編輯:Mia



如何防範加密貨幣詐騙?常見的詐騙手法有哪些?

詐騙手法日新月異,但都萬變不離其宗。一旦發現場景類似詐騙手法,都不要貿然投資。真正的賺錢方法一般都非常無聊,只是不斷重複正確投資策略。寧願賺得無聊,也不要虧得精采。
評論
Photo Credit: 一起學投資
評論

作者:小君一起學投资

加密貨幣市場是目前最受矚目的投資領域,每天都有數不勝數的投資新手,前赴後繼地進入。在這裡,不僅有投資都會面臨的虧損,更有數不勝數的詐騙手段。如何防止自己被詐騙,是第一件需要了解的事情。

經常看到有幣圈人分享被詐騙的經歷,希望透過這篇文章幫助幣圈新人提前防範騙術。

為何加密貨幣市場騙局多?

加密貨幣市場為何有這麼多陷阱呢?這源於加密貨幣的最大特色:去中心化。銀行會受到金管會或政府機構的監管,確保儲戶的錢不會被盜用,但在區塊鏈的世界裡沒有監管機構。

區塊鏈上的交易記錄都是公開的,且儲存在不同的雲端上,由不同的人維護。為了避免區塊鏈數據被篡改,區塊鏈採用不依賴一個中心點的方式。去中心化的好處就是資料公開、交易隱密和不需要第三方介入;但這同樣存在不受監管,並且交易無法撤銷的缺點。

如果是新手交易,很有可能因為前期資料收集不足,或者被詐騙集團誤導,從而陷入騙局裡,等到錢被捲走,才後悔莫及。

常見的虛擬貨幣詐騙手法有哪些?

通過投資賺到一萬台幣可能需要一年,但在虛擬世界失去它,只需要一瞬間。區塊鏈中有層出不窮的陷阱。為了避免掉入陷阱,這邊整理了五種常見的加密貨幣詐騙手法,投資時要特別注意。

1.拉地毯(rug pull) 

通常指的是項目方突然放棄項目,將投資人的資金捲款潛逃。這種在傳統市場也存在,只不過創辦人十有八九會受到法律的制裁。

但在加密貨幣市場,我們可能連創辦團隊是誰都不知道,不少投資人喜歡這種神秘的項目,覺得可能有極大的利益,殊不知正捲入這類型的詐騙事件中。

比較有名的案例是魷魚幣SQUID,遊戲平台squid game藉著魷魚遊戲的爆紅,順勢推出同款遊戲並發行代幣魷魚幣,玩家必須要持有魷魚幣,才可以入場參與。

Photo Credit: 一起學投資

魷魚幣才上線3天,就狂漲了700倍,歷史高點達到2861美元,但項目方疑似捲款潛逃,幣價暴跌到0.0008美元,甚至連官網都無法登入,許多投資人也因此損失許多。

2.ICO(Initial Coin Offering)

ICO意思是虛擬新幣首次公開發行,類似股票的IPO。公司上市募資,散戶投資心儀的新項目,以待日後大賺一筆。當然前提是你投資的是隻「「下金蛋的雞」」,否則前途難料。因為加密貨幣市場裡,任何人都可以發起ICO,你也不知道對面是甚麼樣的人。

如果發起ICO只是為了撈一波就走,只需要將項目說得天花亂墜,就一定會有投資人爭相兌換。然後錢就像投入樂透一樣,買個開心吧。所以我們建議盡量選擇實名認證的團隊,並且有具體的計劃書和可行的商業模式。

ICO也是一把雙面刃,如果願意承擔風險,也確實有人能在一些撲朔迷離的項目上賺到錢。

3.場外交易OTC(Over the Counter)

加密貨幣市場有非常多的交易所可以選擇,通常交易所都會收取手續費。有些人為了省下這筆錢,會選擇私下轉帳,這就是最常見的場外交易。

一手付錢一手出貨,免去交易所的過程,就可能會出現剛轉賬,對方將投資方拉進黑名單中。

這在傳統的市場裡也有,經常看到警官好言相勸一些中年婦女不要在ATM上轉帳給詐騙集團。但加密貨幣市場是沒有監管的,所以也沒人阻止你被騙。只能自己提高警惕,盡量在熟人之間做場外交易。

4.空投Airdrop(Initial Airdrop Offering)

這種詐騙手法是隨加密貨幣興起的方法,需要特別注意。

空投是發行新的虛擬貨幣或是NFT時,開發商會贈送一些貨幣給投資人,目的是為了吸引更多的用戶來使用。

一般空投只需要提供個人錢包位置就能接收贈送的貨幣,這是正常行為,不過詐騙的方式就在“投”這件行為上。

假錢包:

引導投資人安裝假錢包,並告知需要加值資金,一旦到帳就迅速轉走假錢包內的資金。

假連結:

這種最難防範,因為加密貨幣屬於網路行為,經常會需要點擊不知真假的連結。

而詐騙就發生在你點擊連結後開放錢包授權,得到授權後就被允許轉走錢包裡的加密貨幣,很多人被洗劫一空後還不明所以。

為了防範空投的騙局,給投資人提供兩點建議。

準備多個錢包:

可以準備一個專門用來應對空投的錢包,自己的大額資金存放在另外的冷錢包中。

檢查錢包授權:

網上有些檢查錢包授權的軟體,大家可以用來檢查錢包是否有被正確授權,確認沒有被不知名的單位或IP獲取。

5.假交易所

要防範假交易所很簡單,可以透過CoinMarketCap選擇前十的交易所就可以了。前一千名裡都找不到的交易所,它的交易量非常有限,通常就是假的交易所了。

假交易所的詐騙手法很簡單,會先在各種社群加投資人好友獲取信任,'放話一些「小道消息」」,比如用哪個交易所賺錢更多,吸引入金後就不允許出金了。更高明的會先讓你嘗到甜頭,加大投入時才不允許你出金。

另外一個明顯特徵是,假交易所通常會採用即時通訊的溝通方式。而知名交易所因為用戶量龐大,多會選用email來作為認證方式。

永遠記住,交易所只是平台,決定是否能賺到錢的,是投資策略。

如何降低投資風險?

了解騙術後,你該如何避免成為待宰羔羊呢?

不懂的東西別投資:

不要跟風,多了解加密貨幣的基本知識,避免在投資時做出錯誤的判斷。

做好資產配置:

雞蛋不要放在一個籃子裡是重要的投資準則。在開始投資之前一定要規劃自己的資產配置,以防錯一次,就將所有金錢賠進去。

選擇可信的交易所:

不管你的投資手法多正確,選擇標的多麼賺錢,一旦把錢放在錯誤的地方,你必然血本無歸。所以篩選交易所,是在投資加密貨幣之前,非常重要的功課。

發現相似詐騙手法不要貿然投資:

詐騙手法日新月異,但都萬變不離其宗。一旦發現場景類似詐騙手法,不論對方說得多厲害,都不要貿然投資。

真正的賺錢方法一般都非常無聊,只是不斷地重複正確的投資策略。寧願賺得無聊,也不要虧得精采。


本文章內容由「一起學投資」提供,經關鍵評論網媒體集團廣編企劃編審。