谷歌以用户隐私及安全性作为筹码,推行”视频群聊”服务

针对谷歌在圣弗朗西斯科召开的I/O会议上,针对明显缺乏隐私保护问题的讨论事项,我们近期已撰文予以列述。尽管在该会议上,并未讨论过多隐私保护事项,但谷歌公司所采取的行动却比任何言语更有说服力。当谷歌公司计划推出新即时消息平台以取代其长期使用的”聊天”应用程序时,有关用户隐私保护的问题更加明显。   正如我们积极倡导保护用户隐私性的朋友——”电子前沿基金会”所强调的内容,谷歌所采取的行动可以让人理解,该公司使用新”视频群聊”服务平台,取代有些过时的”聊天”服务平台可能产生两种后果:一种是谷歌为推行其新颖的消息通信服务,将大幅缩减对可扩展式即时消息及出席协议(XMPP)的技术支持。对于XMPP这一开源性通讯工具来说,曾因受益于谷歌公司提供的技术支持,而得以广泛应用。 使用XMPP意味着,用户可以使用”谷歌聊天”工具向AOL即时通讯及其他若干聊天服务供应商的用户,实现跨平台的即时通讯。使用XMPP还意味着可使用”离线记录”(OTR)加密程序为”谷歌聊天”的开源式框架提供支持。请不要混淆谷歌的”离线记录”功能及”离线记录”加密程序,稍后我会对两者之间的区域稍加解释。而”视频聊天”却不支持上述两种功能。 第二中且似乎更具相关性(但实际影响力更低)的后果是,在新推出的”视频群聊”平台中,用户将不再可以针对所有聊天内容,采用”删除记录”选项。”删除记录”选项的功能如其字面意义所示:在打开该功能的条件下,谷歌公司无法将您通信中的聊天历史记录归档。尽管如此,用户仍可完成记录删除进程,但仅可基于联系人至联系人的方式删除记录。 谷歌公司对此解释称: “我们已对谷歌聊天及谷歌语音聊天的历史记录设置项做出变更。您可以关闭个人聊天记录,但您将不再可以使用关闭所有聊天历史记录的选项.” 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。 什么,是这样吗?上述聊天平台的改变,不仅表示用户使用的不便利性稍微增加,而且我们的反应还可以体现对虚假在线表示愤怒的集体倾向,不是吗?除上述不满之外,经仔细思考后,我们可以发现停止XMPP将可能产生更为严重的后果。 正如EEF的帕克 希金斯(Parker Higgins)所 述,对于希望使用OTP加密功能且隐私意识较强的用户来说,将无法继续使用该加密功能。略具讽刺性的是OTR加密的本质是加密通信协议,而谷歌公司已过渡滥用该数据。对于谷歌公司来说,关闭记录仅意味着无法归档即时通信消息,和加密功能的使用时间无任何相关性。事实上,OTR是”确保在线通信安全的关键组件。”当两名用户使用OTR时,除这两名用户之外,其他人(包括服务提供商)全都无法访问两人之间的通信内容。使用原有的XMPP框架,可使得用户掌控自己的聊天服务器,并可使得其他非谷歌用户在和谷歌用户通信时,使用OTR加密程序。而这一切都将发生改变。 希金斯撰文声称:”有鉴于此,用户仅可选择使用谷歌聊天服务器,或删除未使用谷歌聊天服务器的聊天对象。更糟糕的是,谷歌用户不会注意到下述变化:谷歌用户将无法再次和使用jabber.org的聊天对象、fsf.org的成员或任何其他使用XMPP服务器的聊天对象正常聊天。 本文所要指出的重点是,尽管无任何谷歌官方应用程序支持OTR,但用户应可绕过该壁垒使用OTR,其原因在于XMPP具有开放型框架。换句话说,谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。此类不一致的应用程序诸如:谷歌聊天、谷歌语音聊天、谷歌+视频群聊等(请不要将谷歌+视频群聊和相同名字的新聊天平台相混淆)。 我们绝大多数人或许会对谷歌感到失望。谷歌公司层在用户数据隐私保护及安全性方面功勋卓著,但最终我们将需使用已用户隐私安全为筹码的新服务平台。对于真正需要使用安全保护聊天应用程序的用户来说,我们已编辑出一份安全保护性良好的媒体列表。在该列表中排行首位的是Skype,但是我们也已给出相关提示:即便是列表中的媒体,也可能会受到政府监视。 平心而论,”谷歌聊天”应用程序在八年前,计算机至计算机间即时通信刚开始兴起时,是一款极为伟大的应用程序,该应用程序行业也使用”聊天”应用行业予以命名。事实上,谷歌聊天也曾经过不断进化的演变进程,使用户可以实现跨平台之间的即时通信。但是,永久连接式设备和不同独立设备及操作系统(如,What’s App网站、黑莓、Facebook聊天服务)社交信息通信的发展,致使用户产生新需求,并最终致使基于SMS的文本信息服务及原有的聊天服务最终被新聊天服务所取代。 Verge网站发布了一遍有关此方面的绝佳综述性文章。该文章不但详细介绍了视频群聊服务平台,并准确阐述了使用视频群聊服务对谷歌公司的意义。鉴于即时通信服务的发展已远远落后于移动信息服务的发展,因此视频群聊服务似乎已成为谷歌公司必须实施的服务方式。该文章绝对值得一读。    

针对谷歌在圣弗朗西斯科召开的I/O会议上,针对明显缺乏隐私保护问题的讨论事项,我们近期已撰文予以列述。尽管在该会议上,并未讨论过多隐私保护事项,但谷歌公司所采取的行动却比任何言语更有说服力。当谷歌公司计划推出新即时消息平台以取代其长期使用的”聊天”应用程序时,有关用户隐私保护的问题更加明显。

 

正如我们积极倡导保护用户隐私性的朋友——”电子前沿基金会”所强调的内容,谷歌所采取的行动可以让人理解,该公司使用新”视频群聊”服务平台,取代有些过时的”聊天”服务平台可能产生两种后果:一种是谷歌为推行其新颖的消息通信服务,将大幅缩减对可扩展式即时消息及出席协议(XMPP)的技术支持。对于XMPP这一开源性通讯工具来说,曾因受益于谷歌公司提供的技术支持,而得以广泛应用。

使用XMPP意味着,用户可以使用”谷歌聊天”工具向AOL即时通讯及其他若干聊天服务供应商的用户,实现跨平台的即时通讯。使用XMPP还意味着可使用”离线记录”(OTR)加密程序为”谷歌聊天”的开源式框架提供支持。请不要混淆谷歌的”离线记录”功能及”离线记录”加密程序,稍后我会对两者之间的区域稍加解释。而”视频聊天”却不支持上述两种功能。

第二中且似乎更具相关性(但实际影响力更低)的后果是,在新推出的”视频群聊”平台中,用户将不再可以针对所有聊天内容,采用”删除记录”选项。”删除记录”选项的功能如其字面意义所示:在打开该功能的条件下,谷歌公司无法将您通信中的聊天历史记录归档。尽管如此,用户仍可完成记录删除进程,但仅可基于联系人至联系人的方式删除记录。

谷歌公司对此解释称:

“我们已对谷歌聊天及谷歌语音聊天的历史记录设置项做出变更。您可以关闭个人聊天记录,但您将不再可以使用关闭所有聊天历史记录的选项.”

谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。

谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。

什么,是这样吗?上述聊天平台的改变,不仅表示用户使用的不便利性稍微增加,而且我们的反应还可以体现对虚假在线表示愤怒的集体倾向,不是吗?除上述不满之外,经仔细思考后,我们可以发现停止XMPP将可能产生更为严重的后果。

正如EEF的帕克 希金斯(Parker Higgins)所 述,对于希望使用OTP加密功能且隐私意识较强的用户来说,将无法继续使用该加密功能。略具讽刺性的是OTR加密的本质是加密通信协议,而谷歌公司已过渡滥用该数据。对于谷歌公司来说,关闭记录仅意味着无法归档即时通信消息,和加密功能的使用时间无任何相关性。事实上,OTR是”确保在线通信安全的关键组件。”当两名用户使用OTR时,除这两名用户之外,其他人(包括服务提供商)全都无法访问两人之间的通信内容。使用原有的XMPP框架,可使得用户掌控自己的聊天服务器,并可使得其他非谷歌用户在和谷歌用户通信时,使用OTR加密程序。而这一切都将发生改变。

希金斯撰文声称:”有鉴于此,用户仅可选择使用谷歌聊天服务器,或删除未使用谷歌聊天服务器的聊天对象。更糟糕的是,谷歌用户不会注意到下述变化:谷歌用户将无法再次和使用jabber.org的聊天对象、fsf.org的成员或任何其他使用XMPP服务器的聊天对象正常聊天。

本文所要指出的重点是,尽管无任何谷歌官方应用程序支持OTR,但用户应可绕过该壁垒使用OTR,其原因在于XMPP具有开放型框架。换句话说,谷歌公司正在以开源式聊天软件平台的用户安全性及隐私作为筹码,推行新视频群聊平台。对于谷歌公司来说,可通过更华丽、更复杂及无缝连接的方式,使谷歌自身和先前不一致的应用程序更好的融合在一起。此类不一致的应用程序诸如:谷歌聊天、谷歌语音聊天、谷歌+视频群聊等(请不要将谷歌+视频群聊和相同名字的新聊天平台相混淆)。

我们绝大多数人或许会对谷歌感到失望。谷歌公司层在用户数据隐私保护及安全性方面功勋卓著,但最终我们将需使用已用户隐私安全为筹码的新服务平台。对于真正需要使用安全保护聊天应用程序的用户来说,我们已编辑出一份安全保护性良好的媒体列表。在该列表中排行首位的是Skype,但是我们也已给出相关提示:即便是列表中的媒体,也可能会受到政府监视。

平心而论,”谷歌聊天”应用程序在八年前,计算机至计算机间即时通信刚开始兴起时,是一款极为伟大的应用程序,该应用程序行业也使用”聊天”应用行业予以命名。事实上,谷歌聊天也曾经过不断进化的演变进程,使用户可以实现跨平台之间的即时通信。但是,永久连接式设备和不同独立设备及操作系统(如,What’s App网站、黑莓、Facebook聊天服务)社交信息通信的发展,致使用户产生新需求,并最终致使基于SMS的文本信息服务及原有的聊天服务最终被新聊天服务所取代。

Verge网站发布了一遍有关此方面的绝佳综述性文章。该文章不但详细介绍了视频群聊服务平台,并准确阐述了使用视频群聊服务对谷歌公司的意义。鉴于即时通信服务的发展已远远落后于移动信息服务的发展,因此视频群聊服务似乎已成为谷歌公司必须实施的服务方式。该文章绝对值得一读。

 

 

解密及越狱:如何实施两项操作,及两项操作将对安全性造成何种影响?

运行安卓及iOS操作系统的智能手机所有者,有时会针对是否值得对其手机设备实施神秘的解密及越狱进程,实施热烈讨论。实际上,解密及越狱是可以产生一些有趣后果的黑客攻击活动。本文将针对解密及越狱操作的利与弊予以讨论。   尽管两种操作的名字不同,但解密及越狱操作在本质上属于同一操作;通常情况下,术语解密适用于安卓手机设备,而越狱适用于iPhones。对于一部新智能手机来说,许多操作仅限于手机制造商或操作系统开发商创建的软件程序;并且手机已针对从应用程序库中下载的所有应用程序设置访问权限。解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序(如,控制CPU时钟速度或覆盖系统文件等)。通过使用专门创建的程序,用户可在不受制造商限制的条件下,在智能手机上实施任何操作。当然,更大的权力意味着更多的责任:”绝对一切”包括删除您智能手机中的一切软件或安装功能全面的间谍软件。 为何费神实施越狱/解密? 坦率的说:根据估计结果,大约有50%及90%的用户选择越狱或解密其手机设备,以便于在无任何限制的条件下,安装盗版游戏或应用程序。尽管我强烈反对用户实施越狱或解密,但确实存在多个体面的理由使您对自己的手机,实施此类黑客攻击式的操作。 首先,安装具有管理员权限的应用程序,可使得手机具有先前无法想象的功能。举例来说,可基于不同环境条件改变铃声音量的应用程序。此类应用程序可根据麦克风、摄像头图片分析,及表明手机处于用户袋子或口袋中的移动读数,确定背景噪音等级。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 解密及越狱用于描述如何获得设备完全管理权,以允许在手机上操作原始状态条件下,并未安装的第三方程序。 第二,解密及越狱可实现更灵活的应用程序管理。钛备份是一款全面且灵活性强的”时间机器”软件程序。该程序为在需要完成解密进程的条件下安装且最受欢迎的安卓应用程序之一。通过使用该应用程序,用户可以便捷的将旧智能手机中的数据,转移至新智能手机中;或在用户不满意新版本应用程序的条件下,可使用户重新安装旧版本的应用程序。 解密/越狱进程 用户可通过获得制造商批准,合法获得安卓智能手机的管理员权限。通常情况下,用户为合法获得手机管理员权限需实施下述步骤:用户必须输入智能手机的唯一编号(IMEI)并下载必要的软件。通过上述步骤,用户将可解锁智能手机的引导装载程序,并可上传经修改后的操作系统。经修改后的操作系统将授予用户所有管理员权限。听起来上述步骤非常复杂?实际上,这也是为何制造商不向此类解锁后的智能手机提供保修的原因所在,并且经解锁后,手机将处于”开发者设备”状态。 有鉴于此,用户及居心叵测的攻击者通常采用其他路径:此类用户及攻击者搜寻智能手机固件中的漏洞,以便于在无需联系生产商的条件下,获得相同的管理员权限。此类程序类似于可利用您网页浏览器漏洞的恶意软件程序;黑客通过利用此类恶意软件程序可在您毫不知情或在未获得您同意的条件下,自动在您的计算机中安装。为使用此种类型的漏洞,解密您的智能手机,您需要使用USB连接线使智能手机和计算机相连接,并启动计算机中的相关应用程序,或启动手机中的应用程序。数分钟之后,您的手机将可完成解密进程,并且您在未来无需重复实施解密进程。 iPhone/iPad的越狱同样基于漏洞的利用。通常情况下,需通过连接iPhone及计算机,并运行计算机上的相关程序实施越狱进程;但是,旧设备的越狱进程更为简单。前段时间,网络中曾出现一个非常流行的网站Jailbreakme,用户可通过该网站利用Safari浏览器中的漏洞。对于该网站来说,用户可通过使用iPhone/iPad点击该网站的访问链接,及点击”为我越狱”缉拿,获得iPhone/iPad的全部权限。后来,苹果公司修补了其产品中的漏洞,并聘用该网站的开发者作为苹果公司的内部员工。对于苹果公司来说,这是一项极为精明的投资。 实施解密/越狱的主要后果是,安装可提供新功能的额外管理程序。对于iOS系统用户来说,其设备可显示另一可替代性的应用程序商店,是获得管理员权限这块”金牌”的象征;对于安卓用户来说,证明其已成功获得管理员权限的标志是,可安装SU或SuperSU应用程序。对于安卓系统用户来说,对于设备访问管理权限的管理来说——设备将提示用户”允许”或”拒绝”访问特定的应用程序。     解密/越狱的安全益处 通过使用具有管理功能的应用程序,可从根本上采用新方式保护用户的智能手机或平板电脑。举例来说,标准的安卓智能手机缺乏独立的防火墙;更为精确的说,防火墙集成于安卓系统之中。该状况允许任何人在完全不受控制的条件下,在用户安卓智能手机上实施任何操作。仅在安卓手机的”解密”状态下,可使用应用程序强制实施防火墙准则(如,在漫游条件下,组织安卓智能猴急访问特定的应用程序等)。 最新版本的iOS系统,允许用户对应用程序可获取的数据授权实施更为灵活的管理:每个应用程序都可获得特定个人数据的访问权限。此类特定的个人数据诸如照片、联系人、地理位置等。当前,也已推出具有类似许可系统的安卓操作系统,但使用该安卓系统的用户并不具有灵活管理能力:在安装系统之前,用户将可查看完整的许可列表。如果用户不喜欢某应用程序的某些功能,则用户可以拒绝安装该应用程序。该状况将可改善应用程序使用,并通过逐个管理的方式,对已安装的应用程序实施灵活的访问许可管理。换句话说,如果您认为您某程序不应访问您所处位置的信息,则您可剥夺该程序访问您所处位置信息的权利。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。 对于iOS及安卓操作系统来说,具有管理员权限的应用程序将可使手机具有超强的反偷窃能力。举例来说,对于iOS操作系统,存在可拍摄疑似窃贼并显示锁屏的反偷窃应用程序;对于安卓应用程序,存在可将自身写入手机设备的ROM,并在完成出厂设置重置进程后,仍可运行的程序。当然,我们应当谨记的是,此类具有管理员权限的程序并未经过手机生产商测试,因此可能存在无法预测的程序行为(如,耗电或致使智能手机完全无用)。鉴于存在上述风险,因此绝大多数程序开发商(包括卡巴斯基实验室及卡巴斯基移动安全套件),禁止使用需要解密/越狱的程序功能。 解密/越狱的安全风险 许多应用程序认为解密/越狱存在安全威胁,并拒绝在已解锁的设备上运行。许多类似于MDM(移动设备管理程序)的应用程序,可以帮助用户检查其智能手机中的工作文件及电子邮件。一些银行的移动应用程序在已解锁的设备上处于禁用状态(尽管银行的此类决定让人感觉有些吃惊)。 除了上述风险之外,实施解密及越狱进程将可能使智能手机变为无用的塑料块,这也是解密及越狱的新安全威胁。 首先,获得管理权限的应用程序可跳出应用程序”沙箱”;因此,此类应用程序功能和所获权限之间不再具有相关性。应用程序可执行任何其希望的操作,其中包括阅读及发送和其他应用程序相关的文件、监视设备所有者、在手机所有者毫不知情的条件下,使用麦克风等。 第二,智能手机解密或越狱所需使用的应用程序,通常由业余的小团体编写;因此,此类应用程序本身也包含糟糕的程序代码及程序漏洞。此类程序漏洞可能会被看似合法的恶意应用程序所利用,并向恶意应用程序移交手机的管理权限。 第三,在解密/越狱进程中,实施的多项手机配置变更可能是黑客的绝佳礼物:越狱进程可使得绝大多数iPhone模式处于远程可控状态;其原因在于,所有越狱设备使用相同的越狱密码。当然,用户可以变更该密码,但仅有极少数用户实施越狱密码的变更进程。 无法保障您的安全 解密/越狱进程带有严重的安全隐患,但是即便不使用解密/越狱进程也无法保障您的安全性。攻击者可利用您智能手机上的漏洞,在无需使用中介程序(如SuperSU等)的条件下,为其恶意应用程序获得您智能手机的管理权限。在此状况下,未实施解锁进程及已实施解锁进程的设备之间,几乎并无任何差别。上文中提到的Jailbreakme.com网站即为现实中的实例。如果该网站的创建者是个势利小人,则他将可滥用用户手机中的程序漏洞。举例来说,除可为所有网站用户提供免费越狱服务之外,网站创建者还可在用户手机上暗中安装间谍软件。另外一个非常有趣的网站,可向网站用户提供类似于”阅读其他用户消息”的网络奇迹;该网站的创建设者同样可使用”点击这里”键,完成罪恶勾当!到目前为止,我们尚未获得有关此类案例的任何消息,但我们不能忽略使用上述计划实施网络犯罪的可能性;至少不能忽略实施目标攻击的可能性。

提示