隐私

151 文章

最佳安卓版安全应用程序

安全并非仅仅是反恶意软件保护。作为一个概念,移动安全由以下几项组成:隐私保护功能、对不守规矩的应用程序的权限限制,备份功能(防备智能手机损坏)、针对骚扰电话的黑名单,以及加密和家长控制功能。安卓是一个非常灵活的操作系统,并且如果您从Google Play中选择合适的安全应用,则能很好地应对这些难题。不过由于存在大量合适的应用程序,因此我们决定做一个最佳安全应用程序的简表,希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放,即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”,孩子会玩手机,同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下,图形验证码或PIN锁本可以起到作用,但是在您将手机交给朋友或孩子前,你必须解锁。因此,只需几下点击,您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时,必须输入一个额外验证码。此外,您还可以在受密码保护的媒体库中存储一些私人照片和视频,剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏,在这种情况下,应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序,安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息(顺便说一下,这是一个非常不好的迹象,在此类情况下,最好不要安装该应用),您别无选择,要么接受不良后果,要么选择放弃安装。然而,越来越多的应用程序需要更多的”额外”权限。事实就是如此,因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得,被称为App Ops。遗憾的是,在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问,您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是,在安卓4.4.2版和之后的版本中,App Ops 功能需要root权限。对于安卓系统4.3以下的版本,不提供App Ops功能,但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能:撤销已经安装应用程序的权限。例如,您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人,类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中,操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性,但在每次用户希望使用智能手机时,都需要输入一个繁琐冗长的密码,否则这种方法毫无用处。每天输入50次密码令人无比抓狂,因此人们采用了替代方法:只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件,并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限:在这种情况下,加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时,可自动对其进行加密。重要提示:EDS容器与TrueCrypt桌面应用程序兼容,从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序,而企业和公司用户则需要安装一个特殊的MDM解决方案,以提供全面的移动安全方法。 Funamo

分步指南:如何使用卡巴斯基安全软件安卓版隐藏联系人

在智能手机上,有些联系人你可能不希望其他人看到。下面的漫画说明了其中一种可能的场景;但这绝不是唯一的情况。 之前,我们解释过如何使用卡巴斯基安全软件安卓版来远程隐藏敏感联系人。下面我们将教会您如何创建可永久隐藏的联系人列表,而不仅仅是在紧急情况下隐藏。

安全网络即时通讯:这是谎言吗?

如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure

一周要闻:元数据收集、零日漏洞、MH 370网络钓鱼等。

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数,但还是有一些值得关注的事件。 新闻概述如下:网络安全公司White Hat发布了内部网页浏览器,专注于安全性和隐私,可应用于Windows操作系统计算机;美国总统奥巴马要求美国国家安全局(NSA)终止搜集公民通话元数据;骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局;微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点,这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而,保护网络会话安全,尽可能确保这些会话私密是一项艰巨的工程,尤其是对于那些缺乏相关技术知识的用户,或更重要的是,根本无暇了解自己心爱浏览器的设置。 为此,White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器(至少推出Mac版)。该款浏览器在公司内部已使用数年。本周早先时候,他们又发布了Windows版本,使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建,外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下,该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎,它不会收集用户搜索历史记录,也不会以任何方式显示广告或跟踪用户。 总之,该浏览器并不是简单地靠大量流行的扩展程序来阻止广告(全球三大浏览器就是这样做的),而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪,而且还能保护用户不接收潜在的恶意广告。该公司表示,所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前,曝出美国国家安全局(NSA)通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的,其中有大量内容是针对美国间谍装备的指控- 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪,一方面是因为两年前大多数人甚至不知道元数据为何物,另一方面当我们回顾过往,元数据搜集相对于NSA被曝出的其他一些事件来说,并不算太离谱。 虽然说进步总是好的,但显然,白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下,NSA可存储五年的电话记录信息。根据新的规定,NSA绝对不能再存储元数据。元数据改为由各服务提供商保存,但要求服务提供商只能将此类信息存储18个月。 事实上,就在我写这篇文章时,白宫方面已向公众宣布其终止批量搜集元数据的计划;元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道,三周前,马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系,导致机上200余名乘客下落不明。截止本文写作时,已确定该航班失事。目前,还没有确切的证据能证明该航班的下落,除此之外,其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样,马航370航班(虽然失踪航班最后的结果往往是可怕的失事)也催生了一大堆令人啼笑皆非的荒谬说法,其中许多被无耻的媒体持续报道。 同样无耻的是(你可能没那么吃惊,因为我们现在讨论的就是犯罪分子,而不是那些被称为记者的家伙),黑客组织也在互联网上以马航370失联班机为诱饵,盗取信息,骗取钱财。 大量社交媒体点击欺诈争相出现,纷纷表示已经找到马航370客机。用户会看到提示,要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出,以吸引公众注意(名流身故、国际体育赛事、自然灾害等等)。然而,除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动,在此类活动中,攻击者向美国和亚太区政府官员散播与航班相关的电子邮件,其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻:本周一,科技巨头微软公司在其Technet博客上宣布,发现Microsoft Word 2010零日漏洞,将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010,但该公司表示Word 2003、2007、2013和2013RT,Office for Mac,