国产软件是否存在搜集隐私或监听用户的动作的行为?
7人赞同 36人关注

国产软件是否存在搜集隐私或监听用户的动作的行为?

阅读更多
收起
14月前
7 16 条评论 操作
9个回答
随想小弟 | 安永闲人一个..
43人赞同

在开说国产软件的问题,我先把安全翻墙上网的原则放在最前面说,让大家第一时间能看到。


简单说,要想充分地安全上境外网站,请在如下的环境进行:

  • 你的电脑里最好没有任何国产软件。或者你在虚拟机里上网,虚拟机里没有任何国产软件。如果有国产软件,请在打字的时候尽量避免出现敏感字(敏感字可能会触发输入法的相关阈值)。手机也是一样。
  • 尽量使用国外的VPN或翻墙软件,防止自己的IP泄露
  • 对于访问的网站请确保是https开头的。

当然,以上的要点对于普通人翻翻墙看看敏感网站就足够了。如果你是非常敏感人物,比如编程随想那种影响力巨大的,请谷歌“双虚拟机tor代理”。


好了,下面就来说说国产软件的种种行为吧。


危险的国产软件种类包括:

  • 即时通信软件如QQ,微信;
  • 输入法;
  • 杀毒软件;
  • 浏览器等。

但凡【国产的】、带有【网络功能的】应用程序,只要用的人多了,都可能被有关部门盯上要求增加监听功能。


QQ和微信自然不用说了,大量的群因为敏感字而被封。聊天内容是直接被监控的。关于QQ如何监控的,可以参见这篇文章。另外,阿里旺旺,支付宝,微博等都算在内。

如果你使用的敏感词会太多了,则可能被有关部门盯上,这时候他们会去这些公司的数据库调取你的通信记录。

同时,QQ还会扫描的硬盘寻找某些文件,具体看这篇文章。杀毒软件和浏览器这种安装在你的电脑上的软件都可能从事这种行为。

在通过windows7自带的资源监视器中,对QQ进行的一些监视之后,实在让我大为吃惊。它疯狂“触碰”着我电脑里的很多文件。每一次一登录,用资源管理器”监视“着它的一举一动时,发现。 hotmail客户端、MSN、杀软、skype、firefox浏览器、私人文件夹、支付宝数字证书,它几乎触碰过我电脑里的所有文件。


还有就是输入法软件,输入法软件非常了解你经常输入哪些词组,而且把你经常输入的词组保存到你的个性化词库,然后再把词库同步到服务器上。如果你用的输入法是国产软件,那么,党国一样可以逼迫输入法的软件厂商把每一个用户的个性化词库公开给有关部门。然后有关部门就可以通过你的个性化词库,知道你平时经常输入哪些东东。


我个人推荐Chrome浏览器+卡巴斯基杀毒+谷歌拼音输入法。

阅读更多
收起
14月前 ▫ 14月前修改过
43 35 条评论 操作
gledos | This story ha...
18人赞同

我记得早期的腾讯QQ还需要比较大的案子才会从公安申请聊天记录

2015年10月的"海天盛筵事件"中,腾讯的QQ和微信就都可以被民警随便查了


10月8日,CCTV12社会与法频道《一线:一念之祸》播出的警方破获网络卖淫案件,涉及到“海天盛筵”外围女孙静雅。据悉,孙静雅在南京被山东警方抓获,涉嫌卖淫及组织卖淫。孙静雅被曝2013年陪人睡三天赚了60万。咳咳咳……重点是枣庄市公安局网安支队的民警在日常网上巡查时,发现了一个奇怪的聊天内容。

节目里没有给出具体软件的样貌,仅仅是给了段聊天的截图

1 2 3 4 5

说明了什么吗?我觉得和朝阳区一样的不靠谱,可能根本就没有什么所谓的民警随便上网巡查

新闻来源


广义上的国产软件那就是手机通讯服务了,美国可以监听语音,中国不知道能不能做到,但是短信是监听了的

阅读更多
收起
14月前
18 6 条评论 操作
思惑 |
17人赞同

慢慢吸收,不要操之过急匆匆读完!不但正文要看,评论也很重要。

发现很多人只看正文,不看评论,导致重复问答。

对付棱镜、匿名上网捍卫隐私。

  • 尽量不用要对付国家所在的软件与服务。

比如,情况:

1、你是美国公民在美国居住,要对抗政府监控(NSA)就应该避开所在国提供的硬件与软件服务;

2、你是中国公民但人在美国,要反的是中国,就不要用中国的硬件、软件服务。

3、两个都要反监控,就尽量避开用它们,改选其他国家硬件与服务。

  • 优先考虑较著名的开源软件与服务。

发表一下个人对稜鏡計劃的看法。

感谢支持愛德華·斯諾登,监听监控可以,但首先得告知公民,让本国公民有知情权,让那些注重个人隐私者,能与政府竞争对抗,对抗的同时双方的能力思维也相互得以提升。

偷偷干这跟盗贼有何区别?这种行为不但是侵犯隐私权还很不公平的举动。

那些知道参与此计划的官员、决策管理者完全有可能把之获知的情报/分析得到的国人日常习惯与爱好,偷偷卖给商业公司等换取利益。

愛德華·斯諾登把它曝光于全球,不但捍卫了公民个人知情权、隐私权也告诉了人们:“每个国家都有可能有监控监听公民的项目。”


                              若只需安全上外网(前置代理+Tor足以)

一般只要确保用于上外网的系统里没有装任何国产软件(这里的国产软件包括系统与软件);手机用原生也是不要装任何国产软件。很多国产软件带有干扰连接翻墙软件,配合党国充当了GFW。

其实一层代理基本安全,但担心代理是蜜罐节点,保留日志或访问的网站不安全遭出卖所以戴Tor只是为了强化安全与隐私性。

Tor本身也是翻墙软件,当大部分前置代理都连接不上时可以试试Tor的meek模式。

手机最好两台,一台专门应对国内日常操作(如,国产软件:微信、支付等);一台专门用于翻墙与世界畅所欲言。


匿名上网之我见

  • 若要完全匿名就专机专用

专门配置组装一台设备,专用配合Tor、I2P作为匿名引路于匿名上网(尽可能只用于操作登录一个匿名身份)。

创建身份时也是专机里头创立的,平时日常操作(如,支付交易等涉及可能关联到真实个人信息资料的操作)不要再专机里干,用另外设备。

尽可能一台设备只管理登录一个身份帐号,且不要在已登录的时候随便点开不熟悉的网站链接。登退清理完cookie等缓存信息后再点击打开查阅。

【专机专用的好处优点】即使硬件设计有漏洞后门也不用怕身份泄露。

  • 相对匿名

虚拟机+前置代理+Tor。


(如:品葱、twitter等)需做好身份隔离性,尽量不要让任何人知道你的墙外身份;如果认识你的人知道(互加)了/被关联身份,那么此帐号不可做太敏感的事情(如,开发对党不利的软件等)。

以下搬运安利编程随想的三个系列文章 ,供参考

如何保护隐私(系列)@ 编程随想的博客

如何隐藏你的踪迹,避免跨省追捕(系列)@ 编程随想的博客

如何防止黑客入侵(系列)@ 编程随想的博客


补充一下个人建议。

  • 只用外国服务/软件(如,邮箱、手机号)绑定墙外的产品。
  • 尽量一个邮箱/sms(即手机号码)只用一次只绑定关联一个地方,别一绑多。
  • 交流中保持平常心和情绪稳定,不要谈及可能与身份发生关联的话。
  • 手机不要用国产上外网,用外国版手机(如,美版、港版等),如果要向外国版手机插入Sim卡,最好也是外国的或是港sim。
  • 海外sim卡别插入到国产手机上;同样国产Sim卡別插到海外手机上,这很可能会导致身份关联。国外手机能不插就不插,只要有信号照样能上网联络。少给周围基站留信息,引起注意。
  • 用于上外网的设备(包括,电脑、手机等)最好装Linux,现在Linux很多发行版都配有像Windows那样的图形化操作界面,只要简单记住几个常用命令即可(如,升级更新系统、安装卸载软件)其余的随时间慢慢学习过渡;

         windows的用英文原装正版系统,不激活照样可用,非原版的不安全,

         我告诉你的Windows镜像好像是非原版,大家要养成去官网下载的习惯。

     ( Windows原版系统官方下载地址microsoft生命周期策略查询地址)手机用原 

        生ROM/ Replicant。

       不要安装任何国产软件、插件、拓件等,卸载掉不用的软件;曾经安装过国产软件

       的电脑/手机,卸载了也不安全,很多在硬盘/SD卡

     /手机中仍会残留数据,所以用于上外网的设备 务必完全格式化磁盘/sd再重装

     系统,没完全格式化磁盘,很可能就是重装了也无济于事。

    至于该如何选软件与服务,可以参考prism-break

  • 上传文件数据(如,照片、截图等)到网络前,请先清除隐含在里面的元数据(里面包含有很多可致命的数据,如IP地址、设备标识码等)。

         发现很多人发的照片/截图元数据都没清理,就上传发布出去了。至于怎么清理

        请自行Google。

  • 支付交易

但凡涉及到支付,都有可能被追终到原始账号,比特币也不是完全匿名化的,只要想查还是有可能追查到原始账号。

比特币是匿名的吗?

和其他任何货币一样,比特币的设计允许其用户在一个可接受的隐私程度支付和接收付款。但是比特币不是匿名的,所以无法提供和现金一样的隐私程度。使用比特币会留下许多公共记录。有多种机制可以用来保护用户的隐私,还有更多正在开发中。然而,在大部分比特币用户正确使用这些功能前还有功夫要投入。

一些人担忧比特币的私下交易可被用于非法目的。值得一提的是,比特币无疑将受制于已经在现有的金融体系内发挥作用的类似规定。比特币不会比现金更具有匿名性,而且也不太可能防碍犯罪调查的进行。此外,比特币的设计也是为了防止大范围的金融犯罪。

@ 比特币常见问题

即使你使用了 Tor 隐藏服务,比特币交易记录仍然能暴露你的身份。卡塔尔大学和 Hamad Bin Khalifa 大学的研究人员在预印本网站发表了一篇论文(PDF),称在超过 100 个案例里,他们能将一个人在暗网网站的比特币支付与其公开账号联系起来;在超过 20 个案例里,他们能很容易将一个人的公开账号与丝绸之路的特定交易联系起来,发现买家的特定名字和位置。研究人员称,比特币的追溯操作安全是非常低的。当事情记录在区块链里,你能追溯历史,透露信息,去匿名用户。研究人员从 88 个来自 Tor 隐藏服务的比特币地址着手,搜索了 50 亿 Twitter 帖子和 100 万页的 Bitcoin Talk 论坛帖子,将 125 个唯一用户与 20 个 Tor 隐藏服务联系起来。

比特币交易能去匿名你的身份@ solidot

比特币发明者意愿,也不希望它成为洗钱、腐败、犯罪的帮凶,也许它的出现更多是想让世界更公平、美好,促进世界进步。

让更多人意识到“只要好学、有技术,不论贫贱、国界到哪都不愁没钱花”。

很多人都有购买VPS、VPN的行为,尽量不要用国产服务(如,支付宝、银行卡)购买,如果条件允许请用外国从未关联过国内服务的账号购买。

也尽量不要选购已备案的国外/国产的VPS/VPN,国产背景的VPS不适合用于发表敏感言论,只用于工作、浏览尚且无大碍。

如果用的是免费的公共代理/备案代理/国产代理,纯浏览不发表敏感言语,无足大碍,反之建议最好还是戴上Tor比较保险。 连上的IP如速度足够快,一般tor看1080p Youtube都可愉悦观赏。

TO 十九大走秀大会

关于“蜜罐节点导致流量被注入”

要分几种情况来看:

1、如果访问的网站是【明文】的 HTTP

有可能被注入

2、如果访问的网站是【加密】的 HTTPS

2.1 如果证书没问题,协议实现无漏洞

这种情况下应该【不会】被注入

2.2 如果证书有问题或者协议实现漏洞

有可能遭遇中间人攻击,导致被注入

综上所述,

俺一直以来都在唠叨:采用基于 TOR 的多重代理。

这种配置方式,即使 TOR 的前置代理是蜜罐,因为 TOR 本身是强加密,蜜罐服务器也无法解密 TOR 流量,也就无法对你的原始流量进行注入。

2017年10月翻墙快报(兼谈用 I2P 突破封锁)@ 编程随想#42-1


用Apple Company产品,如初始注册过中国区帐号,可能刷机了,以前的帐号信息还会保留在硬件上【不确定是不是如此,仅猜测】 Apple store最好用海外地区,据说在中国区Apple store的翻墙软件都经过备案,在六扇门爪牙处,只要想查一句话的事。而且apple前不久被报道为了保住中国市场,向朝廷低头,考虑在中国建立数据中心。 所以用于上外网的设备最好还是买外国的好。


再安利一下几篇, 已被和谐:

[科普]整理下公安部门高科技查人+取证的方法~以及防御方法~(手机篇)@ KimJongun

[科普]整理下公安部门高科技查水表取证的方法(电脑篇,第一章)@ KimJongun

[科普]整理下公安部门高科技查水表取证的方法(电脑篇,第二章)@ KimJongun

[科普]整理下公安部门高科技查水表取证的方法(电脑篇,第三章)@ KimJongun

小蓝博客@ Xiaolan's Blog

小蓝以前的网站,现已停。里面包含《[转]中国版棱镜?互联网虚拟身份分析系统、推荐个P2P微博软件——Twister、见证五毛党的工作、公安正在使用的取证软件——取证精灵、ZeroNet系列——通过Tor使ZeroNet匿名》等内容

关于翻墙和匿名与网络安全类科普文大集合@ Phantom Knight

阅读更多
收起
9月前 ▫ 7月前修改过
17 6 条评论 操作
weed3000 |
11人赞同

腾讯系的2大流氓,qq和微信是绝对不能信任的;你的一言一行都是记录在案的,在里面聊天,简直就在后清国的六扇门面前裸奔,对他们来看全都是透明的,一定不要在里面谈论敏感的东西;不然说不准那天文字狱的棒子就落下来了;

其他的流氓国产软件也不少;有的乱植病毒木马乱改主页扫描硬盘的,也要适当提防;当然好的国产软件也有不少;良莠不齐;

安全一点的就找国外的常用软件了;linux是个不错方案,但是不大适合普通人折腾;

最安全的就是肉身翻墙了,脱离这片神奇的土地,发表啥言论都不用担心,哈哈哈;

阅读更多
收起
10月前 ▫ 10月前修改过
11 5 条评论 操作
Bai。团子 | 怎么会有这样的团子?!~
10人赞同

说大话很简单啊,我也能随口说国产软件balabala。。

但是,实践出真知,经过老老实实的记录和验证,才能得出正确的结论。以下是我对疼讯QQ所做的测试,在这里我首先介绍我用的软件 “Process Monitor”, 这个微软开发的免费工具,用于检测电脑里所有文件系统的活动和注册表操作。 然后介绍下我的测试环境

硬件: XXxxxxxxxxxxx                                             系统: Windows 10 home

安全相关: 360安全卫士, Windows Defender     QQ版本: QQ 9.0.1

检测软件: Process Monitor                                     测试时常: 41 分钟

测试方式:从运行到结束qq 所读取(ReadFile)的相关目录

标记方式:

红色 用于保护可能泄露我自己的私人信息,
绿色 代表安全和低风险,
灰色 代表未知和可能存在风险

不重要目录只列举一到三个例子,重要目录我尽可能的列出

1. 检测到 QQ 读取 360 文件内容 (微小风险,应该是QQ和360之间的交互)
D:\360\360safe\safemon\wdtHelper.dll
D:\360\360safe\safemon\wd.ini
D:\360\360safe\safemon\DotHelper.dll 。。。。。。。。。。。。。。。。。。。。。。。。。。。。
2. 检测到 QQ 读取 QQ 文件内容 (无风险)
D:\QQ\Bin\MyCollection.dll
D:\QQ\Plugin\Com.Tencent.Advertisement\Bin\Advertisement.dll
D:\QQ\Bin\QInterLive.dll
。。。。。。。。。。。。。。。。。。。。。。。。。。。。 

3. 测试到 QQ 读取 QQ 的临时数据  (无风险)

C:\Users\Username\AppData\Roaming\Tencent\QQ\urdo.cache C:\Users\Username\Documents\TencentFiles\AllUsers\QQ\Registry2.0.db C:\Users\Username\AppData\Local\Temp\%2Fg_5ade7826_d3ba0029.tmp 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
4. 检测到 QQ 读取 Nvidia 的文件内容 (微小风险,应该是和显卡的交互)
C:\ProgramData\NVIDIACorporation\Drs\nvAppTimestamps 。。。。。。。。。。。。。。。。。。。。。。。。。。。。

5. 检测到 QQ 读取 C:\Windows 的文件内容 (微小风险,观察基本为驱动程序,字体和windows组件)

C:\Windows\SysWOW64\stdole2.tlb
C:\Windows\System32\drivers\etc\hosts
C:\Windows\SysWOW64\MMDevAPI.dll 。。。。。。。。。。。。。。。。。。。。。。。。。。。。

在排除以上内容之后,剩下的检测记录如图


结论

单纯就QQ而言,泄露数据和文件风险并不高,虽然这次的实验时间并不长,但是QQ整体还是运行在正常范围之内,并没有碰触类似浏览器记录和私人文档的行为。所以我认为,QQ的风险可能只存在于腾讯的服务器。对于其他被怀疑可能有偷取文件和数据的国产软件,本人强烈推荐使用 “Process Monitor” 进行测试。

ps: 本次测试不包括对网络数据的抓包和分析,只能测试QQ在计算机之内的运行和读取情况

ps: 欢迎反驳的我观点。。嗯。。。起码用“思考过”的观点。。。还有“略微准确”的文字。。。

ps: 我是 “Bai。团子”,爱吃团子的团子。。。

ps: 求赞求赞求赞求赞求赞~~~

阅读更多
收起
5月前 ▫ 5月前修改过
10 11 条评论 操作
Alex Wu | 已发起品葱多元化运动,未来...
9人赞同

存在是必须的,你以为老大哥会这么坐在那里心安理得的对舆论情况不管不顾吗?想反,老大哥是非常主动的搜集监听和获取。包括直接向运营商要求必须按规定搜集并报告,这些和国安部门都是有合作的。就光报道xx用VPN被查获,xx在qq群骂两句习近平被拘留什么的,就足以说明他们是掌握信息的。

何况,老大哥还有专门的部门监控呢,虽然原始了点。


更新 下图已经被证明是微信刷单了,老大哥的监控不会这么原始


阅读更多
收起
14月前
9 8 条评论 操作
抓根宝 |
6人赞同

这个问题的重点不在于国产软件到底有没有私下里收集你得隐私,而在于就算它收集了,你也不能拿他怎么办。换句话说这根本不是个技术问题,而是个法律问题。

信息的收集 信息的保管 隐私信息的查阅 信息泄露的追责,这些都是现在法律覆盖不到的地方。这些地方你就不能指望它有多干净。

阅读更多
收起
11月前
6 1 条评论 操作
Raketenfaust |
3人赞同

有,昨天刚刚实测了一把。


在微信上给朋友发小熊维尼穿龙袍那张cos图,无论如何都收不到。发其他图一切正常,后来把维尼图上下颠倒了一下,也能收到。

为了验证,又找其他朋友试了一次,亦如是。


可见从微信发送的图片是收到监控的,那么文字信息更是不在话下。我考虑换个即时通讯软件聊敏感话题了。

阅读更多
收起
20天前 ▫ 20天前修改过
3 3 条评论 操作
aRNoLD |
1人赞同

输入法的话,搜狗、QQ、百度是用户量相当大的,用来输入等于直接向官方做“思想汇报”。QQ输入法以前是常用的,因为上屏比较快嘛。后来WIN10的原因,换成搜狗输入法,也比较流畅顺手,可我知道这些输入法就算不存在被监控的问题,也还是有泄露和探测用户数据的问题。后来试过一些,找到一款叫小狼毫的输入法,安装全部用默认就可以,如果想定制一下,那就比较麻烦,但这是开源输入法平台(注意它是个平台,可挂接相当多的甚至是自定义的输入法,也就是说你可自造输入法专供自己一个人用),至少在安全性上是值得信赖的。另外的好处是它上屏相当的快,并且有苹果、安卓、Linux平台不同的版本,都在积极的开发。

阅读更多
收起
16天前 ▫ 16天前修改过
1 1 条评论 操作