test君还是比较看好 MIUI EU版的,因为 lineageos 等发行版官方支持的机型很有限,MIUI EU版能够支持不少数量的小米机型。作为半官方性质的(非小米官方发布而且基本上是民间开发,但是欧洲经销商会预装的 ROM),底线总是比 MIUI China原版要高不少。当然,内置腾讯天御安全组件并向一个广东的 ip 发送隐私信息还是颇为令人失望的。不过test君觉得欧洲版的开发者应该会修复这个问题。
短期来看,可能要使用一些常规的 Android 上的隔离机制,但是test君不太熟悉 Android,可能还需要搬运更多的教程
https://web.pkuhollow.com/##106483
有消息说MIUI13 EU版(官改欧洲版)同样内置了国家反诈中心组件,并且会向小米服务器传输应用列表。来自酷安的发帖说,已证实的内容包括:会扫描应用列表并上报,与手机管家病毒扫描有关,采用与反诈中心App一致的腾讯安全组件。
https://www.coolapk1s.com/feed/42719865
(2-03 17:56:30 7关注 5回复)
[Alice] 这个系统好像是民间论坛从国内版系统改的, 不知道小米的官方国际版有没有内置
[Bob] Re Alice: EU版是基于国际版改的吧,EU版都有说明国际版也有
[Alice] Re Bob: 不是, eu版是基于国内系统改的, 和国内系统版本号和更新时间都一样. 不过就这个酷安的帖子来看, 也并没有拿出内置反炸的实锤证据
[Bob] Re Alice: 确实,讲的是包名com.miui.guardprovider(MIUI安全组件)的问题,和反诈还不是一个包,说的是内置腾讯天御安全组件的问题。顺便翻了一下DCIM文件夹,果然没逃过.tmfs和turing.dat
[Bob] 欧洲版的开发者似乎已经发现了酷安的帖子:https://www.xiaomi.eu/community/threads/will-miui-guardprovider-upload-personal-information-without-permission.68126/ , 下面有一个 Xiaomi.eu ROM leader 说 "we will check this issue.."
EU版的ROM,不管是基于China版的ROM(多数机型)还是Global版(少部分机型)都有这个MIUI安全组件
上面这个酷安的链接要登陆,贴一个webarchive的存档
https://web.archive.org/web/20230203110309/https://www.coolapk.com/feed/42719865?shareKey=MjkxMWRkZWE1NDU4NjNjZjgyNjM~
已证实的内容:
会扫描应用列表并上报,与手机管家病毒扫描有关,采用与某中心app一致的腾讯安全组件
作为普通搞机用户能做什么?
1.使用安装狮 r安装组件替代MIUI安装器
2.冻结MIUI安全组件(不是安卓包管理器 这个冻了卡第一屏
3.不要点击手机管家病毒扫描!!
4.关闭qq的读取应用列表权限或者用hide my app list对qq开启白名单 仅获取系统应用
https://web.pkuhollow.com/##101346
很抱歉,今天身体状况欠佳,在#101288拖了半天才勉强更完。
上一个洞,主要描述了各类操作系统级的加密以及用开源软件实现加密(注:商品宣传中常见有“硬件加密”,但它有没有后门一般更难以验证);以及一些可用的防火墙——它们都比较易于使用(需要细说吗?),移动端的网络权限控制甚至直接在系统设置中即可完成。
总而言之,保护您的重要文件,有助于减少直接数据取证等可能造成的危害。
(以下是大杂烩内容)
加密DNS在许多桌面浏览器都是可选的设置(见早些时候的本系列树洞),请您自行选择合适的服务提供商,专门的软件或系统级加密DNS配置等等暂且不再叙述。另外,Tor Browser的DNS查询被Tor直接代理。
DuckDuckGo是一个不错的部分开源(核心是专有的)搜索引擎,也有洋葱站点。他们宣称:“我们的隐私协议很简单:不收集、不传播你的任何个人信息。”
如前所述,保护隐私的即时聊天、翻译服务等在https://www.privacytools.io都有陈列。是否开源、支持的操作系统情况以及广告情况等都会有所标注,可以作为选择时的参考。
如果PC支持BitLocker,和其他几家的系统级加密不同,它的密钥一般并非由用户密码派生,且由TPM管理;因此,您计算机的TPM器件至少不应在中国公司生产。
现代的智能设备拥有安全启动链,正确配置它有助于防止内核后门被恶意植入。Apple设备默认情况下具有安全启动。没有恶意的Android设备在安全启动链出现问题时,将在开机第一时间诚实地显示风险警告(如亲自解锁了bootloader,则可忽略)。Windows用户在
Windows安全中心->设备安全性
查看,如未启用,请在计算机的BIOS中按照设备厂商的文档指导开启。
Linux用户在Terminal中输入
mokutil --sb-state
得到结果,热门的Linux发行版一般支持安全启动。
如有意见和建议,欢迎尽快提出。写作不易,洞主已有弃坑想法,拟于近期停止批量更新。
本系列文章为洞主写作,在保留来源的前提下允许复制转载。
[洞主] 祝愿一个每个人的手机不再是电屏、计算机真正为多数人服务和学习的未来!
https://web.pkuhollow.com/##101288
#101217
假设操作得当,理想情况下您得到了生产企业可信任、操作系统纯净可信、安装的所有软件声誉良好的终端设备。当然,只要不使用具有窃听嫌疑的硬件,修整或重装得到较纯净的操作系统,不要安装声名狼藉或可疑的软件(国产软件坚持动态清零,目前法律条件下形势不容乐观)且计算机使用习惯良好,这可以算勉强过关了。
您的设备安装了合适的浏览器、输入法,且能发送加密邮件,不会主动向恶意机构(理想情况下是一切机构)传送隐私信息;即使通向境外网络的所有链路被切断,您仍然能通过电子邮件客户端加密联系您的伙伴(境外网络完全阻断之时,您可以在客户端配置连接国内邮件服务器——反正已经到极端情况了就妥协一点吧——然后照样发送加密邮件。当然别发太多,监视者可能会怀疑您的行为不正当)。当前,您仍没有足够能力抵御国家级别的黑客攻击,所以您最好不要在虚拟世界和现实世界中同时做出极其出格的事情。
不过,现在这些还不够。在保护虚拟世界的隐私方面,还有许多事情要做。洞主决定接下来的更新尽可能以实用为主。(部分基础知识有一定必要性,如难以理解可忽视,仅按照可参考的文档指引操作)如您想快速建设,参考这个网站,您可以快速获知保护隐私的即时聊天、翻译服务和加密货币钱包等。
保护您的重要文件
VeraCrypt
这是一个自由、开源且安全的磁盘加密工具,用于加密您的本地文件,在Windows, macOS, Linux与BSD均可使用。(一般来说,数据保存在本地最安全,但如果您假设您的住处会受到搜查,将重要文件保存在可信的云存储并在被搜查时装疯卖傻也不糟糕,搜查者将无法取得证据)
VeraCrypt有一个图文并茂的新手指引。
请注意,第六步您选择或创建的文件不是被加密了,而是本身化作了一个加密卷,里面存放加密信息。不要在那里选用需要加密的文件!
第八步,您可为安全选用套娃的加密算法,当然它可能慢些。
第十步,如您需使用密钥文件,可以勾选并点击Keyfiles,可以选择现有的文件或者随机生成一个。Keyfile帮助加强您的加密,平时别弄丢了,危急时请及时彻底销毁。
第十一步,您的鼠标移动为加密过程引入真随机数,这很重要。
第十八步没有必要,保持Autodetection即可。如您使用密钥文件,在这里Use Keyfiles.
新手指引帮助您建立了一个文件型加密卷,您可以把它拷贝到任何地方,在任何安全的计算机上使用它。如果您需要的话,可以加密整个磁盘分区甚至加密整个操作系统,也可以在创建标准加密卷后创建隐藏加密卷(或者操作系统与隐藏操作系统)。您输入标准密码进入标准加密卷、输入隐藏密码进入隐藏加密卷,如您被迫交出标准加密卷供搜查,隐藏加密卷也不会暴露。要做这些操作,请确认您详细学习了官方网站的操作指引,在知道自己在干什么的情况下操作。
Cryptomator
Cryptomator帮助您快速和简单地加密数据,以便您安全上传至云存储。它是开源的,在Windows, macOS, Linux, Android与iOS均可使用。它的使用方法更易于理解,也有一个图文并茂的新手指引。当然,它为方便用户使用而设计,没有VeraCrypt那么多样的加密算法与使用方式。
Windows与BitLocker
Windows 11 or 10专业版及以上具有方便使用的BitLocker加密功能,部分品牌的家庭版PC也会出厂便使用BitLocker进行全盘加密。Microsoft邪恶地不允许通常的家庭版Windows使用BitLocker。
以管理员权限运行命令提示符(如未曾使用过,在屏幕边角的Windows右键菜单可使用)
manage-bde -status
您将得到您的BitLocker启动情况。
如果您的PC具有BitLocker加密功能,您的密钥可能备份在您的Microsoft账户或者手动备份在某个可移动存储中。如您初次设置,为隐私目的可备份在自己的可移动存储(并保管好)或者备份在不绑定国内手机号、电子邮箱的Microsoft账户。
关于BitLocker,Microsoft官方有更多文档可供学习参考,但是它们过于冗长。
macOS and iOS系列的数据保护
Apple声称,较新的Apple设备(芯片代数参见)对信息、通讯录、照片及所有第三方App等自动使用数据保护;数据保护类为A、B、C的数据受到加强保护,用户密码使用设备的UID加强,被转换为密钥并保护它们;D类数据仅受设备的UID保护。
UID:一个 256 位的 AES 密钥,在设备制造过程中刻录在每个处理器上,Apple声称这种密钥无法由固件或软件读取,但用户无法验证Apple是否保存或是因法律原因移交过它们。
您需要做的:为Apple设备设置一个强密码(例如,A11及以前的Apple芯片存在一个CheckM8漏洞,这可能使得攻击者猜测密码不受次数限制,六位数字不足以抵抗攻击)。
不使用Touch ID或Face ID是最好的,但日常使用会比较繁琐;如您选择启用,当可能受到搜查时,长按电源与音量“+”键,当“滑动来关机”等选项显示,您的生物识别已不可用,C类密钥可能会从内存被丢弃。
无法排除中国版Apple设备的UID被执法机构依据“相关法律法规”要求在生产时记录并移交的可能,以及设备的BootROM是否存在类似CheckM8的其他漏洞。您不应随意连接陌生设备、移动电源等,当有被恶意连接攻击的可能时,不要解锁并立刻关机,尽快连接iTunes,按照Apple支持的指示刷机与销毁敏感数据。因为如有BootROM漏洞,您的系统固件可能在连接恶意设备时被偷梁换柱,若您未察觉并在此之后输入了密码,数据保护相当于失效。
Android的文件级加密
Android 10或更高版本放弃了对全盘加密的支持,转而使用基于文件的加密,声称文件级加密允许“已加密设备在启动后直接进入锁定屏幕,从而可让用户快速使用重要的设备功能,例如无障碍服务和闹钟”。
加密强度大抵是降低了的。姑且认为文件级加密安全性还算足够罢,那么您需要做的,与在macOS and iOS中需要做的差不多。尤其是当您解锁了bootloader以安装第三方开源操作系统后,更需要注意被恶意设备连接攻击的可能性。
Linux的全盘加密
最简单的情况:热门的Linux发行版安装过程中都允许您选择全盘加密,这通常情况下需要您输入一个对应对称加密密钥的密码,此后您每次开机时都需要先输入它,您的文件才被解密、系统的其他部分才会开始加载启动。
您也可手动完成dm-crypt等,以及达成其他高级要求。
7-Zip
打一个小补丁,7-Zip可以用于压缩包的加密。它是一个支持Windows, macOS (console), Linux(变体支持Linux)甚至Windows Mobile / Windows CE的强大开源压缩软件。
以管理员权限启动7-Zip,在7-Zip的
工具->选项->7-Zip
中启用右键菜单并应用。在需要加密的文件或文件夹
右键->7-Zip->添加到……
在弹出的窗口左上部分选择压缩文件类型,右下角选择加密算法和输入密码。不要使用ZipCrypto算法,它在具有部分明文的条件下可被轻易破解。
[Alice] 突然想起一个问题,我有可能通过白名单的方式只允许我信任的软件使用网络吗?
[Bob] Re Alice: 这不就是防火墙吗?
[Alice] Re Bob: 所以可以防住搜狗输入法吗
[洞主] Re Alice: 是的,许多操作系统有内置的网络控制功能或允许安装第三方防火墙软件。
Android及其开源衍生版本一般允许对每个app的网络连接进行详细设置,例如数据流量、Wi-Fi和后台联网许可;另外,也有开源软件NetGuard可以尝试。
似乎境外版苹果手机的iOS只能控制app的蜂窝网络连接,中国大陆版则貌似可以控制无线局域网与蜂窝网络,后者是由中国大陆法律要求的(这是一个正特性)。
Windows Defender Firewall支持设置各软件的入站、出站规则,但在某些情况下,一些软件可能会存在绕过。针对Windows的开源防火墙软件似乎良莠不齐,有网民推荐Fort Firewall。
macOS有一个自由、开源的防火墙LuLu可拒绝传出连接。
以上这些不一定支持批量操作,可能需要逐个手动设置以达到白名单效果。
在Linux中,即使是新手也可使用gufw的图形界面轻松配置防火墙白名单,只需先拒绝一切传入、传出连接,再亲自设定特例即可。
[洞主] test
[洞主] 哇哦……辛辛苦苦写的回复终于发出来了,还以为又发丢了呢
[洞主] Re Alice: 在Windows中,搜狗输入法貌似不能简单地通过防火墙拦截,参考搜狗输入法疑似通过注入其它程序来突破联网限制;其他操作系统的情况,洞主尚不知晓,但建议不要继续使用。
对第三方防火墙软件的补充:虽然开源软件给人留下安全的印象,但小众的、难以被许多人审计代码的开源项目,可能不一定比外国声誉良好公司的闭源软件安全。闭源软件:在Windows,Comodo有一个免费个人防火墙产品,NOD32安全软件也有不错的防火墙功能。如果觉得Windows Defender Firewall或开源防火墙软件带来的安全感不够,可以试用一下。
https://web.pkuhollow.com/##101217
#101122
往期备注:
[洞主] 今日普法
今天(15 Dec.),国家互联网信息办公室制定的《互联网跟帖评论服务管理规定》正式实施。
《规定》第二条明确评论、回复、留言、弹幕、点赞等方式属于跟帖评论服务;第四条明确所有跟帖评论服务提供商严格落实“后台实名、前台自愿”,及时发现处置违法和不良信息并向网信部门报告,对新闻信息类跟帖评论服务建立先审后发制度;第七条明确跟帖评论服务提供者对发布违法和不良信息内容的跟帖评论服务使用者最高禁止重新注册等处置措施,并保存相关记录,同时未尽到管理义务导致跟帖评论环节出现违法和不良信息内容的公众账号生产运营者类似处置;第八条明确对用户的跟帖评论行为开展信用评估,严重失信的用户应列入黑名单。
[洞主] 工业和信息化部、国家互联网信息办公室联合印发的《关于进一步规范移动智能终端应用软件预置行为的通告》将自2023年1月1日起执行。《通告》第五条明确,生产企业应完善移动智能终端权限管理机制,提升操作系统安全性,采取技术和管理措施预防在产品流通环节发生置换操作系统和安装应用软件的行为。
在产品流通环节防止置换操作系统有助于防止恶意经销商刷机,提高安全性,但洞主尚不清楚这是否会进一步限制终端用户刷机更换操作系统的能力。目前仍然建议最好使用外国企业在外国售卖的智能终端。
[Alice] 吓人 内地手机都成特供的了
[洞主] Re Alice: 是的,许多中国大陆的电子设备都是特供的。例如,一些手机、电脑会内置专用加密模块,但《中华人民共和国密码法》第四条规定“坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导”,《中华人民共和国网络安全法》对商用密码产品检测认证也有规定,导致一些电子设备可能是中国大陆特供的。一段时间内,中国大陆销售的计算机中TPM(可信平台模块)芯片曾必须由指定的中国公司制造。
[Bob] Re Alice: 一直都是啊
https://web.pkuhollow.com/##101122
#100506
加密电子邮件通讯
今日世界,e2ee(End to End Encryption, 端到端加密)技术在许多即时聊天与电子邮件服务中得到应用;然而,这不是许多通讯服务的默认选项,尤其是中国公司的通讯服务因法律原因不会支持它。
基础知识——什么是电子邮件的e2ee?
具体内容,您可参考Thunderbird 中的端到端加密介绍或更专业的密码学资料。
简单来说, e2ee的公钥加密需要发件人和收件人做好准备。您生出两个很大的随机数字,一个是私钥,另一个是公钥。利用数学方法,用公钥可对明文信息进行加密,密文只能由私钥解密,在攻击者的现有硬件条件下难以解密。
当您将公钥给予他人,他人可使用公钥加密信息发送给您,您使用自己的私钥解密密文;您给他人发送信息时则使用他人的公钥加密信息,收件人使用其私钥解密密文。
注意,不要分享您的私钥,这会使得机密性不再;也尽量不要丢失私钥,不然秘密将无法重见天日。
然而,中间人攻击(MITM)情况下,可能有掌握网络基础设施的中间人C向A传送C自己的公钥,谎称这是B的公钥;A用C的公钥加密信息,传送的信息被C截获和解密;C转手用真正的B的公钥加密,C加密后的信息被传送给B。这时A、B之间的信息被截获了,还有可能被篡改,而他们可能没有意识到!为了保证e2ee的安全,A应该仔细检查是否收到了B的正确公钥(反过来对B也是如此)。例如,合适的电子邮件客户端会为公钥展示一个校验和(指纹),由数字和字母组成,A、B通过安全的通信方式(例如约会)验证了对方的公钥指纹;如果C尝试攻击,A、B将发现公钥指纹的猫腻(Thunderbird等软件也有自动检查功能)。
e2ee的技术也用于对信息进行数字签名。如B向A发送电子邮件,B可以使用B的私钥创建数字签名。A使用B的公钥确认只有B能创建这个签名,因为只有B拥有匹配的私钥(这里涉及公钥与私钥的对称性,不必深究)。如果A已经验证B公钥的指纹(Thunderbird等软件也有自动检查功能),就可以知道这个信息确实是B发送的。
使用e2ee时请注意,您的收件人应该可靠,ta不应随意转发您的消息(即使是转发给可信的人,他们也应该正确设置e2ee),最好也能确保ta自己的电子设备是安全的(如果电子设备不安全,e2ee毫无效果)。另外,电子邮件元数据(发件人和收件人的姓名和地址,信息发送的时间,发送或接收电子邮件的计算机或者邮件的主题)一般不受e2ee保护,在这里不要放置敏感信息。
本系列文章为洞主写作,在保留来源的前提下允许复制转载。本文也参考了Thunderbird 中的端到端加密介绍。本节部分知识难度较高,欢迎踊跃讨论,更正错误,查漏补缺。
[洞主]
加密”,您的邮件及其主题会默认被加密,并赋予数字签名。在窗口顶部的“安全性”中可更改它们。Thunderbird提示需解决密钥问题,点击“解决”,在网上寻找公钥(并有空向收件人确认公钥指纹),或者导入ta曾经给您的公钥文件。加密”,Thunderbird提示需解决密钥问题,点击“解决”,在网上寻找公钥并和npy当面(或者其他安全通信方式)校验npy的公钥指纹,或者导入npy拷贝给您的公钥文件。您的npy也这么做一次,寻找公钥并与您校验您的公钥指纹,或者导入您给npy拷贝的公钥文件。https://web.pkuhollow.com/##100404
#100344
使用友好的浏览器
浏览器是网上冲浪的必由之路。如果浏览器内置了监控中心,或是阻止您访问特定的网站,您一定会觉得糟心。
洞号404,有意思
通常来说,建议在官方网站下载软件(最建议使用非CN背景的开源软件),第三方来源的软件可能会夹带私货甚至窃取信息。例如,Tor Browser在此下载:
https://www.torproject.org/download
Mozilla Firefox
Firefox(非中国版)也是FOSS(自由与开源软件),并且它作为Tor Browser的基础。
非中国版的Firefox宣传“造反有理”,为保护您的隐私而奋斗。然而,非营利组织Mozilla因法律问题无法在中国大陆建立分部,不得不建立“谋智中国”,后者生出的Firefox中国版夹带私货。
下载Firefox时,请密切关注网址应以 www.mozilla.org 开头,而不是 www.firefox.com.cn 。如有必要,请使用境外网络下载。安装后,再检查一下Firefox的帮助->关于Firefox,确保弹出的窗口中没有“谋智中国”字样。
安装终了,在设置->常规->网络设置中启用DNS over HTTPS,默认的提供商是Cloudflare;设置->隐私与安全->HTTPS-Only模式中为所有窗口启用;另外,关闭Firefox数据收集选项。
大功告成以后,也不忘确保计算机系统环境、软件与输入法的安全。
Chrome, Microsoft Edge or Safari
虽然并非整体开源,这几款浏览器也比较主流,各有千秋。
Chrome与Microsoft Edge虽然在隐私保护方面较为欠缺,但它们基于的Chromium引擎提升了它们的安全性(注意安全≠隐私)以及允许使用Chromium生态的插件(当然Firefox的插件生态,洞主相信将不会逊色)。Safari更新的幅度会落后一些,但在隐私方面强于Chrome与Microsoft Edge。
如果您是Linux用户,那么恭喜您,可以在Snap Store或Flatpak下载Chromium,它基本上就是除去闭源部分的开源Chrome。
https://web.pkuhollow.com/##100344
#100186
安装合适的中文输入法
输入法是网上冲浪时的伴侣。如果输入法将您的言论实名记录与回传,将给个人隐私带来很大困扰。
https://web.pkuhollow.com/##100186
#100141
如何重装系统
当您怀疑存在顽固的间谍软件时,可以借用朋友的计算机并生出系统安装介质。
在下载 Windows 11页面,查看“创建 Windows 11 安装”选项,按照其指导为另一台电脑创建安装介质。在中国售出的计算机一般选择和预装时相同的“家庭中文版”(目前尚不清楚其除了不能更改显示语言外是否有额外后门),但知乎上有人表示Windows家庭中文版或许可直接换成家庭版。
按照Microsoft支持所述,如果你的设备具有数字许可证,则可以在此设备上重新安装同一版本的 Windows 11,而无需输入产品密钥。您可能需要按照该站点指示检查您自己计算机上的Windows 11 是否已激活并链接到 Microsoft 帐户。
在自己的计算机上插入安装介质,查询您的计算机从U盘启动的方式,接着按安装程序指导操作。
此法一般清除所有个人文件与软件(安装过程中可能有“修复”选项,不过那样就起不到“大清洗”的效果了)。Windows 10可如法炮制。
重生为macOS or iOS
dz还真不知道苹果设备重装系统合不合适,dy有什么建议吗……
重生为Android及其衍生系统
Google Pixel的Android出厂镜像及安装指引在 https://developers.google.com/android/images
PixelExperience的出厂镜像及安装指引(选择自己的设备查看)在 https://wiki.pixelexperience.org/devices
LineageOS的出厂镜像及安装指引(选择自己的设备查看)在 https://wiki.lineageos.org/devices
GrapheneOS的安装指引在 https://grapheneos.org/install (它有一个WebUSB简易安装方式)