【完全极客养成指南】当信息不安全的时候应该更折腾还是不折腾?

【完全极客养成指南】当信息不安全的时候应该更折腾还是不折腾?

我们的身边都有「大神」,在我们的学生时期,他们能解决一切 3C 产品和网络的问题。当你想组装一台电脑,你会找他帮你做配置表和攒机清单;当你需要挑选一部性价比高的手机,他会给你每个品牌最佳的选择;当你发现自己的笔记本过热,他会在当场帮你把它拆开清灰。

ZEALER 的创始人王自如说,在大学里帮同学刷机是他最大的乐趣之一。每买回一台新手机,他会做的第一件事就是刷机。会让王自如感到心满意足的,就是在数据线拔下的那一瞬间,手机就是他心目中最理想的状态这件事。

我不知道应该给这群人一个怎样的称呼,但它们都特别能折腾。他们会因为刷完某一个系统却无限重启而折腾一整晚,他们也会为了实现五个路由器桥接而彻夜不眠。他们还能因为最早接触一些互联网工具而省一笔钱或赚一笔钱。这些过程中没有人会觉得麻烦,因为每个人都乐在其中。

我也没有想过,当事情不纯粹的时候,当信息不安全的的时候,折不折腾会变成一件让人苦恼的事。

明码标价的用户信息

d8518b944a7149652f93ae461e413452_副本_副本.jpg

垃圾短信是让人讨厌的东西,它甚至逼迫苹果开发了 iMessage 垃圾信息的举报功能。曾经 iMessage 是 iPhone 用户的骄傲,现在却变得有点伤。

这样的新闻屡见不鲜:八百多元的耐克运动鞋只卖一块二,数千人拍下后卖家退款不发,原来只为收集买家信息。在今年的公开社会新闻中,淘宝有效买家的信息售价是每条一元左右。而出售的买家信息会被用作电信诈骗或冒名注册,涉及的金额将远远超过一元这个数字。

今年年初,曾经传出淘宝要大幅优化用户信息保密机制的消息。在买家发完货之后也许无法再查看用户的地址信息。但到目前为止,不论是淘宝网页端还是千牛 PC 客户端,卖家依然可以在用户拍下后的任意时刻查看用户的电话地址等信息。

淘宝买家的信息本应可以卖个好价钱,因为它十分真实。每个人填写的电话和地址几乎都是真实的,因为必须保证自己能收到货。因此利用这些信息进行诈骗的成功率会比街头调研得来的数据的成功率高得多。

我觉得善用打车软件是机智的表现,很多 Uber 司机也跟我说过最早开始用这个服务的多是科技行业的从业者。但乌云网 2015 年 5 月提供的数据显示,自 2014 年 1 月到 2015 年 5 月上旬,他们共发布了 59 个关于打车软件的安全漏洞,危害等级为「高」的漏洞达 33 个。

我并没有因为信息可能会被泄露而不再叫车,但我在淘宝给我妈买东西的时候,都会填我的手机号。

居心不良的公共 WiFi

737-4.png

活在这个时代的人,没有网络可能真的会得精神疾病。我们都有这样的习惯,去到任何一个公共场所,第一件事就是问 WiFi 密码。我们甚至会觉得提供免费 WiFi 是必须的,没有 WiFi 简直「天理不容」。我也没有想过,会有一天,我不敢连任何一个公共 WiFi。

今年 6 月,小米路由器论坛陆续传出升级系统后 404 页面被劫持的消息。当网页发生 404 错误时,路由器会跳转到特定的广告页面。一些用户反映这是恶劣的劫持行为,小米官方则回应说这只是一项十分人性化的优化,并且在路由器设置选项里可以关掉。为什么劫持 403 错误和 404 错误的页面在很多人眼里很严重呢?因为大多数人无法知道它有没有劫持别的页面。

曾经有朋友给我演示过,自己建一个不需要密码的公共 WiFi,在我连接后开始劫持我的流量。那是一件让人瞠目结舌的事情,因为你从没想过自己会如此赤裸。我也并不具备反劫持的技能,这让我感到十分屈辱。

现在我已经养成了一种习惯,在苹果直营店会条件反射地思考「Apple Store」这个WiFi会不会是别人伪造的,在机场我会试图甄别「Airport Free」和「iAirport」的真实性。这是一件让人崩溃的事情,最后我选择了每个月多包一点流量。

防不胜防的越狱工具

2015-07-04_165035_副本.jpg

我能想到自己使用 iPhone 最开心的时候,是 iPhone4 加上 iOS4 的那段时间,因为越狱和安装插件没有任何阻碍。我可以把一台 iPhone 变成任何我想让它变成的样子,我可以让系统实现任何我希望实现的功能,这是我当时的感受。直到现在,我还能回忆起 greenpois0n、Redsn0w 和 sn0wbreeze 这样的越狱工具,我还能记起 iFaith、Tinyumbrella 这些签名工具。

那是一个美好的年代,因为你可以用手势软件解放 Home 键和电源键,可以用通知栏插件添加 VPN 快捷开关,可以把 iPhone 当成 U 盘直接拷贝文件。没有一次新系统越狱工具的发布不让人癫狂,大家会去 Twitter 关注那些开发越狱工具的大神。谁都没有想到,不考虑插件功能的可用性,自己会有一天不敢越狱。

7 月 1 日,太极越狱发布了 iOS8.4 完美越狱工具。工具发布仅 1 小时后,太极越狱发出公告称 PP 越狱助手抄袭了太极越狱所使用的漏洞,仿制了 iOS8.4 越狱工具。

当天晚上,乌云漏洞报告平台发出公告称「太极越狱 iOS8.1.3-8.4 含有重大安全后门,越狱后导致任意 APP 可以提权到 Root,从而影响用户数据的安全。举例来说获取 Root 权限后可以完全控制系统文件,甚至进一步安装木马等严重威胁用户安全的恶意软件。」

当用于开发越狱工具的漏洞会被抄袭,当越狱过程中工具会在后门强制获取权限,谁会继续折腾呢?也许这些国内越狱团队比那些把 iOS 系统漏洞卖给商业机构的团队要良心得多,但也没有人会再信任他们了。


头图:越狱工具 greenpois0n

用户数据信息安全
下载极客公园客户端
iOS下载
反馈