苹果应用商店的 VPN 应用“天行VPN”是为中国用户而制作的。这也是我在推文上称许多中国的 VPN 应用似乎存在安全问题后,其中一个被问及的应用。
随后,因为大家的高需求,我计划写一篇关于每一个中国的 VPN 应用安全性的文章。现在我将列出一些关于“ 天行VPN ”的笔记。
请注意:这里只是一个简单的数据收集,不包含结论和操作性的信息。

针对新疆的“应急开关”

  • 该应用针对在新疆的用户有着不同的行为。
  • 根据下文,我认为这个功能可以让应用开发者可以远程禁止新疆省的用户使用 VPN 服务的功能。
  • 2015年,《纽约时报》报道了中国新疆的 VPN 用户的手机服务被暂停,并要求使用者到派出所报告,在确认身份后才能恢复网络服务。
  • 根据一位新疆人的说法, 新疆省有着更强大的“第二层防火长城”,这会使上一些中国社交网站的速度变慢,甚至被屏蔽。
  • 根据一位中国大陆公民的说法,当局一直关注着新疆的独立分子和极端分子。新疆省严厉的互联网限制可能是“远程禁用”功能被视为必要的原因。
Read More

邮件服务提供商会偷看你的邮件吗?这是可能的,下面就是一个例子。今天,一位安全研究者描述了他逆向了恶意的手机应用程序后,得到了木马制作者所使用的邮箱和密码。在尝试登录过程中,却发现这个邮箱已经不存在了,他重新注册了这个用户名,但第二天就被网易注销了。
当我登陆放马人的邮箱时,发现密码错误。通过找回密码,发现提示该邮箱并未注册。利用木马中的信息,注册该邮箱后,发现有大量短信及通讯录发送到此邮箱。但第二天时,该邮箱已被注销。看来这个邮箱是在用,但是被网易发现该邮箱行为并注销掉(也说明了网易会未经用户允许检查用户邮件内容)。
Read More

在百度上搜索爱因斯坦和共产,一些搜索结果似乎表明,爱因斯坦是相信共产主义的。最近我在看《玻恩—爱因斯坦书信集》(The Born-Einstein Letters),该书是爱因斯坦的好友,德国物理学家马克斯·玻恩(Max Born)在爱因斯坦去世多年后对他们来往书信的叙述性评论,在征得爱因斯坦遗嘱执行人内森博士的同意后,这些信件被集结发表成册。互联网档案馆上也提供了此书英译本的免费下载。其中有一页是这样写道,
在这封信中,爱因斯坦的政治观点是特别有意思的。他当时和其他许多人一样,相信布尔什维克意味着从我们时代的主要罪恶获得解放,这些罪恶是:军国主义、官僚压迫和富豪统治;他希望共产党人能使情况有所改善,“不管他们的理论是多么可笑”。我不知道他读了多少马克思、恩格斯和列宁的著作。同样,他也不太熟悉资产阶级倾向的政治和经济方面的作家。不管怎样,他对俄国革命的期望是基于他不喜欢(几乎可以说是憎恨)西方居统治地位的列强,而不是理性地相信共产主义意识形态的正确性。我之所以强调这一点,是因为共产主义作家经常把他看作他们学说的支持者,或者至少是一位先驱。(例如,Friedrich Herneck 在他的《爱因斯坦传》中开头就写到:“爱因斯坦,马克思之后最伟大的德国人之一……”爱因斯坦会感到这很可笑。)
Read More

这个有趣的问题,是我在构思那篇《访客分析》时想写的,但后来那篇写了太长时间,把这个内容给忘记了。简单说,谷歌的爬虫没有被墙。 这是光顾我博客的谷歌爬虫的 IP 地址,可以用 ICMP 协议 ping,并没有被墙。66.102.8.159,64.233.172.130,66.102.6.8,66.102.8.131,66.102.6.78,66.249.88.30。谷歌提供服务的 IP 和爬虫的 IP 地址并不同。可能有人会说,我没有给出 Googlebot 的 User-Agent,说服力不够。正好前几天有人晒了 Ngnix 的日志,来提供测试和佐证。图片来自 v2exRead More

无意中看到了一条伊朗网友的留言原帖)。伊朗一直是政府进行网络审查的重灾区,没想到这位网友也在使用 shadowsocks ,看来它的名声已经远洋海外。最近 shadowsocks 的仓库迎来了第 10000 次 Fork。1月31日,GitHub 推出了 Topic 功能,已经有仓库加上了 anticensorship, censorship-circumvention, gfw 等标签,这或许是这件好事。
i was looking for shadowsocks optimization and i saw this post.
im from iran,you can find every phone here also vertu phones!but most of the people have android phones because iphone does not have any guarantee here but samsung and other brands has official guarantee.
yes its true that we don't have fast internet speed but 4g has started recently and of course we have Internet censorship and because of this i found your blog post :D
another thing that i think your app is a vpn service and usually people with low income looks for free vpn and other usually buy vpn service or use official vpn services such as psiphon and ...
Read More

我一时兴起,想知道安卓上的 QQ 邮箱应用加密情况是如何的。我用的是 Packet Capture,一个通过走本地的代理再进行抓包的应用。大概的发现是,只有在登录界面输入密码进行验证时是用到了 SSL,其他时候基本都是明文(传输的协议是 HTTP,调用接口,接口格式是 json)。也就是说,传输过程中可能会被别人窥探到,而且是赤裸裸的。在劫持和窥探横行的时代,居然没有使用可靠的加密,把我吓到了。

论 QQ 邮箱 APP 的特点吧,它可以实时的推送邮件。它算是张小龙在 Foxmail 被疼讯收购后,疼讯做的一款手机版的 Foxmail 把。不过这个 APP 在安全性堪忧,甚至敌不过使用 SSL 的 POP3/IMAP/SMTP 协议。至于推送邮件嘛,IMAP 有个 IMAP IDLE 功能。这么说来,那个 APP 也是鸡肋了,不过疼讯可不支持这个新技术。

下面是吐槽:还有你个 QQ 邮箱应用申请定位的权限干啥;QQ 邮箱对英文垃圾邮件的误判率相当高,我有一天一半的邮件都被误判了,我都没找到哪里可以恢复出来的地方;如果人家使用数字签名了,邮件干脆显示不出来;邮件回复上能不能支持下国际通用的回复格式,以及默认纯文本写信?噗。张小龙一定在搞他的什么小程序,没空管邮箱。印象里 Foxmail 还不支持 Auth 认证,和 Thunderbird 相比就是一个辣鸡。 Read More

背景

去年,有网友称高德地图百度地图的PC网页版能显示定位,竟然能定位到具体的某一幢楼,精准度很高(一位网友称百度的精准度在10米内)。这引起了我的好奇,促使我探索其背后的机制。

原理

我打开了高德地图网页版,其定位准确度让我为之一怔。HTML5 中的定位是作为新功能而被引入的。在调用 HTML Geolocation API 时,浏览器会弹出信息向用户询问,是否要与网站共享位置信息。然而高德地图网页版显然并没有使用 Geolocation API。我机器也是有线接入且没有任何定位设备。也就是说,只可能时通过 IP 地址定位。

为了确认是通过 IP 地址定位,我换了 IP 地址,定位马上就不准确了。另外,我觉得网页版定位的位置信息和准确程度与手机“高德地图”应用上的定位十分相识,似乎存在某种关联。在手机版APP使用一段时间过后,网页版的定位居然再次准确了(具体时间没有注意,大概两三天后发现的)。我重复了几次,每次都是这样。也就是说,定位的数据来源实际上是你的手机。也就是说,他们收集了你的 IP 地址和定位信息。我顺便测试了一下,在移动数据流量下,网页版是否仍然能够准确定位。结果是否定的,网页上压根没有什么定位,只留下空落落的以市区地图。很显然,由于移动数据流量下采集用户的 IP 地址的用户实际位置已经失去了意义,因此被高德排除出去了。 Read More

大概一个月前,《环球时报》主编胡锡进在接受英国《金融时报》采访时称,环球时报对推动整个中国舆论的开放。当时我并没有注意到环球时报还是挺含蓄的。

啥都敢说

2016年11月23日,环球时报英文版网站引用了快照)消息源的话称新疆人必须上交护照,这个政策的目的是维稳(maintain social order)。真是不该报道的乱报道。而环球时报中文版网站,倒是一个字都没提这件事(你也知道不该提啊)。不过这篇英文报道很快就被“出口转内销”了,英国金融时报中文版网站转述了环球的内容(目前墙已经对FT中文网的这篇报道单独作了TCP RST处理)。不久环球就把自家网站的报道给删了。不过还是能找到 新浪 English 等媒体的转载。#对了,2011年的时候,环球英文版网站还发表过一篇采访方滨兴的文章,方称他用6个 VPN 用以测试防火长城,在引起了巨大民愤后,环球就把那篇报道给删了。 Read More

鬼城的隐私

当初我是在《参考消息》上看到“百度从用户手机上收集的信息中发现了几个鬼城”的消息的(随手搜索一个相关报道的链接)。然而百度的说明里写着明明白白的“用于提升定位性能和精确度”,“承诺不用于提供服务外的其他目的”,你用用户数据发现鬼城不算提供服务吧。你这样做告知用户我了吗?这似乎违背百度的隐私声明。
打开百度网络定位服务功能后,您将允许百度的网络定位服务收集匿名地点的数据。系统可能会将部分数据加密储存在你的设备上。即使您的设备为运行任何应用程序,该服务也会加密并收集此类数据,当加密收集数据时会产生数据流量费用。加密收集的数据将用于反馈位置信息以及提高定位性能和精确度,我们承诺不会将收集的数据提供给第三方或用于提供服务外的其他目的。收集的数据包括:
- 所要测量的周边 WLAN AP 的 ID 、信号强度信息
- 所要测量的周边基站的 ID 、信号强度信息(GSM 网的情况)
- 所要测量的周边基站的 ID 、信号强度信息(CDMA 网的情况)
Read More

大概 2 年前,我在新华书店买书时,一位年龄与我相仿的人走过来跟我说,他正在做社会实践,问我是否愿意捐钱给贫困地区,他将代为捐款。他有着推销员般不罢休之势。他拿出了一本本子,这是他说的捐款者会被要求留下姓名,一行行也快写满的一页纸。姓名后也留有学校,我看到其中有杭州市前三所之一的杭州市学军中学——但这是否意味着我眼前的陌生人值得我信任呢。

在过去的 2 年里,我看过拿着有“浙江财经大学”字样捐款箱的学生(姑且叫他学生吧,实际上我并不清楚)。以及在近些年的新闻所报道的流行的电信诈骗,通常骗子冒充司法机关让人转账进安全账户云云。最为夸张的是,一位老人执意转账给素未谋面所谓的公安局局长却对现实世界中的民警毫不理会。即所谓真警察比不过假警察

凯文·米特尼克(Kevin Mitnick)在他的 The Art of Deception 中编撰了一个个社会工程学攻击的案例,在我看来,欺骗之所以能够成功发生的关键在于被骗者吧不可信任的当成了可以信任的。因此区分哪些是可以信任的尤为重要。你认为衣着得体者比衣衫褴褛的人更加可信吗?或者,像上文所述,那个年龄相仿者声称他是浙江大学的学生,他就值得我信任吗。在中国这个社会,连红十字会都是不可信任的,我凭什么要去要相信一个陌生人。我每每看到类似的事情,就会想到两年前的“遭遇”。

在一些地方信任显得格外重要,绝不容许其中一点不信任的东西。2015 年,CNNIC 的一个中级证书被颁发了假证书,随后就被 Mozilla 吊销。2016 年,沃通被发现了几个严重的问题,然而沃通试图解释却引发了更多的问题,很明显他们在撒谎。2016 年 10 月,Mozilla 决定不再信任 October 21, 2016 之后的沃通的证书了。 Read More