掌控你的蘋果電腦？

蘋果最近推出的 macOS Big Sur (macOS 11) 默默地讓蘋果本身的應用程式繞過用戶的 VPN 與防火牆設定。 採用 VPN 的效果之一， 就是可以讓遠方的網站不知道你真實的 IP/地理位置； 而防火牆則可以進一步用來完全阻斷電腦內的軟體與遠方網站的訊息傳遞。 蘋果讓用戶使用這兩個功能、 讓用戶以為自己的隱私受到保護， 就像是拉上了窗簾或關上了大門一樣安全； 卻又令人費解地 授予蘋果自身的應用軟體特權， 可以繞過用戶已關上的窗簾與大門。 更奇怪的是， 蘋果從未向用戶公告此事； 研究人員早早向蘋果反應此事， 蘋果也置之不理。 iThome 的報導有更多的技術關鍵詞； Whose computer is it 一文提供了麻煩且不完整的解決方案 (例如會導致 iMessage 無法傳遞附加檔案)； 不過本文想探討的不是技術細節， 而是蘋果電腦長期以來的神秘態度。

感謝臉書網友犧牲隱私幫我推文

(本文刊載於 科學月刊/科技報導； 感謝郭羽漫編輯修飾)

噢，不，這篇文章並不是要勸大家別幫我推文，而是要勸大家少用臉書。 因為當你以為使用它有助於宣傳、推廣或行銷自己的商店或社團時， 很可能對別人產生遠大於對自己的助益。

Greenwald: 臉書與推特做的事比他們所河蟹封鎖的言論更可怕

近日紐約郵報 (New York Post) 報導了 民主黨候選人拜登兒子杭特拜登送修筆電中所洩漏的疑似政治醜聞， 結果 該報導被臉書和推特河蟹封鎖， 包含私密通訊中也禁止傳送此連結。 推特甚至因此而封鎖 NYPost 的帳號， 後續仍拒絕恢復其發言權利。 這再次提醒我們： (1) 言論管制必然需要全面監控 (censorship requires surveillance) (2) 諸如臉書、 推特 (或盛行於臺灣的 line) 之類的高牆花園， 主宰了群眾的話語權， 有強大的能力可以左右輿論的走向。

2013 年吹哨者 Edward Snowden 揭發美國國安局 (NSA) 及英國國家通訊總部 (GCHQ) 透過資訊科技全面監控全球民眾時， 任職於英國衛報的律師兼記者 Glenn Greenwald 協助他閱讀過濾資料並向大眾報導。 Greenwald 同時也曾在 TED 發表一場超讚的演講： 「為什麼隱私很重要」。 針對此次河蟹事件， Greenwald 在 The Intercept 發表了一篇評論： 「臉書與推特做的事比他們所河蟹封鎖的言論更可怕」。 以下是我的摘譯。

* * * * *

現在的國民黨 沒有中華民國派 (百元紙鈔的冥想)

假設國民黨江啟臣主席公開向中國共產黨喊話， 請習近平開放中國國民黨去中國招收黨員， 不然中國國民黨就改名為國民黨。 我很好奇每一位國民黨員及國民黨支持者對這樣的主張會有什麼反應。 從每個人的反應， 也可以看出他內心真正的想法： 到底他是台灣派還是批著國民黨皮的共產黨員。

誰需要關心數位人權？ 《數位時代的人權思辨》推薦序

本文是應臺灣商務印書館之邀， 為 《數位時代的人權思辨》 一書所寫的推薦序。

* * * * *

惡意產品資安事件記事本

2013 年 Edward Snowden 爆料美國國安局的全面電子監控， 我也在部落格上接連著摘要了幾年的相關新聞。 後來沒力寫部落格了， 於是大部分的資安相關新聞都以噗浪簡短摘要， 留下了了很多事件的報導連結。 現在我想把這些超連結整理成表格， 方便大家及我自己查詢。 所以我建了一頁 惡意產品資安事件記事本， 邀請大家一起來幫忙填寫。 為了避免惡意塗鴉， 並沒有採用唐鳳所撰寫的 (無政府主義試算表) ethercalc 而是採用需要登入的 google sheet。 想參與協助的朋友， 請 e-mail 給我 (ckhung 在 朝陽科大 點 教育 點 臺灣)， 讓我把你加入編輯群。

被監控者付費的天眼系統： Amazon Rings

[原文刊載於 科學月刊/科技報導]

名為Ring的「Amazon智慧門鈴」不只是門鈴，也是監視錄影器。它以雲端監控服務（surveillance as a service）作為宣傳口號，不只替用戶監控自家門口，也替各國警察監控全國各地社區。中文世界有報導略微提及Ring所造成的執法適當性及資訊安全這兩大疑慮；不過電子先鋒基金會（Electronic Frontier Foundation, EFF）針對Amazon智慧門鈴所做的一系列研究與論述還提到更多問題。雖然這些報告指出的社會面問題以美國為主，但畢竟臺灣電子消費市場緊隨美國腳步，我們有必要及早警惕與防範。

由中國發金鑰的 Zoom、 臉腫的教育部、 很政治的技術物

[4/14 略更正] 根據 公民實驗室 4/13 的最新說明 做了一些更正。 重點： 「偷傳金鑰」 => 「即使與會各方都不在中國境內，金鑰仍可能是由中國發的」。 中國握有某些會議的金鑰是事實； 但這件事說是「偷」過於嚴重， 應說是「隱匿」。 總之， 造成的後果是一樣嚴重的。

因應武漢肺炎疫情， 前一陣子許多老師緊急地學會操作 (教育部所推薦的) 遠端視訊會議軟體 zoom。 不料加拿大多倫多大學的公民實驗室研究發現： 部分會議的 密鑰竟是由中國北京的伺服器所派送的 (即使與會各方都不在中國境內)。 ( 原始報告) 立委質詢之後， 教育部又緊急地禁止老師使用 zoom。 這引發許多老師抗議， 包含葉丙成教授： Zoom 好危險、好可怕？！

其實我應該可以算是半個外圍邊緣丙成粉， 雖然沒有特別追蹤葉老師的 FB， 但也不時會從噗友等處看到他的文章， 覺得他能夠兼顧學術研究及社會關懷， 令人敬佩。 不過這件事正好踩到我的雷， 針對上面那篇文章以及整件事， 我必須從幾個層次與角度提出反駁及建議。

臺灣統一或正名決策樹

工程師不喜歡打迷糊仗。 我們喜歡把問題定義清楚。 最終或許不一定能找出解答； 但至少可以把所有可能性列出來， 討論的時候比較不會雞同鴨講。 所以我就畫了這一張圖。 每個人都可以由上而下， 逐一回答， 找到自己的政治立場。

讓 iPhone 與 iPad 數秒內淪陷的 62078 蘋果後門

「如果微軟像胖虎一樣惡霸， 那麼蘋果比小夫陰險一百倍。」 我經常用這句話及 指紋解鎖 一事來簡短評論蘋果電腦。 最近特別推薦兩組搜尋關鍵詞： 「生物辨識 國家機器」、 fingerprints usernames not passwords。 其他蘋果後門案例比較難以三言兩語解釋給麻瓜聽， 例如 finfisher、 MDM、 iMessage、 Find my iPhone 等等。 今天要談的蘋果 usb + wifi 後門也是如此。

為什麼你的 usb 充電線應該要戴保險套？ (為麻瓜寫的 BadUSB 原理與防護)

很早以前就聽說過 名為 BadUSB 的攻擊， 直到最近又看到新聞： 「美政府籲勿使用公共USB充電站」 才認真爬文， 嚇到在電腦前面吃手手～

生物辨識： 隱私之害、 國家機器的最愛

請把手機的指紋辨識按鈕用膠帶貼起來。 不要再用指紋/臉孔/虹膜解鎖了。 生物辨識 (biometrics) 用起來很方便， 但這類的技術跟 「保護隱私」 的原始目標其實正好背道而馳。

[註： 建議暫停瀏覽器的 javascript 功能或改用文字瀏覽器 lynx、 w3m， 以便不必登入直接閱讀某些連結。]