文章列表

EP38 - 這跟當初說的不一樣!

Podcast 連結


最近陸續看到了一些新聞,這些新聞都是關於一些很多人使用的產品因為各種不一樣原因而有所改變,雖然這些原因與他們帶來的影響形形色色,但還是想簡單做個小統整,看看他們可能帶來的風險和問題,而面對這些變化我們又可以怎麼應對

WhatsApp 的隱私權政策

WhatsApp 是一個在 2009 年推出的通訊軟體,是全球最多使用者的通訊軟體,截至去年二月 WhatsApp 有超過 20 億用戶

WhatsApp 在剛推出時也是標榜隱私和安全性的一個通訊軟體,但 WhatsApp 在 2014 年被 Facebook 收購,變成 Facebook 旗下的產品之一之後,就有許多用戶都開始擔憂隱私問題,畢竟 Facebook 怎麼說都還是個以對使用者投放廣告為主要獲利來源的公司,WhatsApp 會不會被納入以類似的方式拿來盈利一直都是很多人在關注的議題。

今年一月初,WhataApp 宣布要更改隱私權政策。未來 WhatsApp 用戶的資訊不只會被用在 WhatsApp 平台上,還會分享給 Facebook 的其他公司,像是 Facebook、Instagram 等等的。這些用戶的資訊除了會被用來改善服務,也會被用來顯示廣告。

很多 WhatsApp 用戶開始擔心自己的個資和隱私,但這個部分並不是用戶可以自行決定的,如果不同意新的隱私權政策的話就無法使用 WhatsApp,而 WhatsApp 原本也有規定如果用戶一段時間都沒有使用 WhatsApp 的話帳號就會被刪除,也就是說如果用戶一直都不同意新的用戶條款的話,過一陣子帳號就會直接被刪除了。

Facebook 後來有澄清,表示會分享的資訊並不包含用戶的聊天記錄、通訊錄、通話紀錄等等的資訊,但會分享的資訊中還是包含了許多重要而且可以被用來識別用戶的資訊,像是電話、上網紀錄、定位資訊等等的。

相關新聞:WhatsApp 新版用戶條款要求用戶分享資料或是刪除帳號 WhatsApp 澄清:資訊分享臉書不適用個人私訊

這其實不是 Facebook 第一次做這種事情了

Facebook 在 2014 年的時候收購了 Oculus,一家研發 VR 虛擬實境技術和 VR 眼鏡的公司。根據 Oculus 的其中一個創辦人 Pamer Luckey 的說法,當時在談收購的時候 Facebook 有答應他未來不會要求使用者用 Facebook 帳號來使用 Oculus 的產品,但這個承諾也在去年被打破了,Facebook 在去年八月的時候宣布要開始移除 Oculus 產品對 Oculus 帳號的支援,未來會只能用 Facebook 帳號來登入和使用 Oculus 的產品和服務。

面對這類型的問題,身為使用者其實沒有什麼其他辦法,唯一能做的只有換去別的更安全更注重隱私的通訊軟體。

根據新聞報導,在 WhatsApp 公布新的政策以後,標榜隱私和安全性的通訊軟體 Signal 在五天內就增加了 750 萬個新用戶,Telegram 也在三天內增加了 2500 萬名用戶。

但面對通訊軟體和社交軟體時,最大的問題其實是使用目的,我們之所以會使用這些社群軟體就是為了與他人互動,在軟體的選擇上往往取決於我們身邊的人都在用哪個軟體,想要跳槽去一個更好更隱私導向的通訊軟體的話可能還是需要呼朋引伴,把大家一起拉過去才能真的轉移陣地。

LastPass 的免費版

過去介紹過的密碼管理器LastPass 也在兩週前宣布即將更改收費模式

未來免費的用戶只能選擇在行動裝置或是電腦這兩種類型的裝置上二選一

如果選擇了行動裝置,之後就只能在手機、平板等等的裝置上使用,如果選擇了電腦,就只能在電腦版或是瀏覽器擴充套件上使用。

這個改變對於大部分的免費用戶來說應該都是有滿大的影響的,我自己也在多方考量以後決定換去另一個密碼管理器 Bitwarden。關於考量的點跟搬家方式可以參考下面這篇我在上週寫的文章

密碼管理器搬家教學 - LastPass to Bitwarden

Google Photo 和 Google 教育版的變動

Google Photo 是 Google 推出的圖片分享和線上雲端儲存服務

在過去只要你在上傳照片時選擇的不是選擇上傳原始畫質,那麼你就可以無限制的上傳照片到 Google Photos 上,不避擔心容量問題

但去年底 Google 宣布,在今年(2021)六月以後,不管你選擇上傳哪種畫質的照片,都會需要佔用到你的 Google 帳戶儲存空間,也就是說未來我們不再能夠無限制的上傳所有照片到 Google Photo 了

相關公告:Google 相簿儲存空間異動- Google 相簿說明

不久前 Google 也宣布不再提供無限的雲端空間給教育版的用戶了

過去如果是有向 Google 購買 Google 教育版的學校,學生跟教職員就可以獲得一組有沒有容量限制的 Google 帳號。但 Google 宣布即將在 2022 年改變這個規定,未來學校只會有 100TB 的空間給所有用戶共用,如果要更多空間的話就會需要另外購買。

相關公告:Workspace for Education 儲存空間政策異動

這些改變對於包含我在內的許多使用者影響滿大的,過去我都會把 Google Photo 和 Google Drive 當成我的備份管道之一,但在 Google 宣布了這些資訊以後,我也在尋找好的替代方案跟規劃要怎麼搬家了。

其實站在企業的角度,會做出這樣的改變是十分合理的,畢竟無條件地免費提供這些服務所需要的伺服器、網路、維護等等的也是需要花錢的,當使用者人數一多,所需要的成本加一加是很可怕的,尤其是當這些服務被使用者濫用的時候,像是國內外都有網友在蝦皮、eBay 等等的網站上透過販售 Google 教育版帳號的方式盈利,偶而也會看到有人在濫用無限的空間,上傳了大量盜版的影片到上面供人下載之類的情況。

因此每過一段時間會調整收費標準其實是個滿常見的事情

被加料的 The Great Suspender

去年(2020) 底的時候,一個名叫 The Great Suspender 的瀏覽器擴充套件就被開發者植入了惡意程式

The Great Suspender 是一款可以幫助用戶減少瀏覽器使用的記憶體的擴充套件,在 Chrome Web Store 上有超過 200 萬個使用者

The Great Suspender 原本是一款開源的軟體,但去年六月原本的開發者將它轉手賣給第三方以後就變質了。有網友在去年十一月的時候發現The Great Suspender 被新的開發者植入了惡意程式,他可以被用來追蹤使用者和執行廣告詐騙。

相關新聞:熱門 Chrome 擴充程式 The Great Suspender 在第三方接手後被植入惡意程式,遭 Google 移除

這次的事件和之前跟大家介紹過的很多攻擊事件都不一樣,過去的事件幾乎都是攻擊者入侵了某個軟體以後,在軟體內植入了惡意程式。這次不一樣的點是在惡意程式是由開發者自己植入的,不但少了一層把關,對於用戶來說也更難防範跟察覺的。

同被加料的 Barcode Scanner

Barcode Scanner 是一款在 2017 年推出的 App 在 Google Play Store 上有超過一千萬次的安裝的條碼掃描 App

今年(2021) 二月初的時候 Google Play Store 上的免費條碼掃瞄程式 Barcode Scanner 被資安公司Malwarebytes 發現藏有惡意的廣告程式

經過 Malwarebytes 的調查,這款 App 在去年 12 月的時候被植入了惡意程式,使用者下載了這個 App 以後,手機會動不動就自己開啟一些奇怪的網頁並跳出惡意的廣告,而且植入惡意程式的不是別人,正式開發者自己。

相關新聞:逾千萬人下載的 Android 程式 Barcode Scanner 透過更新夾帶惡意廣告程式

線上服務所帶來的副作用

過去大部分的軟體或服務都是買斷制的,當我們買了軟體以後就可以永久的使用它不用擔心這些問題

但隨著網路和雲端的盛行,大部分的軟體和服務都結合了線上或是雲端的功能,從使用者的角度來看,線上和雲端提供了更多了方便性。從資安的角度來看,這讓漏洞的修補變得更容易更快速,算是有不少的優點。

但也因為這樣,廠商就多了需要維護線上和雲端的成本,這會因為使用者的持續使用而持續增加,因此漸漸的大家都將收費模式改為訂閱制的模式

這些雲端服務的商業模式也間接帶來了今天提到的事件中的問題,因為是雲端服務,他們能夠很輕易地修改他們提供的服務、收費標準或是隱私條款,很有可能因為公司改變政策、或是換個 CEO、公司賣給別人就發生很大的變動

不管是更改隱私條款、調整收費模式、還是被開發者植入惡意程式,這類型的改變因為是來自開發商,不是被駭客攻擊,因此他們引起的注意通常會比較小,比較容易被大家忽視,但站在使用者的立場來看,這些改變能帶來的影響很多時候是不小於被駭客攻擊的

當這些變動發生的時候,我們是不是能夠持續的使用那些軟體服務?如果不行的話,我們能不能夠把儲存在上面的資料適當的備份或是轉移?會不會因為這家公司倒閉服務不能用就導致我們許多工作被中斷?這些種種的問題都會是我們在選擇使用的服務時需要考量的點

我的應對辦法

這些問題很難有一個簡單的解決辦法,畢竟會因為不同的產品服務、改變的東西不同等等的變因而有不同的應對方式。

我自己在尋找 LastPass 和 Google Drive 的替代品的時候就花了蠻多時間在思考這些問題和查詢這方面的資訊,因為除了要確保自己的資料能夠安全的被保存以外,我也不希望未來每過個兩三年就需要換一次服務供應商,把資料搬一次家。

我會問的問題:

  • 了解這個產品

  • 了解開發商的盈利方式、未來規劃和背後的投資者等等

    • 透過這個方式去評斷這個公司和產品的可信賴程度
  • 不管是免費或是收費的軟體,都要考慮到未來價格變動的問題

    • 如果免費方案被取消、訂閱的價格一直漲我負擔得起嗎?
    • 會不會因為這個服務不賺錢所以開發商決定不做了?
  • 上述情況發生的話我有什麼應對方法?

  • 我有辦法保護好自己重要的資料嗎?

透過回答這些問題,我會把幾個類似的可能可行的選擇放在一起評估優缺點,看看以長遠來說哪個比較適合自己的需求。

還可以幫自己準備一些備用計畫,才不會在未來事情發生的時候不知道怎麼辦

不要忘了把重要的資料備份在不止一個地方,這樣才能減少因為我們使用的服務出問題,導致我們失去重要的資料。

複習:怎麼樣的備份才夠有效?

資安新聞

大家也記得多關注科技和資安的相關新聞,這樣才能在這些改變或是問題發生的時候及時地面對跟處理

中文:

英文:

發佈於 2021年2月28日

資安解壓縮網站內容除特別註記外皆以CC BY-SA 4.0方式授權
對於這個節目有什麼想法,或想要聽什麼內容都歡迎到聯絡資訊告訴我們