All Articles

EP38 - 這跟當初說的不一樣!

Podcast連結


最近陸續看到了一些新聞,這些新聞都是關於一些很多人使用的產品因為各種不一樣原因而有所改變,雖然這些原因與他們帶來的影響形形色色,但還是想簡單做個小統整,看看他們可能帶來的風險和問題,而面對這些變化我們又可以怎麼應對

WhatsApp的隱私權政策

WhatsApp是一個在2009年推出的通訊軟體,是全球最多使用者的通訊軟體,截至去年二月WhatsApp有超過20億用戶

WhatsApp在剛推出時也是標榜隱私和安全性的一個通訊軟體,但WhatsApp在2014年被Facebook收購,變成Facebook旗下的產品之一之後,就有許多用戶都開始擔憂隱私問題,畢竟Facebook怎麼說都還是個以對使用者投放廣告為主要獲利來源的公司,WhatsApp會不會被納入以類似的方式拿來盈利一直都是很多人在關注的議題。

今年一月初,WhataApp宣布要更改隱私權政策。未來WhatsApp用戶的資訊不只會被用在WhatsApp平台上,還會分享給Facebook的其他公司,像是Facebook、Instagram等等的。這些用戶的資訊除了會被用來改善服務,也會被用來顯示廣告。

很多WhatsApp用戶開始擔心自己的個資和隱私,但這個部分並不是用戶可以自行決定的,如果不同意新的隱私權政策的話就無法使用WhatsApp,而WhatsApp原本也有規定如果用戶一段時間都沒有使用WhatsApp的話帳號就會被刪除,也就是說如果用戶一直都不同意新的用戶條款的話,過一陣子帳號就會直接被刪除了。

Facebook後來有澄清,表示會分享的資訊並不包含用戶的聊天記錄、通訊錄、通話紀錄等等的資訊,但會分享的資訊中還是包含了許多重要而且可以被用來識別用戶的資訊,像是電話、上網紀錄、定位資訊等等的。

相關新聞:WhatsApp新版用戶條款要求用戶分享資料或是刪除帳號 WhatsApp澄清:資訊分享臉書不適用個人私訊

這其實不是Facebook第一次做這種事情了

Facebook在2014年的時候收購了Oculus,一家研發VR虛擬實境技術和VR眼鏡的公司。根據Oculus的其中一個創辦人 Pamer Luckey的說法,當時在談收購的時候Facebook有答應他未來不會要求使用者用Facebook帳號來使用Oculus的產品,但這個承諾也在去年被打破了,Facebook在去年八月的時候宣布要開始移除Oculus產品對Oculus帳號的支援,未來會只能用Facebook帳號來登入和使用Oculus的產品和服務。

面對這類型的問題,身為使用者其實沒有什麼其他辦法,唯一能做的只有換去別的更安全更注重隱私的通訊軟體。

根據新聞報導,在WhatsApp公布新的政策以後,標榜隱私和安全性的通訊軟體Signal在五天內就增加了750萬個新用戶,Telegram也在三天內增加了2500萬名用戶。

但面對通訊軟體和社交軟體時,最大的問題其實是使用目的,我們之所以會使用這些社群軟體就是為了與他人互動,在軟體的選擇上往往取決於我們身邊的人都在用哪個軟體,想要跳槽去一個更好更隱私導向的通訊軟體的話可能還是需要呼朋引伴,把大家一起拉過去才能真的轉移陣地。

LastPass 的免費版

過去介紹過的密碼管理器LastPass也在兩週前宣布即將更改收費模式

未來免費的用戶只能選擇在行動裝置或是電腦這兩種類型的裝置上二選一

如果選擇了行動裝置,之後就只能在手機、平板等等的裝置上使用,如果選擇了電腦,就只能在電腦版或是瀏覽器擴充套件上使用。

這個改變對於大部分的免費用戶來說應該都是有滿大的影響的,我自己也在多方考量以後決定換去另一個密碼管理器Bitwarden。關於考量的點跟搬家方式可以參考下面這篇我在上週寫的文章

密碼管理器搬家教學 - LastPass to Bitwarden

Google Photo和Google教育版的變動

Google Photo是Google推出的圖片分享和線上雲端儲存服務

在過去只要你在上傳照片時選擇的不是選擇上傳原始畫質,那麼你就可以無限制的上傳照片到Google Photos上,不避擔心容量問題

但去年底Google宣布,在今年(2021)六月以後,不管你選擇上傳哪種畫質的照片,都會需要佔用到你的Google帳戶儲存空間,也就是說未來我們不再能夠無限制的上傳所有照片到Google Photo了

相關公告:Google 相簿儲存空間異動- Google 相簿說明

不久前Google也宣布不再提供無限的雲端空間給教育版的用戶了

過去如果是有向Google購買Google 教育版的學校,學生跟教職員就可以獲得一組有沒有容量限制的Google帳號。但Google宣布即將在2022年改變這個規定,未來學校只會有100TB的空間給所有用戶共用,如果要更多空間的話就會需要另外購買。

相關公告:Workspace for Education 儲存空間政策異動

這些改變對於包含我在內的許多使用者影響滿大的,過去我都會把Google Photo和Google Drive當成我的備份管道之一,但在Google宣布了這些資訊以後,我也在尋找好的替代方案跟規劃要怎麼搬家了。

其實站在企業的角度,會做出這樣的改變是十分合理的,畢竟無條件地免費提供這些服務所需要的伺服器、網路、維護等等的也是需要花錢的,當使用者人數一多,所需要的成本加一加是很可怕的,尤其是當這些服務被使用者濫用的時候,像是國內外都有網友在蝦皮、eBay等等的網站上透過販售Google教育版帳號的方式盈利,偶而也會看到有人在濫用無限的空間,上傳了大量盜版的影片到上面供人下載之類的情況。

因此每過一段時間會調整收費標準其實是個滿常見的事情

被加料的The Great Suspender

去年(2020) 底的時候,一個名叫The Great Suspender的瀏覽器擴充套件就被開發者植入了惡意程式

The Great Suspender是一款可以幫助用戶減少瀏覽器使用的記憶體的擴充套件,在Chrome Web Store上有超過200萬個使用者

The Great Suspender原本是一款開源的軟體,但去年六月原本的開發者將它轉手賣給第三方以後就變質了。有網友在去年十一月的時候發現The Great Suspender被新的開發者植入了惡意程式,他可以被用來追蹤使用者和執行廣告詐騙。

相關新聞:熱門Chrome擴充程式The Great Suspender在第三方接手後被植入惡意程式,遭Google移除

這次的事件和之前跟大家介紹過的很多攻擊事件都不一樣,過去的事件幾乎都是攻擊者入侵了某個軟體以後,在軟體內植入了惡意程式。這次不一樣的點是在惡意程式是由開發者自己植入的,不但少了一層把關,對於用戶來說也更難防範跟察覺的。

同被加料的Barcode Scanner

Barcode Scanner是一款在2017年推出的App在Google Play Store上有超過一千萬次的安裝的條碼掃描App

今年(2021) 二月初的時候Google Play Store上的免費條碼掃瞄程式Barcode Scanner被資安公司Malwarebytes發現藏有惡意的廣告程式

經過Malwarebytes的調查,這款App在去年12月的時候被植入了惡意程式,使用者下載了這個App以後,手機會動不動就自己開啟一些奇怪的網頁並跳出惡意的廣告,而且植入惡意程式的不是別人,正式開發者自己。

相關新聞:逾千萬人下載的Android程式Barcode Scanner透過更新夾帶惡意廣告程式

線上服務所帶來的副作用

過去大部分的軟體或服務都是買斷制的,當我們買了軟體以後就可以永久的使用它不用擔心這些問題

但隨著網路和雲端的盛行,大部分的軟體和服務都結合了線上或是雲端的功能,從使用者的角度來看,線上和雲端提供了更多了方便性。從資安的角度來看,這讓漏洞的修補變得更容易更快速,算是有不少的優點。

但也因為這樣,廠商就多了需要維護線上和雲端的成本,這會因為使用者的持續使用而持續增加,因此漸漸的大家都將收費模式改為訂閱制的模式

這些雲端服務的商業模式也間接帶來了今天提到的事件中的問題,因為是雲端服務,他們能夠很輕易地修改他們提供的服務、收費標準或是隱私條款,很有可能因為公司改變政策、或是換個CEO、公司賣給別人就發生很大的變動

不管是更改隱私條款、調整收費模式、還是被開發者植入惡意程式,這類型的改變因為是來自開發商,不是被駭客攻擊,因此他們引起的注意通常會比較小,比較容易被大家忽視,但站在使用者的立場來看,這些改變能帶來的影響很多時候是不小於被駭客攻擊的

當這些變動發生的時候,我們是不是能夠持續的使用那些軟體服務?如果不行的話,我們能不能夠把儲存在上面的資料適當的備份或是轉移?會不會因為這家公司倒閉服務不能用就導致我們許多工作被中斷?這些種種的問題都會是我們在選擇使用的服務時需要考量的點

我的應對辦法

這些問題很難有一個簡單的解決辦法,畢竟會因為不同的產品服務、改變的東西不同等等的變因而有不同的應對方式。

我自己在尋找LastPass和Google Drive的替代品的時候就花了蠻多時間在思考這些問題和查詢這方面的資訊,因為除了要確保自己的資料能夠安全的被保存以外,我也不希望未來每過個兩三年就需要換一次服務供應商,把資料搬一次家。

我會問的問題:

  • 了解這個產品
  • 了解開發商的盈利方式、未來規劃和背後的投資者等等

    • 透過這個方式去評斷這個公司和產品的可信賴程度
  • 不管是免費或是收費的軟體,都要考慮到未來價格變動的問題

    • 如果免費方案被取消、訂閱的價格一直漲我負擔得起嗎?
    • 會不會因為這個服務不賺錢所以開發商決定不做了?
  • 上述情況發生的話我有什麼應對方法?
  • 我有辦法保護好自己重要的資料嗎?

透過回答這些問題,我會把幾個類似的可能可行的選擇放在一起評估優缺點,看看以長遠來說哪個比較適合自己的需求。

還可以幫自己準備一些備用計畫,才不會在未來事情發生的時候不知道怎麼辦

不要忘了把重要的資料備份在不止一個地方,這樣才能減少因為我們使用的服務出問題,導致我們失去重要的資料。

複習:怎麼樣的備份才夠有效?

資安新聞

大家也記得多關注科技和資安的相關新聞,這樣才能在這些改變或是問題發生的時候及時地面對跟處理

中文:

英文: