Lin
Lin博客
记录技术与生活
519
文章
754
标签
标签
标签: 隐私 清除筛选
    英国生物样本库数据遭非法挂牌出售,官方紧急收紧研究访问权限

    英国生物样本库(UK Biobank)近日披露一起严重的数据安全违规事件:三家学术机构的研究人员违反合同协议,将获批用于研究的脱敏参与者数据,在阿里巴巴旗下的中国电商平台挂牌出售。

    UK Biobank 在 4 月 23 日发布的公开信中确认,涉事挂牌信息在中英两国政府的协调下,已被阿里巴巴迅速移除,在发生任何实际交易之前就被制止。涉事机构及个人的访问权限已被吊销。

    作为全球规模最大的

    4/24/2026科研隐私数据安全生物医学
    Apple 修复 iOS 通知数据残留漏洞(CVE-2026-28950)

    Apple 于 4 月 22 日发布安全更新,修复了 iOS 和 iPadOS 中一个与通知服务相关的漏洞,编号 CVE-2026-28950。

    漏洞详情

    该漏洞存在于 Notification Services 组件中,导致标记为删除的通知可能意外保留在设备上。Apple 的描述是「a logging issue was addressed with improved data redaction」——即一个日志问题,通过改进数据脱敏技术加以解决。

    影响范围

    此次修复覆盖以下版本:

    • iOS 26.4.2
    • iPadOS 26.4.2
    • iOS 18.7.8

    受影

    4/22/2026AppleiOS安全隐私
    Cherry Studio 被指违规遥测,禁用分析功能后仍连接服务器
    Cherry Studio 被指违规遥测,禁用分析功能后仍连接服务器

    开源 AI 客户端 Cherry Studio 近期卷入一场隐私争议。有用户在 GitHub 提交 issue 称,在明确关闭"自动更新"和"匿名统计分析"后,监测到软件仍持续向 analytics.cherry-ai.com 发起连接请求。

    事件经过

    用户 Yuerchu 在 issue 中表示,使用代理工具监测网络活动时发现 Cherry Studio v1.8.4 存在可疑的后台连接行为。该用户声称从未开启过自动更新和匿名统计功能,但代理日志显示软件仍在反复尝试访问 analytics.cherry-ai.com 的 443 端口。

    ![代理拦截日志显示 Cherry Stu

    4/19/2026开源隐私AI客户端
    特斯拉车内摄像头新增驾驶员年龄估算能力
    特斯拉车内摄像头新增驾驶员年龄估算能力

    特斯拉随 2026.8.6 软件更新扩展了车内摄像头功能。知名固件研究员 greentheonly 在新版本代码中发现,安装在后视镜上方的车内摄像头(Cabin Camera)已新增通过面部分析估算驾驶员年龄的能力。

    数据默认本地处理

    相关图像数据默认在车端本地处理,不会自动上传。只有在车主明确授权且发生安全关键事件的情况下,图像数据才会被共享。这一处理方式延续了特斯拉一贯强调的数据隐私策略。

    4/12/2026隐私Tesla自动驾驶智能座舱
    谷歌推出 DBSC 技术:通过设备绑定强化 Cookie 安全防护
    谷歌推出 DBSC 技术:通过设备绑定强化 Cookie 安全防护

    谷歌 Chrome 浏览器在 Windows 版 146 更新中正式引入了 DBSC(Device Bound Session Credentials,设备绑定会话凭据),macOS 版本也将在后续更新中加入。该技术将身份验证会话与物理设备进行加密绑定,从根本上遏制 InfoStealer 恶意软件通过窃取 Cookie 劫持用户账户的攻击链路。

    Cookie 盗取:当前最紧迫的认证威胁

    Web 认证模型依赖浏览器 Cookie 维持登录状态。一旦恶意软件(如 LummaC2、RedLine、Raccoon 等 InfoStealer 家族)感染用户设备,可在数秒内导出浏览器中存储的

    4/11/2026安全隐私Chrome
    豆包输入法闲置时的后台网络行为:那些不该出现的域名
    豆包输入法闲置时的后台网络行为:那些不该出现的域名
    豆包输入法闲置时的后台网络行为:那些"不该出现"的域名

    有用户在 macOS 上用网络监控工具(NetMute)观察到,豆包输入法在完全闲置状态下仍会持续发起后台网络请求。问题不在于"输入法有网络请求"本身——云端联想和词库同步需要联网,这很正常。让人在意的是请求目标的多样性。

    被抓到的域名

    根据用户公开的网络连接记录,豆包输入法连接的目标包括:

    • bytedance.com / zijieapi.com — 字节跳动自家域名,属于预期内
    • ocbc.com — 新加坡华侨银行(OCBC Bank)
    • linode.com — 知名云服务/VPS
    4/4/2026字节跳动隐私输入法macOS
    LinkedIn 被指秘密扫描用户浏览器扩展,数据共享至第三方
    LinkedIn 被指秘密扫描用户浏览器扩展,数据共享至第三方
    LinkedIn 被指秘密扫描用户浏览器扩展,数据共享至第三方

    一项名为 "BrowserGate" 的调查显示,LinkedIn 会在每次页面加载时运行一段隐藏的 JavaScript 代码,扫描用户浏览器中安装的 Chrome 扩展程序,然后将收集到的数据加密发送至 LinkedIn 服务器,并与第三方公司共享。

    这项调查由爱沙尼亚公司 Teamfluence Signal Systems OÜ 发起,目前已向慕尼黑地方法院提交初步禁令申请。调查设立的专业网站 browsergate.eu 公开了完整的被扫描扩展列表。

    扫描规模:从 461 到 6222

    根据 Bro

    4/3/2026隐私LinkedInGDPR浏览器安全
    Firefox 服务条款的数据共享争议:隐私品牌的信任裂缝
    Firefox 服务条款的数据共享争议:隐私品牌的信任裂缝

    Firefox 的服务条款近期被 Privacy Guides 社区翻出来仔细审视,暴露出一些与"隐私优先"品牌定位不太协调的数据共享条款。

    条款显示,Firefox 会将浏览数据(browsing data)、搜索数据(search data)、地理位置及唯一标识符等信息,共享给包括 Google Cloud Platform、Cloudflare 在内的合作伙伴

    3/29/2026隐私FirefoxMozilla浏览器
    白宫官方 App 逆向拆解:付费墙绕过、休眠定位追踪与供应链风险
    白宫官方 App 逆向拆解:付费墙绕过、休眠定位追踪与供应链风险

    3 月 28 日,安全研究人员 Thereallo 发布了一篇对白宫官方 Android 应用的逆向分析。这篇 14 分钟的长文揭示的问题不少:付费墙绕过、休眠的 GPS 定位追踪管线、从个人 GitHub Pages 加载代码、零证书固定,以及正式版中残留的开发环境痕迹。

    付费墙与隐私协议绕过

    应用内置了一个 WebView 浏览器,用于打开外部链接。每次页面加载时,它会自动注入一段 JavaScrip

    3/28/2026Android安全隐私政府Web安全
    欧洲议会以一票之差否决聊天扫描——大规模监控暂告终结,但数字自由的下一战已经打响
    欧洲议会以一票之差否决聊天扫描——大规模监控暂告终结,但数字自由的下一战已经打响

    3月26日,欧洲议会以一票之差的微弱优势,正式否决了延长"聊天扫描"(Chat Control 1.0)法规的提案。自2026年4月4日起,现行欧盟临时豁免条例将正式失效,Meta、Google、Microsoft等科技公司必须停止对欧洲公民私人聊天内容的自动扫描与评估。

    这并非一次突如其来的逆转。此前3月13日的首次投票中,议会已经否决过一次

    3/28/2026监管欧盟隐私