网友利用 iOS 15 新隐私特性：发现微信、淘宝、QQ 等在后台反复读取用户相册

网友利用 iOS 15 新隐私特性：发现微信、淘宝、QQ 等在后台反复读取用户相册 据网友 ，其开启了 iOS 15 的隐私新特性 「记录 App 活动」对所有 App 的隐私读取行为进行了 7 天的监控，并使用 App Privacy Insights 对记录进行读取。 该网友发现，微信在用户未主动激活 App 的情况下，在后台数次读取用户相册，每次读取时间长达 40 秒 至 1 分钟不等。（） 建议每位iOS 15用户都开启「记录 App 活动」功能，并使用 Privacy Insights 定期查看

马化腾回应早期微信在后台反复读取用户相册

马化腾回应早期微信在后台反复读取用户相册 1 月 7 日消息，据 CSDN 报道，针对早前有软件工程师爆料称包括微信等在内的多款国民级 App 在后台反复读取用户相册一事 1 月 5 日，马化腾独家回应：“应该是 21 年 10 月的事了，图片缓存加速造成的误会，后面应该用 iOS 新的解决卡顿的 API 解决了。”并特别表示，“可以帮忙辟谣”

腾讯方面对QQ PC版读取用户浏览器历史记录一事作出回应。

腾讯方面对QQ PC版读取用户浏览器历史记录一事作出回应。 腾讯方面表示，近日收到外部反馈称PC QQ扫描读取浏览器历史记录。对此，QQ安全团队高度重视并展开调查，发现PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况，读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端，不会储存，也不会用于任何其他用途。 腾讯方面称具体情况为，该操作为历史上线的一个对抗恶意登录的技术解决方案：因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作，因此在PC QQ客户端中加入了检测恶意和异常的访问逻辑，以此作为辅助手段去判断恶意客户端。 腾讯方面就本次事件深表歉意，内部正梳理历史问题并强化用户数据访问规范。 腾讯方面称，目前已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题，并发布全新的PC QQ版本。为减少不便，所有受影响的PC QQ历史版本将在今天开始进行热更新和推送升级包。同时，手机端QQ不存在上述操作，不受影响。 （腾讯QQ）

电商巨头患上“流量焦虑症”

电商巨头患上“流量焦虑症” 一个微不足道的流量因子，一笔不到200元的订单，暴露了电商平台的流量焦虑。对用户好，不是平台良心发现了，是流量更值钱了。流量这个词，是互联网行业的高频词汇，每一个触网的人，都可以被抽象为流量。你在微信聊天，就成了腾讯的社交流量，去抖音刷短视频，成了字节的娱乐流量。这些流量被平台拿到手里，最后一定会被“榨干”，变现形态最优的是游戏，其次是广告，然后就是电商。电商是流量黑洞。过去，电商平台喜欢从内容平台给自己导流，阿里、京东、拼多多购买流量的费用都在百亿级别。在抖音自己下场做电商之前，淘宝一年要花费六七十亿元从抖音购买流量。京东、拼多多也在快手上大量投放广告。现在，随着互联网的新增流量急剧减少，抖音、快手做了自有电商，微信视频号发力直播带货，所有电商平台都开始大力做内容。图文种草、直播、短视频、短剧，各种能产生流量的内容形式都被装进了购物APP里。去哪里获取流量，如何“榨干”既有流量，成了摆在电商巨头眼前的一道难题。人从哪里来，钱往何处去电商平台对流量的不安全感，从平台诞生那一刻就存在了。以淘宝为例，它不像小红书、抖音等内容平台，从一开始就自带流量。它需要去站外（淘宝外）找流量，所谓“全网营销，淘宝成交”。很多公司都曾当过淘宝的流量入口。十多年前甚至有一批专职给淘宝导流的平台，如返利网、蘑菇街、美丽说、折800、楚楚街等，它们先用内容资讯、优惠券返利、特卖导购的形式吸引用户，然后把订单引向淘宝。但这些导购平台后来基本都没落了，一旦它们占据淘宝外部流量来源的比例达到一定程度，就会被限制淘宝不想受制于某个单一平台。这种不安全感，用马云的话说：淘宝的流量来源应该是草原，而不是森林。如果某些大树出问题，可能威胁淘宝整体。基于这一指导思想，阿里此前切断了很多外部链接，杜绝扶持单一流量入口，还投资了微博、小红书等自带流量的内容公司。但互联网有个特征，流量总是会向头部平台集中。PC时代的百度、移动互联网时代的微信、短视频时代的抖音，这三大超级流量平台，任何一个电商平台都绕不过。电商平台花钱从它们那里采买流量，流量平台也长成了参天大树。这种流量采买关系一直存续至今。今年618期间，有人还在微信订阅号的信息流里，刷到了淘宝的广告。微信订阅号信息流里的淘宝广告对于电商平台而言，巨头的导流有利有弊。当年淘宝从百度采买大量流量，导致用户都在百度进行购物搜索，流量入口和用户数据都落在了百度手里，没多久百度就自己下场搞了电商C2C平台“有啊”。后来淘宝卖家用各种方式从微信进行流量转移，数百万淘宝客像工蜂一样，从微信给阿里导流获利。警惕的淘宝屏蔽了微信，要求所有跳转淘宝的链接都直接提示用户下载手淘APP。阿里一直不希望流量巨头具备电商能力，转身成为自己的竞争对手。电商这事，百度失败了，腾讯也没做成。腾讯用微信的巨大流量池，扶持了两个代理人京东、拼多多。京东和拼多多的崛起，证明了流量巨头的助攻威力巨大。京东在微信九宫格获得了一级流量入口，有很长一段时间，京东超过四分之一的新用户来自微信。腾讯在2016年领投拼多多1.1亿美元融资，拼多多用户量当年突破1亿。短视频时代，流量被快速转移到抖音和快手这两个超级APP里，所有电商平台都开始向它们采购流量。2018年底抖音开放购物车功能，接入第三方电商平台，淘宝跟抖音签订导流年框，金额数十亿元级别。字节跳动跟腾讯不同，腾讯没做成的事，它做成了。2020年，抖音摸清电商门道后，一脚踢开淘宝，切断淘宝外链，自己下场做了抖音电商，此后不断蚕食淘系电商的市场份额。另一大流量平台快手，也做了快手电商。有一位业内人士将抖音电商崛起的核心原因，归结为逍遥子做了一个误判，认为抖音跟微信一样只是一个流量入口，但是没想到抖音做得这么好。时间拉回到今天，中国电商江湖形成了两大阵营、五大玩家：古典派的“猫狗拼”，由交易驱动；新兴派的“抖快”，由内容驱动。其中“抖快”既产生流量也掌握交易，在电商这场仗里，它们既是参战方，也是军火商。唯一的变量是视频号。腾讯一直想做自己的电商业务，如今随着视频号步入正轨，成为“全村的希望”，腾讯重燃电商野望，或许会改变行业格局。在这样的背景下，淘系、京东、拼多多面临流量焦虑是必然的。在既有的流量池子里，流量平台的格局已经固化，只剩几个大平台，即马云所谓的“流量森林”，曾经百花齐放的“流量草原”各种中小站、博客、微博、导购网站，要么被大平台收至麾下，要么被巨头消灭了，流量中心化程度越来越高。这个池子也不再扩大了，抖音、快手、小红书之后，互联行业已经很久没有出现超级流量平台。这让电商平台之间的竞争，变成了赤裸裸的存量博弈，也就是文章开头提到的那个案例用户手机里同时安装了淘宝、京东、拼多多、抖音，在哪里下单成交，这是个问题。过去电商竞争激烈，大家还可以去找增量，拼多多的错位竞争、抖音的换道超车，都是在找尚未被充分开发的市场。现在，锅里的肉已被瓜分完毕，再要增长就只能从他人碗里抢了。要转化还是要时长拼多多、京东在两年前就已不再公布用户数据，当时有8.8亿人在一年中至少会在拼多多购物一次，现在这个数据只会更大。对于淘宝、拼多多而言，当绝大多数网民都已注册成为用户，拉新意义不大了。即便是男性用户居多的京东，年度活跃用户也到了6亿级别，快触及天花板了。时不时唤醒这些用户，延长他们的停留时长，让他们多下单，就成了更重要的事情。电商巨头们想到的办法是做内容。图文种草、短视频直播、短剧，这些看起来跟卖货没直接关联的内容形式，都被加进了电商APP里。过去几年，直播和逛逛一直是淘宝APP里最核心的两大内容场，去年合并后，直播和短视频、图文在淘宝打通。淘宝短剧也在发力，定制了很多品牌合作剧。京东今年全力做直播，标志性的事件是，京东把老板刘强东做成了数字人，放到直播间里在线营业。刘强东数字人京东是典型的货架电商。过去用户在京东的购物轨迹是：用户带着明确的购物需求进入京东商城，只需去货架上找到自己想要的货即可，买完即走。这跟内容电商的逻辑完全相反。比如抖音，用户进来是想刷短视频，刷着刷着看到一款不错的商品，就下单了。基于兴趣，被内容吸引，再到成交转化。货架是冰冷的，而内容是有趣的，用户天然愿意留在内容平台上，所以京东也要做直播，留住用户。拼多多同样需要内容。虽然拼多多一直说自己是“货找人”而不是“人找货”，平台通过算法和社交关系链，把商品分发给需要的人，但它同样需要用内容加强用户粘性。去年，“多多视频”成为拼多多APP首页一级入口，今年多多视频上架大量免费微短剧，以增加用户停留时长。拼多多里的短剧截图有业内人士说，拼多多用很低的价格，从外面买了一堆“过气”短剧，虽然内容不是独家也不新，但也够用户看了。从单纯卖货到主动做内容，电商平台的流量分配机制也变了。从图文到视频，从看中成交效率到看中注意力停留，平台表面上不那么功利了，实则是拉长了变现周期，为后续变现埋下了伏笔。电商平台要产生跟抖音快手一样的原生流量并... PC版： 手机版：

9亿用户、估值300亿美元，“暗黑版微信”决定上市

9亿用户、估值300亿美元，“暗黑版微信”决定上市 作为全球知名的平台、一个寻求上市的隐藏科技巨头，Telegram 是一个怪异的存在。它时常被人提及，但外界对其内部有知之甚少；它仅有 50 名核心员工，却支撑了 9 亿的月活跃用户；成立多年以来，Telegram 强烈依赖创始人杜罗夫个人资金的支持，几乎没有什么商业化方面的野心，直到近两年才开始货币化；它以言论自由、对抗威权的形象示人，除了面临某些重大舆情，几乎不做任何内容审查。从各种角度来说，Telegram 都不太像一家“正常”的商业公司。要理解 Telegram 的这种不正常，可能需要先理解 VK。01 没有了 VK，才有 Telegram帕维尔·杜罗夫｜图片来源：Wired杜罗夫被称为“俄罗斯的扎克伯格”，这个称号来自于他创立的第一家公司 VK。VK 是 Facebook 的模仿者，成立于 2006 年。在俄罗斯这个庞大的单一市场，VK 迅速起飞，到 2010 年，VK 注册用户数量已经突破 1 亿。2006-2012 年间，VK 注册用户数量｜图片来源：Wikipedia今天 VK 已经不属于杜罗夫，关于杜罗夫如何出走 VK、出走俄罗斯至今仍是一个众说纷纭的公案，可以确定的是这与 VK 庞大的社会影响力有关。一个重要的背景是 2011 年俄罗斯的那场不公正选举，普京领导的统一俄罗斯党在议会选举中占据主导地位，由此引发了大规模的抗议运动。抗议发生在广场上，也发生在 VK 上。克格勃的继任者、国家安全机构 FBS 像 VK 施压，要求其关闭反对派团体的账号。杜罗夫的回应是在 Twitter 上公开了 FBS 发给 VK 的信件，以及一张穿着蓝色帽衫、吐着舌头哈士奇照片。图片来源：twipic与克林姆林宫的冲突让杜罗夫的声望得到了提升，一些人视他为英雄，但杜罗夫与克林姆林宫的关系似乎并非反抗者和威权这么简单。俄罗斯媒体《新报》曾披露，杜罗夫一直在向官方积极提供他们需要的数千名用户的信息，包括 IP 地址、手机号码以及其他识别他们所需的信息。大约在同一时期，杜罗夫就卷进了一场肇事逃逸事故，同时俄罗斯警察开始进入 VK 的办公室。紧接着，就有消息称，VK 的另外两名创始人已经将他们的股份出售给了亲克林姆林宫的俄罗斯金融投资公司 United Capital Partners，而杜罗夫本人已经逃往了美国，并在筹建一个新的社交网络。然后，2013 年 8 月 14 日，iTunes 上出现了一个蓝色纸飞机图标的 AppTelegram。在《纽约时报》的一次访问中，杜罗夫声称 Telegram 的灵感来自于当初一只俄罗斯特警队对他公寓的突击访问“我意识到我没有安全的与他（杜罗夫的哥哥）沟通的方式，Telegram 就是这样开始的。”02“臭名昭著”的隐私保护杜罗夫在 VK 的经历深刻影响了 Telegram 的风格，至少在对外界的呈现中，Telegram 始终保持一种“誓死捍卫用户数据”的形象。在 2014 年接受《纽约时报》采访时，杜罗夫曾表示 Telegram 的灵感正是来自于 2011 年一只俄罗斯特警队对他公寓的突然造访，他当时正要打电话给他的哥哥：“我意识到我没有安全的与他沟通的方式，Telegram 就是这样开始的。”在采访中，杜罗夫将 Telegram 描述为一家分布式公司，不受任何一个国家的管辖和安全机构的约束。为了达成这一目的，Telegram 把服务器分散到了世界各地，以保证任何一个政府都难以强迫 Telegram 放弃任何数据。Telegram 还开发了使用了端到端加密的“秘密聊天”功能，服务器无法看到信息内容。不过，怪异的是，这项功能默认是关闭的，只有经过 4 层菜单选择之后，才能打开。此外，只有一对一的聊天可以受到这项功能的保护，群聊天并不在此列。尽管一些密码学专家，例如密码学咨询公司 Symbolic Software 的创始人纳迪姆·科贝西（Nadim Kobeissi），认为 Telegram 的加密技术根本无法与他的竞争对手 Whatsapp 相提并论，但这并不妨碍当用户想到加密通讯时，可能第一个想起的就是 Telegram，尤其是当 Whatsapp 被 Facebook 收购的时候。在社交网络的生态位中，Telegram 充当了一个反传统的叛逆角色。被 Facebook 收购意味着，Whatsapp 需要修改隐私政策，收集用户数据，以为母公司最大的现金奶牛“定向广告”输血。许多天生就反对大公司的人由此转投 Telegram。还有一部分主要增长用户也与大公司有关。在许多人因仇恨言论和虚假信息而被禁止使用 Twitter 或 Facebook 之后，他们来到了 Telegram。2021 年，在美国国会大厦暴动后的 72 小时内，Telegram 就新增了 2500 万用户。在一段时间内，它都是 Google Play 商店中下载次数最多的应用程序。在 Telegram 官方的使用政策中，它也明确表示传播暴力、淫秽、犯罪的内容或者发布假消息是违规行为。但实际上，Telegram 的审查相当宽松。自由的另一面是混乱，各种人都可以在广场上发声，但最吸引人的总是那些暴力、色情、犯罪的内容。2020 年爆发的“N 号房事件”正是发生在 Telegram 的聊天室中，有 74 名女性受害者被要求发布裸体照片、视频，甚至更夸张的内容。N 号房影像｜图片来源：香港 01Telegram 似乎也在成为新的暗网。根据网络组织 Cyberint 的数据，Telegram 中提及“Email：pass”和“Combo”的次数在 2021 中增加了四倍，达到近 3400 次（“Email：pass”和“Combo”是黑客群体中的黑话，用来表示泄漏的 Email 账号名单）。恐怖分子也钟爱 Telegram。2015 年巴黎袭击事件背后的 ISIS 成员就使用了 Telegram 宣传。ISIS 还利用该应用程序招募了 2016 年柏林圣诞市场袭击事件的袭击者。2017 年，一名土耳其检察官发现，伊斯坦布尔雷纳夜总会新年前夜袭击事件的幕后枪手就是从 Telegram 上接受的 ISIS 领导人的指示。从产品设计的角度来说，这是 Telegram 有意放大其平台上内容影响力的后果。例如，公共频道可以拥有无限数量的订阅者；私人群组可以达到 200,000 人，远远超过 WhatsApp 的 1,024 名成员限制。同时，任何用户都能上传最大 2GB 的单个文件。Telegram 似乎没有解决这些问题的意愿，通常只有在受到强大的政府或者舆论压力下，Telegram 才会出面封禁某些账号。巴勒斯坦数字权利活动家纳迪姆·纳西夫（Nadim Nashif）认为这只是 Telegram 商业模式的一部分：“像 Telegram 这样的公司的领导人并不傻……他们已经做出了这样的决定一个有争议也许是很不错的，这可以让更多的人参与进来。”Telegram 应该也不具备内容审查的能力，目前它仅有约 50 名核心员工。而截至 2023 年，Facebook 的审查人员数量是 7500。03 9 亿月活，但不赚钱无论 Telegram 多么不像一家正常的公司，但是当他面临 IPO 时，它都必须使自己看起来像一家正常的公司。其中最核心的指标就是商业化能力。互联网公司都是轻资产公司，支出的大头通常都是员工的薪资。在这方面 Telegram 控制得很好，仅有约 50 名员工。另一个大头就是服务器带宽成本，毕竟 Telegram 在全球有 9 亿月活跃用户。杜罗夫在采访中透露每个月活用户的年成本不到 70 每分，以此计算，Telegram 过去一年的成本就是不到 6.3 亿美元（约合 45.53 亿元人民币）。早期 Telegram 没有商业化的企图，资金全部依赖杜罗夫本人的个人资产。根据《华尔街日报》报道，到 2021 年 4 月，Telegram 已累计欠下 7 亿美元债务。Telegram 的一个应对措施是超额发行债券。但是对于一家无法自我造血的公司来说，随着用户规模越大，烧钱的速度也就越快。实际上，9 亿月活用户的 Telegram 的盈利能力可以说非常羸弱。从数据角度来说，Telegram 对隐私的承诺，这使得它并不适用于广告这种互联网时代最赚钱的商业模式。以 Meta 和 Alphabet 为例，2023 年 Q4 Meta 营收 401.11 亿美元，其中广告... PC版： 手机版：

迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开

迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开 日前安全研究人员 Wladimir Palant 在自己的网站上手撕迅雷，指责迅雷客户端存在大量漏洞的同时，迅雷对修复工作不积极或者说不愿意与研究人员沟通，最终结果是研究人员在期满 (90 天) 后公布了这些漏洞。从研究人员公布的研究来看，迅雷客户端其实就是一个筛子，上面遍布漏洞，因为迅雷为了尽可能留住用户提供了大量功能，这些功能都是拼凑的。由于漏洞以及相关细节比较多，这里我们简单梳理下，想要了解所有漏洞及完整细节可以在研究人员的博客中查看。下面是漏洞时间线：2023 年 12 月 6 日～12 月 7 日：研究人员通过迅雷安全响应中心提交了 5 个漏洞报告，实际上报告的漏洞数量更多，在报告中研究人员明确提到最终披露时间是 2024 年 3 月 6 日。2023 年 12 月 8 日：研究人员收到回信，迅雷安全响应中心称已经收到报告，一旦复现漏洞将与研究人员联系 (这应该是自动回复的通知模板)。2024 年 2 月 10 日：研究人员向迅雷提醒称距离漏洞公布只有 1 个月时间了，因为有些厂商会忘记截止日期，这个并不少见，于是研究人员发了提醒。2024 年 02 月 17 日：迅雷安全响应中心称对漏洞进行了验证，但漏洞尚未完全修复，也就是确认了漏洞存在，但由于 shi 山代码太多，一时三刻没法修复，为什么说是 shi 山代码看后面的说明。附研究人员关于迅雷安全响应中心的吐槽：限制仅通过 QQ 或微信登录，这对于国外研究人员来说很难，幸好在底部还留了个邮箱。安全问题一：使用 2020 年 4 月的 Chromium迅雷客户端为了尽可能留住用户并塞广告，直接集成了一个浏览器，这个使用迅雷的用户应该都知道，还集成了诸如播放器等功能。然而迅雷当然不会自己开发浏览器，迅雷集成了 Chromium 浏览器，这没问题，但集成的版本还是 2020 年 5 月发布的 83.0.4103.106 版。这个老旧版本存在数不清的漏洞，漏洞多到令人发指，毕竟已经四年了，有大量漏洞是很正常的，而且有一些高危漏洞，而迅雷至今没有更新。这也是前文提到的 shi 山代码太多的原因之一，对迅雷来说或许升级个 Chromium 版本都是很难的事情，因为要处理一大堆依赖。安全问题二：迅雷还集成 2018 年的 Flash Player 插件所有浏览器都在 2020 年 12 月禁用了 Adobe Flash Player 插件，这个播放器插件也存在巨量漏洞，但迅雷直接忽略了。迅雷内置的 Chromium 浏览器还附带了 Flash Player版，这个版本是 2018 年 4 月发布的，迅雷甚至都没更新到 Adobe 发布的最后一个安全更新。安全问题三：拦截恶意地址简直是搞笑迅雷也用实际行动告诉我们什么是草台班子，迅雷内置的浏览器有拦截恶意地址的功能，包括非法网站和恶意网站等。但迅雷还特别做了一个白名单机制，即域名中的白名单在内置浏览器中的访问是不受限制的，白名单域名就包括迅雷自己的 xunlei.com在初始版本中，研究人员提到任意域名结尾追加？xunlei.com 那就能通过验证，比如 https:// ... 是个大聪明。在后续版本中研究人员删除了上面的说法，但保留了另一个问题，那就是 https:// ./ 可以访问，因为迅雷无法处理 com.安全问题四：基于老旧的 Electron 框架开发迅雷主要就是基于 Electron 框架开发的，但迅雷使用的版本是 830.4103.122 版，发布于 2020 年 4 月份，和上面提到 Chromium 老旧版本情况类似，也都是筛子，这也是 shi 山代码之二，迅雷肯定因为某种原因好几年了都不敢动这些框架版本。上面只是其中几个典型的安全问题，研究人员在博客中还罗列了关于插件、API、过时的 SDK 等大量问题，内容比较多这里不再转述。迅雷修复了吗？迅雷并没有直接忽视研究人员的报告，事实上研究人员发现自己的实例代码页面被访问，说明迅雷的工程师也确实在处理。同时研究人员在 2 月份的迅雷新版本中还注意到迅雷删除了 Adobe Flash Player 集成，但如果用户主动安装了，那还是会被激活。所以可以断定迅雷并没有直接忽视漏洞，只不过由于 shi 山代码太多，一时三刻解决不了，而迅雷最大的问题就是没有及时与研究人员沟通，整整三个月迅雷除了一个自动回复外，就在 2 月份回了表示还在修复的邮件，既没有提到是否需要延长漏洞公开时间、也没有与研究人员沟通细节。于是到 3 月 6 日研究人员直接公布了所有漏洞，迅雷好歹也有千万级的用户，无论是迟迟不更新框架版本还是懈怠处理漏洞，都会给用户造成严重的安全问题。目前迅雷并未彻底解决研究人员提到的所有问题 (应该只修复了一小部分？)，建议使用迅雷的用户注意安全，如果不经常使用的话，可以考虑直接卸载掉。 ... PC版： 手机版：