2021-03-18 聚會手記 meeting journal

2021-03-18 聚會手記 meeting journal

黑客星期四 聚會資訊 hacking thursday meetup info

https://hackmd.io/CVS-B5o6T0iYuMKGjfi6XA?view

簽到:

筆記 Note

green-coder

This is the URL of the video https://www.youtube.com/watch?v=lSNo5GokdxY

https://github.com/green-coder/vrac

https://www.voxelmade.com/magicavoxel/

jeffgen0x4

幼幼班也能懂的 OWASP TOP 10

by Ray Tracy 前幾年我就遇過, 跳轉到第三方支付結帳時, 他竟然可以讓我自己輸入任何手機號碼去接收 OTP 簡訊….所以任何人拿到別人的信用卡, 只要輸入自己的手機就可以取得 OTP 驗證碼了….

簡訊轉寄服務太鬆散,駭客付錢就能攔截你的簡訊

[Swift的資安發言台] 台灣的第三方支付不可能這樣做 金管會抓很緊 國外就不一定了

HITCON FreeTalk 2021 線上直播心得筆記(一)-近期台灣勒索病毒攻擊案例分析 講者:台灣駭客協會理事 PK

關於中國的 #CAID

https://www.facebook.com/clementtang/posts/10223120574176461

https://www.plurk.com/p/o9u21k

關於中國的 #CAID 以及這次 Apple iOS 14 對 #IDFA 取用限制的事情,其實幾個月前就有很多中文資料,只是昨天突然上了 Financial Times (金融時報,以下簡稱 FT) 然後一堆外媒開始關注,才又爆發出來。 由於距離下個會議我只有 10 分鐘所以很快講一下好了。 前情提要:

  • 以前 iOS App 及跨裝置追蹤長期仰賴 IDFA 作為識別機制
  • IDFA 因為不大會改變,所以等同使用者的身份證可以拿來關聯很多事情。
  • Apple 在 iOS 14 推出 ATT 大幅限制了 App 取得使用者的 IDFA,甚至也讓使用者更容易重置自己的 IDFA。
  • 上述問題讓 IDFA 變動性變大,不再像是以往可以穩定作為身份識別使用。
  • 於是各家廣告商、開發者紛紛開始尋找 IDFA 替代方案 — 以下是昨日爆發的新聞解釋分隔線 — 中國擁有 2000 個會員的中國廣告協會 (CAA) 決定採用一種叫做 CAID 的機制作為 IDFA 的替代方案,而幾家科技巨頭包含騰訊、抖音也決定加入,這件事其實不是新聞,而且已經醞釀了一兩年,但外媒最近才注意到。 引述 CAA 在 CAID 官網的說明:「移動設備廣告標識作為移動互聯網廣告運行的基礎性數據,廣泛應用在廣告主、媒體平台、第三方監測公司、代理公司等市場主體數字營銷業務的全鏈條,服務於甄別流量真實性、驗證廣告投放的精準性,打擊數據造假等作弊行為。 基於此,中國廣告協會與中國信息通信研究院聯合研究機構、廣告產業鏈各方提出中國廣告協會互聯網廣告標識(CAA Advertising ID,簡稱CAID)方案,在滿足國際國內法律法規、監管要求的前提下,推進我國互聯網廣告市場健康發展。 中國廣告協會廣告標識管理平台主要負責廣告標識管理的研發、生成、分發、更新、運維,以及對用戶的廣告標識管理開關、重置操作等提供相關服務管理工作。」 然而 CAID 作為一種新的 ID,它是怎麼被用來關聯身份呢?答案是在各家的 App 內裝 SDK,並透過 SDK 來做 fingerprinting 比對使用者的身份。 大家都知道指紋是用來辨識身份的方式,世界上大多數的人都擁有不同的指紋,而廣告技術圈的 fingerprinting 的意思就是透過各種「特徵」來作為「數位指紋」,以下是一些我們普遍不認為是隱私但會拿來當作特徵的:

  • 瀏覽器用哪家
  • 瀏覽器的設定 (語言、尺寸、一些個人化改過的東西)
  • 瀏覽器裝了哪幾個外掛
  • 是否有針對特定網站拒絕 / 允許追蹤
  • 是否有裝 Ad Blocker
  • 你所在的時區 除了以上這些特徵外,大概還有幾十種 OS 層級的設定可以拿來用,根據 2018 年國外的研究發現比對率高達 99%。 而抖音之前流傳出來所採取的特徵也滿厲害的,是把使用者 iPhone 第一次打開的時候所產生的設定檔(基本上很難有人同時間第一次打開 iPhone) 都拿來作為 fingerprinting 的特徵。

轉貼 OCF Lab 🇲🇲緬甸怎麼了🇲🇲

「我不用手機會死!」 日常的玩笑話,在二月以來的 #緬甸 中,卻扭轉成「用手機可能被置於死地」的讖言。原因在於其軍政府發起奪權政變後,顯然掌握了比熱兵器更好用的武器--科技工具。 緬甸軍政府大量使用 iPhone 破解設備、監控無人機與入侵他人裝置的竊取資料軟體,用於尋找並拘捕反對者,至今在示威活動的鎮壓中,已殺死至少 70 名平民,任意拘捕 2000 人。並且,軍方至今仍用「打擊洗錢」、「調查網路設備」為由,大量採購軍事級的監聽、追蹤等監控設備 科技是一種中性工具,可便利人們的生活、亦可顛覆常軌,尤其使用數位與科技對人權的潛在侵害可能性更不容小覷。 持續關心緬甸人民、提倡數位人權,我們可以善用 hashtag #WhatsHappeningInMyanmar #Myanmar #JusticeForMyanmar #MyanmarCoup 在 Twitter 和 FB上分享轉出訊息,讓更多人看見他們的困境、反思科技偵查可能的未來。 _ 【延伸閱讀】 〈監控無人機、駭客軟體:緬甸軍方鎮壓行動的數字武器庫〉 🚩https://cn.nytimes.com/……/myanmar-coup……/zh-hant/ 〈打擊犯罪/打壓異己?《科技偵查法》為何遊走侵權灰色地帶〉 🚩https://lab.ocf.tw/2021/01/04/tec-investigation/ 〈用步槍和鋼絲鉗斷網:緬甸積極建設數字防火牆〉 🚩https://cn.nytimes.com/……/myanmar……/zh-hant/dual/ _ #民主 #數位人權 #斷網 #革命 圖片:Brian Kelley on Flickr(CC BY-SA 2.0) https://flickr.com/photos/kelleys/50925078036/ _ _ 關心數位時代的科技與人權議題? 請持續支持 開放文化基金會 (OCF) 和 OCF Lab。

wycc

現場直接開工用 onshape 畫出 AutoTeaMaker v1 設計草圖

Mat

成功驅動 RPi3B+ 與 MLX90614 BCC 非接觸溫度感測器

參考文件有:

  • https://www.youtube.com/watch?v=4V0_PBwg4c0
  • https://pypi.org/project/PyMLX90614/

更多關於 AutoTeaMaker 資訊請按此