phone

FBI 手上的 GrayKey 可以解 iPhone 11 Pro Max

在「FBI Successfully Unlocks iPhone 11 Pro in Ohio, Casting Doubt on Claims it Needs Apple's Help in Florida Mass Shooter Case」這邊看到的消息，看起來 FBI 手上的 GrayKey 可以解開 iPhone 11 Pro Max 了...

先前 GrayKey 只有舊型的可以解，像是之前揭露的 iPhone 5 或是 iPhone 7，現在看起來找到新的漏洞可以打穿新的版本，所以升級了：

Forbes has previously revealed a GrayKey brochure that showed it worked on older devices, and the two iPhones acquired by the FBI in the most recent Pensacola case are an ‌iPhone‌ 5 and an ‌iPhone‌ 7, which strongly suggests that investigators are already capable of unlocking them.

魔與道的競爭...

幫你的 iPhone 電話簿找到對應的頭像

前幾天看到的：「Announcing Vignette」，透過 social network 的資料，把本來電話簿裡面的 icon 更新：

透過 app store 的搜尋找不太到，我一開始用了「Vignette」搜不到，但用「Vignette Update」就可以。或者你可以透過他提供的連結直接開 app store：「Vignette – Update Contact Pics」。

這是一個 IAP 類的付費服務，搜尋是免費的，但如果要把資料更新回通訊錄，需要付 USD$4.99 (一次性)，台灣帳號是付 TWD$170，應該是因為最近的稅務調整：

Vignette allows you to scan your contacts and see what it can find for free. If you wish to actually save these updates to your contact list, you must pay for a one-time in-app purchase. That purchase costs $4.99, is not a subscription, and is the only in-app purchase.

搜尋的範圍包括了 Gravatar、Twitter、Facebook 與 Instagram：

Email is used for Gravatar
Twitter
Facebook
A custom network called Instagram

另外作者有提到這個 app 不傳資料到伺服器上，都是在自己的裝置上連到上面提到的 social network 尋找：

Privacy is paramount
All the processing is done on-device; this isn’t the sort of app where your contacts are uploaded en masse to some server, and out of your control.

所以速度不會太快，但對隱私比較好...

G Suite 的管理員可以關閉簡訊與電話語音的 2FA 了

看到「Disable SMS or voice codes for 2-Step Verification for more secure accounts」這邊的說明，G Suite 的管理員可以將 SMS 與 Voice 強制關閉 (也就是不認為這兩個管道是安全的 2FA)。

主要是因為行動網路一直都不怎麼安全，像是 GPRS 與 3G network 使用的 KASUMI，或是 downgrade attack (用 2G network)。

目前 G Suite 登入有提供的 2FA 除了上面這兩個以外，應該還有 TOTP 與 U2F 類的認證方式，這次影響最大的應該是堅持用非智慧型手機的人？這種：

取自「File:Mobile phone evolution.jpg」

所以蘋果開始放鬆 iPhone 的第三方電池保固問題了？

MacRumors 上看到的，先前只要透過第三方更換電池，蘋果就會拒絕後續所有保固，現在內部文件改成不保固電池的部分，其他的元件還是會提供保固：「Apple Says iPhones With Third-Party Batteries Now Eligible for Repairs」。

iPhones with aftermarket batteries installed by third-party repair shops are now eligible for service at Genius Bars and Apple Authorized Service Providers, according to an internal Apple document obtained by MacRumors from three reliable sources.

不確定是不是全球性的，但至少法國已經是了？

突然想到『FTC 警告 Nintendo 與 Sony「拆封喪失保固」違反聯邦法』這篇，雖然兩者討論的主題不太一樣...

移除 Facebook 上的行動電話

Facebook 上的行動電話號碼除了被拿來當作 2FA 的備案外，也被強制分享。更糟的是還被拿來當作廣告的條件：

For years Facebook claimed the adding a phone number for 2FA was only for security. Now it can be searched and there's no way to disable that. pic.twitter.com/zpYhuwADMS
— Jeremy Burge 🐥🧿 (@jeremyburge) March 1, 2019

This is so crazy: even if you deliberately don't include your mobile number in your Facebook profile, they'll harvest it when you use it for two-factor authentication, and let advertisers target you with it. https://t.co/0TIr0zsJOt pic.twitter.com/TigHlGR2zF
— Tom Gara (@tomgara) September 26, 2018

目前同時有 TOTP (Facebook 的 app 提供的) 與 U2F，完全不會用到簡訊認證，就拔掉吧...

樂天在 2018 也要進入日本行動電話的市場...

Twitter 上看到的：「第４の携帯電話会社楽天が来年申請へ」。

ＩＴ大手の「楽天」は、ＮＴＴドコモ、ＫＤＤＩ、ソフトバンクのようにみずから基地局を備える携帯電話会社を近く設立し、来年、総務省に電波の割り当てを申請することが明らかになりました。認可を受ければ、国内に“第４の携帯電話会社”が誕生することになります。

丟出申請建立基地台的執照，現在是審核的狀態... 在台灣有點像是「第一類電信事業經營者」中行動相關的部份 (參考維基百科「臺灣電信業者列表」這邊的說明)。

這樣可以看看會端出什麼方案跟現有三家競爭... 對觀光客應該也有影響。

LINE 將內部的座位表由 Excel 改成 Web 界面...

LINE 將內部的座位表由 Excel 管理，改用 Web 界面了：「Excel管理の座席表をLeafletでWeb化した話」，這邊不確定是全球的 LINE，還是只有日本的 LINE...

如果跟日本人有過業務合作的話，就會知道他們對 Excel 的用法只能用

出神入化

來形容啊... 所以看到 LINE 特地寫了一篇來說明他們開發內部系統的事情，覺得還蠻有趣的...

起因是今年四月換辦公室，所以就順便換系統，把本來用 Excel 管理的座位表改用 Web 管理 (然後用了 Leaflet 這個 JavaScript Library)：

人員の増加に対応するために、今年の4月、LINEはJR新宿ミライナタワーに移転しました。移転に伴い、IT支援室ではいくつかの新しい社内システムを導入しましたが、今日はその1つである「座席表」についてお話させていただきます。

這是 Excel 版本的樣子：

這是新版本的樣子，UI 上有更多互動的界面可以操作：

然後文末提到了總務業務量減少，而且因此變更座位變自由了而大受好評 (大概是不會讓總務煩死，所以就可以更自由換來換去 XDDD)：

今回開発した座席表は総務の業務軽減に始まったプロジェクトでした。そして実際に導入後には、座席表の管理にかけていた総務の業務を大幅に削減することに成功しました。また、利用者からもかなり好評で、「これを待っていたんですよ！」といった声もあり、社内コミュニケーションの円滑化に一役買うことができているようです。誰の席でも自由に変更できるという点についても、これまでのところトラブルの報告を受けることなく運用できています。

翻了一下英文版的 blog，好像沒有提到這件事情？XDDD

就算關掉 Google 的定位服務也還是會蒐集位置資訊...

就如標題所寫的，Quartz 獨家刊出來的新聞，即使你關掉 Google 的定位服務，Google 還是會蒐集你的位置 (而且跟 Google 發言人確認後也證實)：「Google collects Android users’ locations even when location services are disabled」。

而且是全背景作業，在你沒有開定位服務，沒有插 SIM 卡，也沒有跑任何 app，他就會將定位資訊傳出去：

Many people realize that smartphones track their locations. But what if you actively turn off location services, haven’t used any apps, and haven’t even inserted a carrier SIM card?

從今年年初開始這樣搞的，Google 發言人只宣稱這個資料並沒有被用來整合到「network sync system」，並且會立即丟掉 (所以你還是不知道被用到什麼地方)：

“In January of this year, we began looking into using Cell ID codes as an additional signal to further improve the speed and performance of message delivery,” the Google spokesperson said in an email. “However, we never incorporated Cell ID into our network sync system, so that data was immediately discarded, and we updated it to no longer request Cell ID.”

這句話的意思其實代表著是丟掉 raw data，改以統計的方式轉移存到其他系統。

另外 John Gruber 在「Google Collects Android Users' Locations Even When Location Services Are Disabled」其實寫的更直接：

If they were “never used or stored”, why did they start collecting them in the first place? This is like a kid caught with their hand in the cookie jar saying they weren’t going to eat any cookies. Sure.

白話一點就是「你當我傻逼啊」。

應該會促進 microG 的發展... (參考「microG 的進展...」)

美國的電信商提供 API，讓第三方透過 IP 就可以知道你的真實身份

前陣子的報料，美國的電信商提供 API 給第三方，讓第三方可以用 IP address 查出你的真實身份：「Want to see something crazy? Open this link on your phone with WiFi turned off.」，像是這樣：

These services are using your mobile phone’s IP address to look up your phone number, your billing information and possibly your phone’s current location as provided by cell phone towers (no GPS or phone location services required).

目前所有的網站都已經被下架了，但可以從當時的截圖看到有多少資訊。AT&T 的新聞稿在「AT&T Helps Businesses Improve Mobile Transaction Security with New Mobile Identity API Toolkit」，新聞稿沒被下掉我猜可能是因為上市公司受法令限制的關係？

這其實是一個警示，說明了美國的電信商開始把大家一直認為極為隱私的資料賣給第三方：

But what these services show us is even more alarming: US telcos appear to be selling direct, non-anonymized, real-time access to consumer telephone data to third party services — not just federal law enforcement officials — who are then selling access to that data.

而且作者在 GitHub 上看到有程式碼針對韓國電信商提供的 API 呼叫，所以韓國也有類似服務：

I found what looks like a third-party API implementation for a Korean Danal API on GitHub. The author wrote the code for South Korean telcos, so there may be differences with US carriers. The query parameters in the HTTP requests are similar to what I remember seeing in the Danal demo. It’s unclear from my reading of the code whether or not this API requires operation inside of e.g. a Danal Inc. hosted-iframe for identity confirmation. The diagram on page 4 of this documentation describing the Korean “Danal Pay” service appears to show the client interacting with the customer’s servers only.

台灣呢，嘿嘿...

Amazon Device Farm 支援讓使用者直接連上去 debug 了...

Amazon Device Farm 推出這樣的功能又朝著設備租賃服務更進一步了：「Amazon Device Farm Launches Direct Device Access for Private Devices」。

Now, with direct device access, mobile applications developers can use individual devices in their private test set as if they were directly connected to their local machine via USB. Developers can now test against a wide array of devices just like they would as if the devices were sitting on their desk.

這樣就可以使用更底層的東西了...