«

»

Ubuntu 12.10 新增 Amazon 搜索可能泄露隐私

2012-10-31 Posted in NewsRSS

根据 Electric Frontier Foundation 的研究,Ubuntu 12.10 新增的 Amazon 搜索可能会导致隐私泄露。

几天前发布的 Ubuntu 12.10搭载了一个 Amazon 购物搜索的 Lens。当用户在 Dash 中进行搜索时,也会默认获得来自 Amazon 购物网站的信息。通过这种方式,Canonical 可以从 Amazon 获得一部分收入。

这个行为在开发时就收到了来自社区的不少反对声,因为这样子意味着在告知全世界你在计算机上搜索了什么。对此 Canonical 的创始人 Mark Shuttleworth 撰文表示搜索是由 Ubuntu 代为用户向 Amazon 发起的,希望用户相信他们。

然而 Mark Shuttleworth 并没有告诉完整的故事。

搜索关键词和 IP 的确是通过 HTTPS 加密发送到 Ubuntu 的服务器然后再转发给 Amazon 的,但是从 Amazon 返回的数据结果确是通过 HTTP 直接发送给用户的。这意味着:

  1. 若是接入的是公共网络,HTTP 非加密方式传输可以让其他人通过返回结果窃取到你的搜索内容。
  2. 由于是不经过 Ubuntu 代理直接返回给用户,Amazon 方面依然可以在服务器端记录用户的搜索关键词和 IP。

目前第一点已经得到改善,改为使用 HTTPS 的方式返回搜索结果了。

相比之下,另一个问题可能更严重。在默认情况下,Canonical 会将加密发送到 Ubuntu 服务器的搜索关键词和 IP 信息储存起来,并转发给第三方合作伙伴,包括 Facebook, Twitter, BBC 和 Amazon。这个隐私声明可以在 Dash 中点击 i 图标查看。

Canonical 的第三方程序隐私列表上列出了它的第三方合作伙伴,但是并没有回答诸如来自用户的搜索关键词和 IP 会保留多久,会以何种方式交给第三方等问题

实际上这种搜集用户操作并给第三方的行为很常见,各种闭源操作系统中诸如 Win 和 OS X 已经这么干很多年了(黑日白月注:还有朝内的某卫士和某毒霸等)。不过这样子的行为在 Linux 发行版中还是首次出现,且默认启用。

如果你对此有所顾虑的话,可以用以下命令删除 Amazon Lens:

sudo apt-get remove unity-lens-shopping

再到隐私程序中禁止 Dash 搜索互联网内容

更多详情欢迎阅读EFF 原文

消息来源:Ars Technica

Read More:

Tags: , ,

18 Comments

  1. 1 hmaid 评论 @ 2012-10-31 18:35Reply to this comment

    Canonical 最近一系列动作是要伤害开源界的感情啊

  2. 2 simsilver 评论 @ 2012-10-31 18:55Reply to this comment

    这个流程和在浏览器上用amazon搜索有什么区别吗?我记得gnome-shell里搜索不到的话也会打开浏览器,这个属于正常使用但强制使用某搜索引擎还是隐私窃取?

  3. 3 autoxbc 评论 @ 2012-10-31 20:51Reply to this comment

    Kubuntu 用户表示站着也没中枪,Mark 太偏心了。另外什么时候把 non-PAE 内核还给我们,特么 12.04 到 12.10 升级差点挂了。

  4. 4 microcai 评论 @ 2012-10-31 23:16Reply to this comment

    @autoxbc:

    使用 KDE 你只有2个发行版可选择

    1. gentoo

    2. opensuse

    用 KDE 还用 ubuntu 的自己看着办吧。

  5. 5 lh 评论 @ 2012-10-31 23:19Reply to this comment

    很早就卸载了。

    只是洁癖的原因。。。

  6. 6 Adaptee 评论 @ 2012-11-01 7:12Reply to this comment

    adware + donationware

  7. 7 shaowei 评论 @ 2012-11-01 9:26Reply to this comment

    ARCH 的kde 也还行的

  8. 8 黑日白月 评论 @ 2012-11-01 9:39Reply to this comment

    @simsilver:

    差别很大。例如你其实只想搜索本地包含 Linux 关键词的文件,Dash 会默认将这个关键词和你的 IP 发送到 Ubuntu 服务器然后转交给 Amazon 及其余第三方,然后 Amazon 会将它符合 Linux 关键词的商品发送到你的机子上;GNOME Shell 则只会本地搜索,只有在明确点击选择使用某个搜索引擎的时候,才会启动浏览器并直接传递关键词给搜索引擎。

  9. 9 simsilver 评论 @ 2012-11-01 16:45Reply to this comment

    @黑日白月: 哦,这样的话就相当于记录了在dash中的所有历史输入,甚至是即时输入了,这样就太过分了

  10. 10 杰林修 评论 @ 2012-11-01 19:47Reply to this comment

    @microcai: debian不是有kde可用?

  11. 11 茶话汇 评论 @ 2012-11-01 22:38Reply to this comment

    搜索还是自己打开GOOGLE/BAIDU去查询吧,自带的东东,谁乐意玩啊,就类似安卓手机里定制的软件。。。。root之。。。

  12. 12 lainme 评论 @ 2012-11-02 0:53Reply to this comment

    @黑日白月: gnome-shell 是在搜不到时自动开浏览器的,并不是在选择后打开

  13. 13 黑日白月 评论 @ 2012-11-02 9:52Reply to this comment

    @simsilver:

    的确是这样。

    @lainme:

    至少我从 GNOME 3.0 一直用到 3.4 都不是自动打开的,除非是在 3.6 中改变了

  14. 14 Alisha 评论 @ 2012-11-02 13:19Reply to this comment

    @microcai:

    Chakra和Mageia的KDE也都不错

  15. 15 microcai 评论 @ 2012-11-02 14:08Reply to this comment

    @Alisha:

    小众发行版不在考虑范围。通常小众发行版源不足,用户基数小测试不充分,等等。

  16. 16 $4 评论 @ 2012-11-02 14:41Reply to this comment

    Ubuntu 12.10 also provided a convenient interface to disable it. Please check "Privacy" under "System Settings".

  17. 17 JK 评论 @ 2012-11-02 22:09Reply to this comment

    用KDE又想相容Ubuntu可選擇Linux Mint KDE版,調整得很好可以跟openSUSE比。

  18. 18 Ma Xiaojun 评论 @ 2012-11-03 2:29Reply to this comment

    记录关键字和IP确实不太好,不过你自己用浏览器上任何网站搜索难道不会被记录关键字和IP?

«

»