【Anue鉅亨緊急聲明】

Anue 鉅亨資安小組近日發現，疑似有不肖人士假冒鉅亨網站，以名為「Anue 鉅亨」的釣魚網站，製作顯眼的會員登錄頁面，疑似意圖騙取使用者個人資料。

Anue 鉅亨正在調查這起偽冒事件，必要時也將採取相關法律行動。本案僅為單一個案，目前本網站並未受到任何來自外部的攻擊或入侵，所有用戶資料都非常安全，並無任何外洩狀況發生，敬請各位用戶放心。

Anue 鉅亨嚴厲譴責這種網路釣魚行為，並鄭重通知所有用戶，如果看到疑似假鉅亨網站，建議您執行下列步驟：

1. 認明 Anue 鉅亨官方網址

Anue 鉅亨官方網址皆含有 : cnyes.com ，進入網頁後請務必先確認為正確之官方網址，慎防有疑似不肖人士使用假冒網址 (例如: https://gb1.anue66.com/) 偽裝成 Anue 鉅亨，進而有騙取個資或其他詐騙行為。

2. 切勿點開不明連結

即使網址是由您的親朋好友或是其他由信任管道獲得的，也要小心，請認明 Anue 鉅亨官方網域 cnyes.com ，非此網址切勿點開連結；如已不慎點入也請立即關閉網頁，以免洩漏個人資料或遭植入惡意軟體。

3. 檢舉回報

看到可疑的 Anue鉅亨網址時，可透過下列聯絡方式，向 Anue鉅亨回報。我們將儘速調查，如發現確為偽冒網站時，將於第一時間在 Anue鉅亨官方網站上發出緊急聲明，公告所有用戶避免受害。

4. 當心 Line 假帳號

本公司不會於任何時間內主動透過 Line 通訊軟體聯絡用戶，因付款等問題而要求提供信用卡、轉帳等資訊，也不會跟索取相關個人聯絡資訊。如果您看到疑似假冒鉅亨的假 Line 帳號，歡迎透過下列方式與鉅亨網聯絡。


客服留言 : http://www.cnyes.com/cnyes_about/cnyes_ctcUsTpe.html

鉅亨粉絲團 : https://www.facebook.com/anuetw/

最後再次提醒各位親愛的用戶，網路釣魚或詐騙層出不窮，Anue鉅亨與您一同關心網路安全，也敬請各位用戶多加留意，切勿上當。

如果你真的在乎你的個資的話，就不該關閉iPhone上Safari的「詐騙網站警告」。

今天網路輿論又毫不意外的爆炸了，這次矛頭指向的是蘋果。
簡單敘述一下，很多網站都有詳細文章，雖然他們都做了很糟糕的建議，導致我不得不在一個遊戲類粉專發這篇文。
有網友指出蘋果在Safari的隱私權政策中表示，預設開啟的「詐騙網站警告」將會把使用者的IP和網址回傳給 「Google 安全瀏覽」和「騰訊安全瀏覽」，用以檢測是否為詐騙網站。
而且根據不具名網路部落客指出，在原始碼中，這兩個安全瀏覽會同時接收到資料。所以就結論而言，你的瀏覽紀錄、個資都已經被中共知曉了。
換瀏覽器也沒用哦，因為iOS上全部的瀏覽器都是基於Safari去做的，而唯一的解法就是關閉「詐騙網站警告」。
那些文章大概都是這樣寫的，我們來看看：
回傳IP，打勾。
回傳網址，打勾。
回傳給騰訊，打勾打勾打勾。
結論：蘋果是中共同路人。
嗯，全球大炎上，可以把蘋果烤來吃了。

我要再重複我的第一句話：
如果你真的在乎你的個資的話，就不該關閉iPhone上Safari的「詐騙網站警告」。
真的，誰關誰白癡。
接下來是工程師語言，看不懂請自己跳到結論。

首先，Safari是基於Webkit引擎開發的網頁瀏覽器，而Webkit是iOS唯一的網頁引擎。
這個引擎本身是開源的，你可以在很多地方找到它，比方說Github。
而一切的問題，就是出在Webkit的安全瀏覽警示中。
根據原始碼SafeBrowsingWarningCocoa.mm Line:40開始的那串。我們可以看到Webkit確實會去取得騰訊和Google的安全中心網址。
但是，這裡的判斷式是用二擇一的方式。
判斷的方式是根據SSBServiceLookupResult中的provider，如果是騰訊，就傳騰訊，如果不是，就傳Google。
至於寫入provider的方式和次數，沒寫，十之八九是封在系統框架中。
是根據手機語言、使用者IP、還是手機發售地來判斷，在蘋果說明之前都不會有人知道。
隱私權政策確實有寫到IP和網址「可能」會傳送給「Google 安全瀏覽」和「騰訊安全瀏覽」。
我個人對這個「可能」的解讀是，蘋果只是將隱私權政策整合成一個版本。
如果以騰訊的加入進程來看，騰訊安全中心更像是一個在中國的補充，畢竟在中國連不到Google的安全庫。
考慮到這點的話，這邊的「可能」指的應該是「根據使用者連網IP的不同，可能會使用不同的安全提供商」。
其中一個證據就是，這個SSBServiceLookupResult在iOS11之前是不存在的，而SafeBrowsingWarningCocoa.mm是在2018年11月15日被新增的。
其前身SafeBrowsingResultCocoa.mm則是在2018年11月6日正式加入對騰訊安全中心的判斷。
這個時期是iOS 12，蘋果特別強調Safari安全性的那段時間。

但，對，即便這是有根據的猜測，這依然是我猜的。
所以為什麼我會說誰關誰白癡？
不知道大家還記不記得以前的假登入頁面和有毒的跳窗廣告？
前者是透過設計和官方很像的登入畫面來竊取使用者的帳密。
後者則是簡單直白的網頁投毒。
而這個「詐騙網站警告」的功能，就是在防範這兩件事情，他可以在你點開網站的同時，確保你不會真的立刻連上並且受騙或中毒。
正是得益於這項功能的普及，讓有心人士無法透過這招來惡意詐財，才使得我們能夠更放心的在網路上亂逛。
他在某種意義上跟防毒軟體是一樣的。
而那些文章叫你關掉的意思其實就等同於：
為了防止一個「不知道是真是假」的個資洩漏事件，直接把自己的個資門戶大開。
讓任何詐騙業者都可以隨便透過一封詐騙簡訊或在FB廣告拉一個超便宜商品騙你進去，再用假登入頁面、假刷卡頁面或直接下毒的方式控制你的帳號或手機本體。
這才叫個資被竊取，好嗎？

所以，懶人包在這裡。
1. 蘋果在這件事情上有沒有跪中國→可能有，可能沒有。
港警地圖那件事我個人傾向有，但此案我認為沒有。
2. 怎麼辦，關掉「詐騙網站警告」嗎？→不准關，關了你才真的會被個資大爆射。
3. 防人之心確實不可無，反對企業向中共低頭妥協是大家普遍的共識。
但如果你連最基礎的個資合理授權都無法信任，那我想你還是別用手機信用卡這些會存放個資的東西了。
再說，中共要知道你的網路行動軌跡，跟本不用那麼麻煩。
畢竟，我們台灣就是一堆人死愛用小米跟華為手機。
不要說網路紀錄，你幾點幾分開了什麼app、打了什麼字，原則上他們都能log到。

最後順帶一提，其實前幾天爆出來的台北市教育局購置悠遊卡販賣機在個資爭議上也是同樣的道理。
我沒講不代表我不關心，只是這個專頁不適合去提這些事而已。

補幾個不知道有沒有機會增加觸及的tag
#Safari #資安 #個資洩漏 #蘋果 #騰訊
#詐騙網站警告

---
最後更新一下
有高手反解了SafariSafeBrowsing.framework，得到的結論是：
「只要你的iPhone地區不是設定為中國，就不會有任何影響。」
來源在這裡：https://hiraku.tw/2019/10/4963/
還有老外比他更早解出來，雖然解出來的內容不知道為什麼不太一樣，但結論是相同的。
來源：https://news.ycombinator.com/item?id=21242628

大概是這樣，既然有結論，那我內文應該不會再改了。
感謝大家提供的補充資料。

如果你真的在乎你的個資的話，就不該關閉iPhone上Safari的「詐騙網站警告」。

今天網路輿論又毫不意外的爆炸了，這次矛頭指向的是蘋果。
簡單敘述一下，很多網站都有詳細文章，雖然他們都做了很糟糕的建議，導致我不得不在一個遊戲類粉專發這篇文。
有網友指出蘋果在Safari的隱私權政策中表示，預設開啟的「詐騙網站警告」將會把使用者的IP和網址回傳給 「Google 安全瀏覽」和「騰訊安全瀏覽」，用以檢測是否為詐騙網站。
而且根據不具名網路部落客指出，在原始碼中，這兩個安全瀏覽會同時接收到資料。所以就結論而言，你的瀏覽紀錄、個資都已經被中共知曉了。
換瀏覽器也沒用哦，因為iOS上全部的瀏覽器都是基於Safari去做的，而唯一的解法就是關閉「詐騙網站警告」。
那些文章大概都是這樣寫的，我們來看看：
回傳IP，打勾。
回傳網址，打勾。
回傳給騰訊，打勾打勾打勾。
結論：蘋果是中共同路人。
嗯，全球大炎上，可以把蘋果烤來吃了。

我要再重複我的第一句話：
如果你真的在乎你的個資的話，就不該關閉iPhone上Safari的「詐騙網站警告」。
真的，誰關誰白癡。
接下來是工程師語言，看不懂請自己跳到結論。

首先，Safari是基於Webkit引擎開發的網頁瀏覽器，而Webkit是iOS唯一的網頁引擎。
這個引擎本身是開源的，你可以在很多地方找到它，比方說Github。
而一切的問題，就是出在Webkit的安全瀏覽警示中。
根據原始碼SafeBrowsingWarningCocoa.mm Line:40開始的那串。我們可以看到Webkit確實會去取得騰訊和Google的安全中心網址。
但是，這裡的判斷式是用二擇一的方式。
判斷的方式是根據SSBServiceLookupResult中的provider，如果是騰訊，就傳騰訊，如果不是，就傳Google。
至於寫入provider的方式和次數，沒寫，十之八九是封在系統框架中。
是根據手機語言、使用者IP、還是手機發售地來判斷，在蘋果說明之前都不會有人知道。
隱私權政策確實有寫到IP和網址「可能」會傳送給「Google 安全瀏覽」和「騰訊安全瀏覽」。
我個人對這個「可能」的解讀是，蘋果只是將隱私權政策整合成一個版本。
如果以騰訊的加入進程來看，騰訊安全中心更像是一個在中國的補充，畢竟在中國連不到Google的安全庫。
考慮到這點的話，這邊的「可能」指的應該是「根據使用者連網IP的不同，可能會使用不同的安全提供商」。
其中一個證據就是，這個SSBServiceLookupResult在iOS11之前是不存在的，而SafeBrowsingWarningCocoa.mm是在2018年11月15日被新增的。
其前身SafeBrowsingResultCocoa.mm則是在2018年11月6日正式加入對騰訊安全中心的判斷。
這個時期是iOS 12，蘋果特別強調Safari安全性的那段時間。

但，對，即便這是有根據的猜測，這依然是我猜的。
所以為什麼我會說誰關誰白癡？
不知道大家還記不記得以前的假登入頁面和有毒的跳窗廣告？
前者是透過設計和官方很像的登入畫面來竊取使用者的帳密。
後者則是簡單直白的網頁投毒。
而這個「詐騙網站警告」的功能，就是在防範這兩件事情，他可以在你點開網站的同時，確保你不會真的立刻連上並且受騙或中毒。
正是得益於這項功能的普及，讓有心人士無法透過這招來惡意詐財，才使得我們能夠更放心的在網路上亂逛。
他在某種意義上跟防毒軟體是一樣的。
而那些文章叫你關掉的意思其實就等同於：
為了防止一個「不知道是真是假」的個資洩漏事件，直接把自己的個資門戶大開。
讓任何詐騙業者都可以隨便透過一封詐騙簡訊或在FB廣告拉一個超便宜商品騙你進去，再用假登入頁面、假刷卡頁面或直接下毒的方式控制你的帳號或手機本體。
這才叫個資被竊取，好嗎？

所以，懶人包在這裡。
1. 蘋果在這件事情上有沒有跪中國→可能有，可能沒有。
港警地圖那件事我個人傾向有，但此案我認為沒有。
2. 怎麼辦，關掉「詐騙網站警告」嗎？→不准關，關了你才真的會被個資大爆射。
3. 防人之心確實不可無，反對企業向中共低頭妥協是大家普遍的共識。
但如果你連最基礎的個資合理授權都無法信任，那我想你還是別用手機信用卡這些會存放個資的東西了。
再說，中共要知道你的網路行動軌跡，跟本不用那麼麻煩。
畢竟，我們台灣就是一堆人死愛用小米跟華為手機。
不要說網路紀錄，你幾點幾分開了什麼app、打了什麼字，原則上他們都能log到。

最後順帶一提，其實前幾天爆出來的台北市教育局購置悠遊卡販賣機在個資爭議上也是同樣的道理。
我沒講不代表我不關心，只是這個專頁不適合去提這些事而已。

補幾個不知道有沒有機會增加觸及的tag
#Safari #資安 #個資洩漏 #蘋果 #騰訊
#詐騙網站警告

-\-\-
最後更新一下
有高手反解了SafariSafeBrowsing.framework，得到的結論是：
「只要你的iPhone地區不是設定為中國，就不會有任何影響。」
來源在這裡：https://hiraku.tw/2019/10/4963/
還有老外比他更早解出來，雖然解出來的內容不知道為什麼不太一樣，但結論是相同的。
來源：https://news.ycombinator.com/item?id=21242628

大概是這樣，既然有結論，那我內文應該不會再改了。
感謝大家提供的補充資料。