关于FSL320窃取用户Chrome网页密码事件以及官方解释

mr紫夜

信息来自于FSL官方Forum
https://forums.flightsimlabs.com ... lware-in-installer/

十个小时前（发帖时间2月19日 0830UTC），在FSL的官方Forum上有人爆出FSL320启动时会启动一个名为"test.exe"的可执行文件。
并且这个文件被确认会窃取用户的Chrome中保存的网页账号密码信息。


下面是此文件的Reddit信息：

https://www.reddit.com/r/flightsim/comments/7yh4zu/fslabs_a320_installer_seems_to_include_a_chrome/?st=JDTCGK8E&sh=ab17abb5

此文件证实存在于232版本以及其之前的所有版本。


而官方在两个小时后也发布了对此的解释。以下为英文原文：

Hello all,

we were made aware there is a reddit thread started tonight regarding our latest installer and how a tool is included in it, that indescriminantly dumps Chrome passwords. That is not correct information - in fact, the reddit thread was posted by a person who is not our customer and has somehow obtained our installer without purchasing.

I'd like to shed some light on what is actually going on.

1) First of all - there are no tools used to reveal any sensitive information of any customer who has legitimately purchased our products. We all realize that you put a lot of trust in our products and this would be contrary to what we believe.

2) There is a specific method used against specific serial numbers that have been identified as pirate copies and have been making the rounds on ThePirateBay, RuTracker and other such malicious sites.

3) If such a specific serial number is used by a pirate (a person who has illegally obtained our software) and the installer verifies this against the pirate serial numbers stored in our server database, it takes specific measures to alert us. "Test.exe" is part of the DRM and is only targeted against specific pirate copies of copyrighted software obtained illegally. That program is only extracted temporarily and is never under any circumstances used in legitimate copies of the product. The only reason why this file would be detected after the installation completes is only if it was used with a pirate serial number.

This method has already successfully provided information that we're using in our ongoing legal battles against such criminals.

We will be happy to provide further information to ensure that no customer feels threatened by our security measures - we assure you that there is nothing in our products that would ever damage the trust you have placed in our company by being our customer.

Kind regards,

Lefteris

全文翻译各位飞友可以自行机翻。


简要大意是：

1.FSL官方证实植入了这么一个程序，而不是他人恶意所为。
2.FSL官方声称此程序是为打击盗版而提供信息，并且只会在使用进入了黑名单的序列号进行激活时才会启动。
—（不过据一些飞友反映某些时候在正版的软件中也会启动。）
3.FSL官方承认此程序已经收集到了信息。


从前后看，FSL对待盗版的态度一直非常严肃，也许这次也是不得已所为。但其收集用户隐私一事却是超出了反盗版范围。
事情的后续发展还不明朗，也许会有人报到欧洲消协或者有关部门。FSL如何处理此事，最好还是静观其变吧。


SINO2878
2月19日0830UTC

mr紫夜

续


在此之后可能是迫于舆论，FSL又对此发表回复。以下为英文原文：

Hello all,

I would like to further address some of the controversy that has taken place this evening.

I want to reiterate and reaffirm that we as a company and as flight simmers would never do anything to knowingly violate the trust that you have placed in us by not only buying our products but supporting them and FlightSimLabs.

While the majority of our customers understand that the fight against piracy is a difficult and ongoing battle that sometimes requires drastic measures, we realize that a few of you were uncomfortable with this particular method which might be considered to be a bit heavy handed on our part.  It is for this reason we have uploaded an updated installer that does not include the DRM check file in question.

I want to thank you all for voicing your concerns in a considerate manner on our forums and elsewhere.  We do listen to our customers because without you, there would be no FlightSimLabs.

Here's the link to the updated A320-X v232 installer.

大意是，FSL官方放出了一个不含“test.exe”的更新包。

但事情并不会就此结束，因为毕竟这个文件存在于232版本及其之前的所有版本，要是真窃取那也是一大堆了。
目前可能已经有人报告了欧洲消协。若欧洲消协真的处理此事并处罚FSL，我们可能会迎来一个巨额赔偿（233333333 ←划掉）。
还有这样的：



楼主本人是受害的（划掉）正版玩家，当然也有安装过和谐版。想当初也是咬咬牙买下了这将近一千RMB的机模。

晒一下正版订单：

FSL这次脑抽可谓自断手足。目前模飞圈内也有“暂时不要使用FSL320”“卸载FSL320”的声音。

但引用 Eric_Jeppesen 的话：

只可惜FF320都不是一个平台的插件，而BBS的空客实在烂泥扶不上墙，AS的空客却又是一个有生之年……恐怕，P3D平台“无空客可飞”的时代，要让子弹飞一会儿了。

mr紫夜

续  2月20日0120UTC


FSL官方又对此事作出了详细的解释
原文内容可见：

https://forums.flightsimlabs.com/index.php?/announcement/11-a320-x-drm-what-happened/

公告大意就是：

1.FSL320用户可以通过交ticket的方法获得全额退款。
2.当你输入错误的序列号时，服务器只会返回提醒信息而不会启动“test.exe”。
3.此工具在使用进入黑名单的序列号进行激活时启动。
FSL官方声称，在最初的FSL320 32位版本，发现了一些使用离线激活破解成功的情况。并且破解者通过这个方法甚至找到了FSL的服务器地址，尝试使用Chrome访问。因此便会尝试通过提取账号密码的方式锁定IP。
3.当所有信息均和黑名单中的符合时“test.exe”才会启动。
4.FSL保证他们的服务器不会因为安全问题而泄露任何已经搜集到的信息。
5.FSL道歉并保证今后不会再发生类似事件。


FSL官方在原文中也贴出了两张提供盗版软件下载的网站截图：

盗版的现象极其严重。（并不仅仅在天朝）
也许盗版是会打垮一些类似于FSL的小企业。我们可以用盗版，但不能提倡用盗版。
现在用盗版，也许是因为经济问题。到有经济实力的时候，再入正也不迟。

在谴责FSL的同时，应该反思一下盗版问题了。

xtzh0310

电脑里的动作片会收集吗

mr紫夜

xtzh0310 发表于 2018-2-19 16:49
电脑里的动作片会收集吗

不会
但是你的度盘危险了#滑稽

xtzh0310

mr紫夜 发表于 2018-2-19 16:51
不会
但是你的度盘危险了#滑稽

说不定FSL=MI6

VREF

那么FSL最后会怎么样

594380389

呵呵，FSL穷疯了。

约翰约森

有点奇怪为啥是现在才爆出来？  

snapdragon666

电脑配置带不动，就算日后带得动了也不会买，从来不买价格超过三位数的游戏或者装备

南方航空B777

说实话国内真的已经被盗习惯了，所以也就那样吧……
（况且我还是比较相信FSL是为了反D版，虽然并不合法。如果是骗子啥的没必要钻研几年搞这么好的机模出来然后盗取密码）
既然这事捅出来了，不如把319免费更给我们吧，如果有321一起就更好了。

mr紫夜

南方航空B777 发表于 2018-2-19 17:31
正版受害者……拿个319或者321作为补偿可好？

参考置顶楼，确实有Forum网友这么说 2333333
（你给我免费的319和321和SL我就当没事发生过.jpg）

南方航空B777

mr紫夜 发表于 2018-2-19 17:33
参考置顶楼，确实有Forum网友这么说 2333333
（你给我免费的319和321和SL我就当没事发生过.jpg） ...

对的……国内信息泄露真的是习惯了。
当然放在欧美就是BIG NEWS了

灌水886

表示上Google才用Chrome……而且不飞FSL A320X。

lzylzylzy130

嗯要怎么说好呢…
谴责，追责他们的同时，是不是也应该反思下盗版了？

南方航空B777

南方航空B777 发表于 2018-2-19 17:31
说实话国内真的已经被盗习惯了，所以也就那样吧……
（况且我还是比较相信FSL是为了反D版，虽然并不合法。 ...

对的，现在导航数据不开源特别恶心，今天刚刚飞了个广州林芝https://user.qzone.qq.com/947695584/blog/1519036718
没办法写进离场程序结果被坑惨了

donnylee

这机模太特么贵了，不考虑买

约翰约森

南方航空B777 发表于 2018-2-19 19:52
对的，现在导航数据不开源特别恶心，今天刚刚飞了个广州林芝https://user.qzone.qq.com/947695584/blog/1 ...

还可以用AS的凑合一下，它家正好也有RF能力。RNP真的好好玩，我还要。

南方航空B777

约翰约森 发表于 2018-2-19 20:06
还可以用AS的凑合一下，它家正好也有RF能力。RNP真的好好玩，我还要。 ...

看了看真实的RNP程序要求很高，有FSL飞不了RNP感觉太浪费了

1v1v1v1

电脑断网就没事

失速与改出7™

各位，可以等FF320和xp11降价了

purewater

这种小软件公司，若被告后确认要罚，大概也快关门了…

外国对隐私权的重视不像我们东方人这么简单。

Glass

飞wilco的表示吃瓜

pc1250

不飞空客的路过

Dreamliner304

其实窃取又能怎样？我是认为FSL的做法初衷是好的，做法也是可以理解的，当然他应该以明文告知消费者，并且防止误伤正版用户，而这一点是欠缺的。我也相信即使FSL取得了用户信息也会合理保存而不会随意外泄，更不会使用、修改获取的个人信息。我认为他们应该对之前使用了这些安装包的用户赔礼道歉或者相应赔偿，并且在下载条款中以明显、高亮字体告知消费者有这样一个做法，一来能警示盗版用户，二来可以收集盗版用户的信息以便日后追查，能起到明显的防盗版效果。

donnylee

Dreamliner304 发表于 2018-2-19 23:08
其实窃取又能怎样？我是认为FSL的做法初衷是好的，做法也是可以理解的，当然他应该以明文告知消费者，并且 ...

至少我知道欧洲对隐私的重视程度，就算当事人是违法的也不能随意窃取他的个人信息，就比如你私自在路上拍摄违章车辆，车主都可以告你侵犯隐私，行车记录仪在欧洲是受抵制的

Dreamliner304

实际上，我自己也是一个插件开发者，面对着日益严重的盗版问题，我觉得是时候整治一下了！

GAT01

约翰约森 发表于 2018-2-19 20:06
还可以用AS的凑合一下，它家正好也有RF能力。RNP真的好好玩，我还要。 ...

FSL的库可以做，而且可以用某个真实库经过简单转换就导进去，完全没有问题。
https://forums.flightsimlabs.com ... t-before-sid-begin/
Forum上有人做出ZGSD的程序

GAT01

195版的安装包没有这个东西，貌似是v4版开始新加的?

smurfysmurf

我感觉，FSL这种做法其实很让人解气。尤其是俄罗斯和中国的盗版现象十分严重，不用严厉的手段不行的……但是目前也有好转，WF ZBAA就能看出来

南方航空B777

GAT01 发表于 2018-2-19 23:37
FSL的库可以做，而且可以用某个真实库经过简单转换就导进去，完全没有问题。
https://forums.flightsimlab ...

哇！怎么做到的？！这文件用很多办法都打不开……最近正愁怎么弄RNP程序呢