• 0
苹果WWDC大会召开在即,四项隐私保护措施喜迎升级
统计 阅读时间大约7分钟(2595字)

2019-04-24 苹果WWDC大会召开在即,四项隐私保护措施喜迎升级

自2016年以来,苹果就推出了iOS漏洞奖励计划。

【猎云网(微信号:ilieyun)】4月24日报道(编译:圈圈)

距苹果全球开发者大会只有六周的时间了。对于那些为苹果MacOS、iOS、tvOS和watchOS平台开发应用程序的开发者来说,这次活动就像是一场圣诞晚会。苹果将在会上展示为iPhones、Mac、Apple Watch和Apple TV提供动力的软件的最新进展。

在今年的全球开发者大会上,苹果预计发布iOS 13和MacOS 10.15的测试版。与苹果的硬件产品不同(细节信息在其发布的前几个月会被外泄),外界对苹果下一款MacOS和iOS将推出什么产品知之甚少。然而,基于苹果最近的营销重点(一直以隐私为中心),我们有理由假设,该公司将在其下一代操作系统中为用户及其数据提供额外的隐私保护。这些隐私保护措施可能是什么,每个人都在猜测——但我的希望是这样的。

加密iCloud备份只有用户才能访问,而非苹果

苹果非常重视用户及其数据的隐私。该公司是首批使用默认密码对设备进行加密的公司之一,并在整个操作系统中加入了其他隐私保护措施。然而,苹果在保护你的数据方面却存在一个明显的漏洞。

没错,我指的就是iCloud备份。这些每晚制作的iPhones和iPads的备份信息,存储在苹果服务器的云端。它们有助于确保在苹果设备丢失、被盗或损坏时,你的数据是可恢复的。iCloud备份允许iPhone和iPad用户恢复他们的设备,或者用旧设备上的所有东西(从照片、电子邮件、联系人、应用程序等等)设置一个新设备。

iCloud备份的问题在于,虽然iCloud备份存储在苹果服务器上时是加密的,但苹果持有这些加密备份的密钥。这意味着任何能够访问苹果密钥的人都可以从你的iCloud备份中提取你最私密的个人信息,因为iCloud备份精确克隆了你iPhone或iPad上的所有信息。想象一下黑客或跟踪者有了这些信息会做些什么呢?

我并不是第一个提出苹果在允许用户将加密的iCloud备份存储在苹果的服务器上时,自己不应持有这些备份密钥的人。今年早些时候,电子前沿基金会(Electronic Frontier Foundation)发起了一场名为Fix It Already运动,迫使科技公司修复明显的隐私漏洞。EFF在此次活动中表示,苹果必须为加密的iCloud备份提供仅限用户使用的密钥。

但也有一些好消息:苹果可能已经在计划这么做了。EFF指出,苹果首席执行官蒂姆·库克在接受德国《明镜周刊》采访时曾暗示,苹果将放弃对加密iCloud备份密钥的访问。正如库克对该出版物所说:

对于iCloud备份,我们的用户和我们都有一个密钥。我们这样做是因为一些用户丢失或忘记了他们的密钥,然后期望通过我们的帮助来取回他们的数据。很难估计我们什么时候会改变这种做法。但我认为这将在未来受到监管,就像这些设备一样。所以我们将来不会拥有用户的密匙。

增强Safari功能

我非常喜欢Safari,MacOS和iOS的默认浏览器。它速度快,界面干净,内置了大量的隐私保护。不过,与其他一些浏览器相比,比如以隐私为中心的浏览器Brave,Safari可以学到更多的东西。

首先,虽然Safari现在会在网站没有使用安全加密的HTTPS连接时发出警告,但如果该网站可用,Safari不会强制该网站要通过HTTPS连接。Brave等其他浏览器也内置了这种保护功能。对于Chrome和Firefox这样的浏览器,用户可以选择安装流行的HTTPS Everywhere,以强制使用HTTPS进行连接。因为HTTPS Everywhere不能用于Safari浏览器,所以苹果应该把这项技术应用到它的浏览器中,这样用户肯定会从HTTPS提供的隐私和安全中受益。

其次,苹果可以在实现其私有浏览器模式方面做得更好。虽然Safari确实支持私人浏览窗口,但这种模式提供了一种虚假的安全感,因为它只能阻止在用户个人电脑上留下用户浏览互联网的痕迹。私人浏览模式不会阻止ISP、技术公司或数据公司看到你在网上做什么,然而大多数人错误地认为这种模式可以做到。

正是出于这个原因,如果苹果能追随Brave的脚步,在Safari浏览器的私人浏览模式中添加内置Tor,那就太好了。这样做之后,就能让大多数Safari私人浏览窗口用户真正得到他们认为已经得到的隐私保护。

第三,就像所有的浏览器一样,Safari允许你快速清除你的互联网历史记录,这样你电脑的其他用户就看不到你在浏览什么了。但令人困惑的是,当你在Mac上清除Safari上的历史记录时,Safari不会删除你在地址栏中执行的搜索。正因为如此,任何能够访问你计算机的人都可以看到你最近的搜索,哪怕你已经清除了Safari上的历史记录(提示:你必须手动清除搜索)。这是一个重要的隐私疏忽,应该立即纠正。

提高通讯类App安全性

我以前也写过这方面的文章,但还是得重新强调一遍:iPhone和Mac,以及Windows个人电脑和Android手机上最大的隐私漏洞来自这些平台上的联系人和通讯录应用程序。

大多数联系人应用程序——包括MacOS和iOS中的那些——不仅允许存储联系人的姓名、地址、电子邮件、电话号码和出生日期,还允许添加备注。不幸的是,许多人在那里存储了关于他们联系人的敏感和个人信息。例如,父母可能会在孩子的联系卡上存储孩子的社保账号。

不幸的是,这些备注信息都是以纯文本形式存储的,这意味着任何能访问你联系人的人都可以阅读这些备注——无论他们是在得到你批准或未经你批准的情况下访问你的联系人。但问题是,很多人在授权MacOS和iOS上的应用程序访问他们的联系人时,都是不假思索的。当我们授权一个应用程序访问我们的联系人时,该应用程序将从联系人卡上获取所有内容——包括备注。

苹果需要关闭这项功能。理想情况下,当用户授权应用程序访问他们的联系人时,该公司可以让用户选择他们希望向应用程序提供哪些联系信息。例如,苹果可以创建两个类别:“Basic”将只显示联系人的姓名、主电话号码和主电子邮件地址;而“Advanced”将包含联系人的实际地址、其他电话号码和电子邮件地址。

苹果可以用几种不同的方式来解决这个问题。但无论它做什么,应用程序都不应该访问联系人的备注信息。

调整MAC漏洞赏金计划

自2016年以来,苹果就推出了iOS漏洞奖励计划。该计划向发现iPhone操作系统漏洞(包括安全缺陷)并向苹果报告这些漏洞的个人支付费用。这对每个人来说都是双赢的:发现安全漏洞的人会得到报酬,而苹果可以修补漏洞,为所有用户提高iOS的安全性。

然而,又一令人困惑的点在于苹果只为iOS提供了一个漏洞奖励计划。苹果并没有鼓励开发人员或研究人员发现并指出macOS中存在的程序故障或安全漏洞。发现macOS漏洞的人可以随时向苹果报告,但不同于发现iOS上的漏洞,苹果是不会给他们提供奖励的。

这个问题在今年早些时候引起了人们的注意。当时,德国自由“漏洞猎人”Linus Henze(莱纳斯·亨策)在MacOS的Keychain(一个存储用户密码的应用程序,比如银行和社交媒体网站的密码)中发现了一个重大漏洞,这个漏洞可能会让恶意软件窃取密码。

这是一个很严重的问题,对吧?但Henze一开始拒绝向苹果透露该漏洞的细节,主要是因为苹果没有提供MacOS漏洞奖励计划。但Henze最终妥协了,并告诉苹果公司如何找到这个漏洞,但苹果公司仍然没有给他任何补偿。

2019年2月28日Henze表示:我决定把我发现的关于Keychain的漏洞信息提交给苹果,虽然他们在是否给予奖励方面没有反应,但这件事情很严重而且macOS用户的信息安全对我来说很重要。我已经给他们发送了完整的漏洞细节,包括一个补丁,当然都是免费的。”

一家以隐私为傲的公司——在大多数情况下确实如此——不应该只对其利润最高的操作系统和设备提供漏洞奖励,从而降低成本。相反,它应该向开发者表明,他们将因发现苹果生产的任何软件中的漏洞而得到奖励。这样做才会提高我们其他用户的信息安全性。

1、猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。
2、转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:lieyunjingxuan
)字样。
3、猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
4、联系猎云,请加微信号:jinjilei
相关阅读
推荐阅读
{{item.author_display_name}}
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×