苹果的新声明:隐私的好与坏

苹果在2021年的WWDC中发布了很多公告主旨. 一些声明是受欢迎的,甚至令人兴奋,但有一对夫妇让我们怀疑,他们是否真的辜负了自己的安全和隐私要求。

但让我们从好的因为还有很多。

  • 手机上的WebAuthN:lookout Yubico,Apple正在构建硬件令牌功能,可以直接从手机进行无密码登录和强大的双因素身份验证。有了本地API,希望更多的网站能够增加这个功能。苹果将支持使用手机本身作为代币,但也支持使用像Yubikey这样的外部物理键,但我认为这仍然削弱了Yubikey的价值主张。
  • 专用继电器:ISP和您的移动运营商喜欢跟踪您访问的网站。他们可以在聚合包、广告程序中直接或间接地销售这些数据,基本上他们的隐私政策允许的任何方式。苹果借来的不经意的DNS在设计他们的私人中继服务。简而言之,这就是我们所说的分割信任模型. 因此,苹果将与第三方提供商——Cloudflare合作,运行一半的服务(出口代理)。

苹果知道你是谁,但不知道你连接到什么网站或你得到什么内容。Cloudflare知道您正在获取什么内容,但不知道您是谁(您的IP地址是什么)。这是一个带有额外技巧的两跳代理方案。所以Cloudflare和目的地网站你会知道的你在哪个地区或城市,没有比这更具体的了。也许毫不奇怪,这项功能不会在一些国家启用,比如中国,那里的隐私几乎是非法的。他们通过udp443端口使用QUIC(HTTP/3)来提高性能,并通过向混合中添加代理来减少延迟。该功能仅对付费iCloud客户可用。

同样有趣的是:它们允许网络阻止私有中继,这样那些对用户浏览位置有政策的企业和大学就可以出于政策原因继续窥探流量。对于家长控制,他们建议使用设备控制而不是网络级控制。

  • 隐藏我的电子邮件:苹果正在使创建可转发回实际电子邮件的一次性电子邮件地址变得更容易。
  • 电子邮件跟踪器阻止:使用Apple的mail,您已经可以禁用远程内容加载,除非您特别允许以每封电子邮件为单位加载内容。这项新功能将允许一个混合,你可以看到图像,但希望阻止跟踪报告是否你打开了电子邮件回来。
  • 安全粘贴:这实际上不是一个新的隐私功能。它更像是对先前发布的隐私功能的可用性增强。许多应用程序偷看了剪贴板,然后把你在那里的所有东西都运走了。这是一次令人震惊的间谍活动。因此,苹果公司推出了一项功能,即在屏幕顶部放置横幅,让用户知道应用程序何时访问剪贴板。此功能允许应用程序在使用剪贴板时删除该通知响应用户操作.
  • 离线Siri:也许最大的消息——甚至比私人中继更大——是Siri的大部分功能将在不必与苹果服务器通话的情况下可用。这在两个方面是巨大的:第一,当你的网络连接不稳定时,你不应该再出现随机的Siri故障。该功能可能更快、更可靠。第二,你的音频没有被发送到苹果进行处理,这意味着它不能被截取、强制或存储以保证质量或者你所拥有的东西。这是人们不使用Siri(或者Alexa、Bixby或者Hey Google)的最大原因。
  • Cloudkit加密:苹果正在使使用iCloud的应用程序开发人员更容易通过Cloudkit存储数据,以添加字段级加密。API使它变得非常简单,它们将支持string、array、number、date、data(二进制)和location类型的字段。从理论上讲,这是端到端加密的,但所有通常的例外情况都适用(比如使用云备份时)。

因此,苹果显然支持其隐私权的主张,并在这方面与谷歌、亚马逊和微软的距离越来越远。但我们的热情并没有扩展到所有的公告。这是你的工作改进的空间:

  • 健康分享:特别是,我们对新的健康共享功能感到失望。这是高度私有的数据,但与家庭成员或医生共享可能有意义的数据。苹果正在实现这一点。那么苹果是如何保护这些数据的呢?他们是这么说的:

数据在传输过程中加密,在用户设备上静止时锁定在密码、人脸识别码或触摸识别码后加密。苹果公司无权获得这些信息当用户选择与所爱的人或医生共享时。

他们还说:

使用iCloud,您的健康数据在所有设备上都会自动保持最新在运输途中和休息时加密.

所以这里的东西,“在运输和休息”不是“端到端加密”,它是一个低得多的酒吧。就在上面,上面写着“军用级加密“当有人谈论数据隐私时,这是一个危险信号。

如果苹果没有对数据进行端到端加密,那么苹果没有访问权限的说法就不可能成立。所以要么苹果低估了事故的安全性,要么他们声称自己无法备份。不管怎样,这里有些东西闻起来很怪。

  • “嘿Siri”扩展:苹果正在效仿谷歌和亚马逊,允许第三方在其产品中启用“嘿Siri”。首先,这一功能将受到苹果智能音箱HomePod的要求的极大阻碍。HomePod将不会进行离线Siri处理。所有这一切都意味着苹果正在扩展家用麦克风,而没有一个与众不同的隐私故事。
  • iOS上的Safari扩展:历史上,浏览器扩展仅用于桌面。苹果允许在iOS上使用广告屏蔽,但一般不允许扩展。这一点在iOS15中会有所改变,所以你可以在iPad或iPhone上使用Pocket、Grammarly或Honey。对于可用性来说,这是一个普遍受欢迎的补充,但浏览器扩展在过去几年里一直是安全和隐私的噩梦,随着苹果采用web扩展标准,恶作剧的可能性将大大增加。

所以底线是:苹果正在积极地将人们应用到最棘手的安全和隐私问题上,他们不断提高标准。我们担心的是,当我们在一些最敏感的数据(如健康分享)上收到混杂的信息时,或者当我们看到新的功能时,感觉苹果在复制谷歌和其他一些功能,却没有给该功能带来隐私镜头,就像Hey Siri扩展和浏览器扩展一样。

咸杂烩

提示,技巧,指针和观点建立安全…

多亏了里亚所罗门.

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

中等是一个开放的平台,1.7亿读者可以在这个平台上发现有见地的动态思维。在这里,专家和未被发现的声音一样潜入任何主题的核心,并带来新的想法表面。了解更多

关注作者、出版物和与你相关的主题,你会在主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,或者有观点要表达,欢迎回家。在任何主题上发表你的想法都很简单和自由。开始写博客

获取媒体应用程序

一个按钮,上面写着'下载到应用商店',如果点击它会引导你到iOS应用商店
一个按钮,上面写着“获取它,谷歌播放”,如果点击它将导致你到谷歌播放商店