用苹果登录VS用谷歌登录:巨头竞争下的隐私保护能否落到实处?
“我们相信,隐私是公民的一项基本权利。但我们也认识到,在这一问题上,并不是所有人都与我们意见一致。”2018 年在布鲁塞尔的一场会议中,苹果公司 CEO 蒂姆·库克曾如此发声。
纵观这几年的大量数据泄露事件、隐私保护政策与法规,以及各科技公司陆续发布或更新的隐私保护手段,不难看出苹果在隐私策略方面的布局。库克在担任苹果 CEO 期间,对隐私保护极为重视,还经常批判谷歌和 FaceBook 等公司,认为他们处理用户隐私的方式并不妥当。
库克认为,科技行业对用户数据的收集和销售」是一种监视,这些储存的个人数据只会让收集这些资料的公司变得更富有。」他呼吁制定一款全面的数据隐私法案,重点是尽量减少数据收集,保护这些数据,并告知用户这些数据的性质和用途。
此前,FreeBuf 曾经报道过 FaceBook 付费给青少年,要求他们在手机中安装一款「研究」应用并允许该应用获取照片、电子邮件等敏感个人信息,用于 FaceBook 改善广告数据档案并获取竞争对手行为。此事曝光后引起一片哗然,而苹果则取消了 Facebook 发布定制的供 Facebook 员工内部使用的 iPhone 应用程序。这种做法也给苹果赢得了道德和情感上的好感。在各大论坛、网站中,认可、称赞苹果隐私保护举措的观点也屡见不鲜。
在 WWDC 2019 大会期间,苹果推出了一系列隐私保护新服务。其中,「用苹果登录」(Sign in with Apple)隐私保护新服务引发了大量关注。而在 4 月份,谷歌也推出了新功能——配套的安卓智能机和谷歌账户可以作为登录 iOS 设备的双因素实体密钥。如此一来,两家公司在隐私保护方面的新举措,成为了人们眼中的科技巨头之争。这让人不禁担心,说好的隐私保护,到底是否能落到实处?
苹果的新隐私保护机制
Sign in with Apple
这项新服务生效后,用户可以不再使用 Facebook 或谷歌证书,也不必将邮箱、电话等个人信息提供给第三方,只使用自己的苹果 ID 就能登录各种网站或在线服务,从而避免被第三方获取个人信息、避免被推销广告。值得一提的是,如果用户不愿意分享个人邮箱,则可以使用这个功能生成一次性且独一无二的电子邮箱,用于注册或其他作用(如邮件转发、验证码获取等),从而彻底杜绝隐私滥用,防止用户被跟踪,还可以阻止垃圾邮件。另外,Sign in with Apple 还为其他安全层提供双因素身份验证。苹果也同时保证不会使用「Sign in with Apple」来分析用户或其应用活动。
对于开发者而言,要想实现这些功能,后续会增加不少开发的工作。在 App 要提供服务的过程中,可能因为没办法取得地理位置、或是用以辨识该使用者的资料,让开发工作变得更为复杂。另外,因为使用者可以选择不跟开发者(App)分享自己的电子邮件,可能会造成开发者难以辨识出特定使用者。因此在开发流程中,就必须要改用苹果提供的 identifier 来加以辨识。也就是说,过往如果是利用电子邮件来辨识使用者的方式,就会必须要在开发流程当中予以修正,后续也需要大量维护的工作。
macOS Catalina 以及 watchOS 6 相关的隐私问题
macOS Catalina 支持声音操控辅助功能,无法利用鼠标等设备操作 Mac 的用户,可通过语音命令完整控制 macOS Catalina 的界面,完成想要的任务。苹果指出,这些声控语音资料都使用 on-device Siri 语音辨识技术,可以确保使用者的资料得到安全保护。此外,macOS Catalina 针对搭载 T2 安全晶片的机型。都提供了 Activation Lock 功能,可通过远程锁定,让电脑中的资料无法被恶意攻击者获取。
watchOS 6 当中也新增了一个 Noise App,可以侦测环境音的分贝。苹果强调其没有搜集环境中的声音或是音效,这些资料也没有传送给苹果。他们仅是利用片段取样的方式来协助判断环境音音量。同时,watchOS 存储的大量用户健康资料也都仅仅存在设备中。若使用者选择将这些资料备份到 iCloud,则储存在 iCloud 中的资料也会被加密。
iOS13 相关隐私保护升级
1.摄像头
在 iOS 13 当中,苹果引入了全新的 HomeKit 安防视频功能,用于改善摄像头安全功能。具体来说,苹果实际上对第三方伙伴拍摄的视频进行终端设备分析,取代了安全设备制造商作为增值服务提供的业务。例如,苹果可以对用户家中的访客提供明确的身份识别信息,当侦测到有人进入时就会发出警告,并与其他动作进行区分。
2.限制 APP 使用地理位置
在 iOS 13 当中,位置追踪保护也得到加强,新增「仅允许一次」选项,让第三方应用只能获取一次用户位置访问权限。如果有应用程序在后台执行时,调用了地理位置,系统也会传送通知来警示,并告知用户应用程序监控其位置的频率。此外,苹果还将阻止应用程序扫描 WiFi 和蓝牙以推断一个人的位置。
3.静默未知来电
苹果表示,秋季即将上线的 iOS 13 能够自动屏蔽任何未知电话,且能够自动将这些骚扰电话发送到语音信箱。这项新功能名「静默未知来电」(silence unknown callers)选项,可以根据用户喜好来开启或关闭。苹果表示,iOS 13 将“使用 Siri 智能,允许从联系人、邮件和消息中的号码比对来电”。任何在这些地方找不到的电话都将被转到语音信箱。有骚扰电话进来时,用户不必担心会制造噪音或振动。这种电话甚至不会出现在用户屏幕上,所以用户正在使用 iPhone 不会被打断。更有意思的是,在紧急情况下,苹果仍然会自动记录下语音邮件。
4.iOS 13 与 macOS 10.15 不再支持 SHA-1 证书
由于旧版哈希算法不再安全,业内在 2017 年掀起了抛弃 SHA-1 TLS 证书的运动。微软、谷歌、Mozilla 相继迁移到更安全的 SHA-2 或 SHA-3 证书。在开发者大会(WWDC 2019)之后,苹果也在新版支持页面上写到,iOS 13 和 macOS 10.15 Catalina,已正式抛弃采用 SHA-1 算法签名的证书。