苹果的安全性和隐私性很好,但还可以更好

苹果标志红色

系好安全带,因为我们已准备好迎接另一场数字安全之战。据称,联邦调查局请求苹果帮助解锁去年彭萨科拉空军基地事件中涉嫌枪手的手机。苹果公司则声称已将其有权访问的所有信息移交给执法部门。

如果您觉得我们以前来过这里,那是因为我们曾经来过。早在 2016 年,FBI 就希望苹果解锁圣贝纳迪诺枪击案凶手的一部手机;苹果拒绝提供帮助,因为这样做可能会损害其所有设备的安全性。最终,该局向一家以色列网络安全公司寻求帮助,该公司能够黑客插入有问题的手机。

撇开在我们都依赖的技术中创建后门所固有的危险不谈,我认为现在是苹果加倍关注其(已经相当稳固的)安全重点的最佳时机。因为当涉及到数字信息和我们的设备时,我们需要的不是降低安全性,而是提高安全性。

MIME 时间到了

苹果公司长期以来一直宣扬其 iMessage 和 FaceTime 系统的端到端加密,但在电子邮件方面,该公司尚未采取任何相应的举措。

icloud 图标 2015 苹果

Apple 的 iCloud 安全概述 指出,虽然 Apple 设备和 iCloud 邮件系统之间的流量是加密的,但存储在邮件服务器未加密,该公司将其描述为”符合标准行业惯例”。当然,当您的电子邮件发送给收件人时,安全性的强度取决于链条中最薄弱的环节。

使用社交媒体、Slack 和其他消息应用程序,我们可能会觉得我们已经在使用电子邮件了,但事实是,我们的在线生活仍然依赖于它。除了与人沟通之外,密码重置、用户帐户和其他证明身份的方法等工具仍然依赖于电子邮件基础设施。

事实上,Apple 在 iOS 和 macOS 上确实支持名为 S/MIME 的电子邮件加密标准,但默认情况下并未启用它,并且设置它需要一些相当技术性的知识,涉及证书生成和安装配置文件,坦率地说,这超出了技术范围大多数普通用户的能力或兴趣。

不过,如果苹果真的想推动更安全的电子邮件,它肯定有能力这样做——至少在其邮件服务的用户之间,甚至在一些大型邮件提供商之间进行合作,例如谷歌和微软也是如此。工具的基础知识已经存在;它们只需要实施即可。

两个因素觉醒

对于那些致力于保护数据安全的人来说,双因素身份验证已成为必备条件。苹果在为自己的系统实现 TFA 以及通过提供自动填充功能,通过 SMS 文本消息使其更容易以其最常见的形式使用该系统方面做得相当扎实。

但是,由于欺骗电话号码相对容易,短信并不是最安全的身份验证载体,这一点变得越来越明显。相反,用户最好利用可以在设备本地生成此类代码的身份验证应用程序,例如 Authy、Google Authenticator 或 1Password。这种方法的缺点是它肯定不如短信方便,尤其是自动填充功能。

因此,也许苹果是时候将自己的 TFA 系统扩展到第三方了,甚至可能是一个验证器应用程序可以在提示时传递代码的系统,就像短信自动填充一样。此功能在某种程度上已经存在:例如,Authy 在某些情况下可以在请求时显示 TFA 代码。 (我只在我的 Twitch 帐户中看到过它,该帐户显然使用了 Authy 自己的 API。)Apple 似乎已经做好了改善用户 TFA 体验的准备,从而实现了罕见的安全性和便利性的提高。

坚持己见

但安全不仅仅与技术有关:它还与政策有关。苹果将​​安全和隐私作为优先事项固然很好,但展望未来,它需要加强这一点,不仅要坚持自己的立场(例如确保政府不能强迫它解锁设备),还要支持此类做法世界各地。

这对该公司来说将是一个挑战,因为其最大的市场之一以及大部分制造业的所在地是中国。苹果已经发现自己在中国政府的要求下删除应用程序而陷入困境;此外,其在中国大陆的 iCloud 服务为 由一家国内公司运营,而不是由 Apple 本身运营,这是一种尝试穿针引线看起来更像是试图逃避处理这种情况。

毫无疑问:苹果公司把很多鸡蛋都放在了中国这个篮子里,这使得它特别容易受到该国政府要求的影响。尽管苹果采取原则性立场在经济上不切实际(即使它愿意),但如果该公司想继续将隐私和安全作为其竞争优势之一,那么从长远来看,该公司最好寻找摆脱中国的方法。 。否则,公司就会显得只能说说而已。