freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

苹果推送iOS 14正式版,中科信安:你的信息安全正在被重视
2020-09-21 11:20:01
9月17日的苹果最新发布会大家都关注了吗?通过那么多科技博主的宣传解读,我们都知道了库克在大会上发布了苹果最新的Apple Watch和IPad Air,这无疑是令人激动的事情,但同时,库克还宣布了关于苹果系统的更新细则,请注意,这将是苹果王国又一个大迈步进入信息隐私保护的举措。
在苹果的最新发布会上,库克宣布iOS 14将于9月17日上线,这版系统将推迟到明年1月实施更严格的隐私保护功能。这次苹果的隐私更新主要由两方面构成,一是IDFA(Identifier for Advertising),二是剪切板。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvMDQxOTdhNWJiNjUzYTY0MDQ0NTMyNTI4MmVmMjc4MDAucG5n.png

什么是IDFA广告商识别符?

说白了就是广告主给每个排队进入网络的用户,贴上一个标签,可以跟踪这个用户在虚拟世界中行走路径。
在现实世界中,被跟踪了我们尚且可以怀疑对方是否为危险分子,并及时报警,使用法律手段维护自身利益,但在虚拟世界中,跟踪用户似乎已经成为了应用提供商们默认的潜规则,但是这当然是不被允许的。
每部苹果手机都有一个IDFA,被各大互联网公司用于跟踪用户行为、记录广告投放所获得的下载或购买转化次数,是广告主们支付广告费用的重要依据。而一旦用户拒绝,这部分个人信息将无法被获取,同时也意味着广告主无法延续既往的商业模式。
事实上,早在今年夏天,苹果就宣布将在iOS 14中更新这些功能。不过当时迫于广告主们的压力,宣布将实施日期由今年9月推迟到明年年初。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvZjI2NjQ0YjU1NDk5MjMwNzE5NzZlYzEyNjdlNWJjNWYucG5n.png
现在就让中科信安带您了解IOS 14和IPadOS 14的四个关于安全和隐私的功能。
第一个是当程序访问摄像头和麦克风时提醒用户,在苹果手机显示屏顶部会出现一个小点,绿色的点表示摄像头正在被访问,橙色的点表示麦克风访问。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvYTQ1NmQ4MWU3OTFhZjY0Mjg2MDM3MTY4ZWM0NzQzYzQucG5n.png
关于剪切板,人们熟知阿里电商App的“淘口令”,用户复制淘口令后打开淘宝App,就能自动收到该商品页的弹窗信息。
这个操作可以实现,正是因为淘宝读取了用户手机的剪贴板信息,识别出用户想要搜索的具体商品页。而iOS 14将实现一旦有应用在读取用户的剪贴板,系统就会通过弹窗告知用户,可以想见这些通知对同类App的影响有多大。
此前,iOS上的App可以未经允许在后台扫描用户复制在剪贴板里的内容,而且这个动作要么关闭,要么永远开启。iOS 14 beta版推出后,应用只要在后台扫描了剪贴板,系统就会弹窗提示用户。有已经更新了beta版的国内用户提到,自己的手机上有数十个应用在扫描自己的剪贴板。一旦频繁收到手机系统就隐私问题安全发出的弹窗,用户显然会对那些App产生反感。
在有些大公司里,所有读取用户剪贴板的业务都被内部的数据合规部找了出来,并被告知:如果业务(对剪贴板)没有强依赖、强需求,你就把这个去掉。完全没有办法去掉的,需要找到新的解决方案。
“就怕有的应用自己默默地去读剪贴板,用户在完全没做任何事的情况下,手机上突然跳出这么一个提示,这是会引起用户恐慌的。”某互联网公司数据合规部门的员工说。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvODFlNWVjMDRhMzliNDMwYWQ0ODVmYTcwOTQyZjU0NTMucG5n.png
第三个功能是对相册权限和地理位置权限的管理,iOS 14在这两个应用上都给用户提供了更多选项:用户可以只将部分照片提供给App读取,而不是“查看”或“不查看”两个极端选项;地理位置上,用户如果不乐意,也可以只向开发者提供模糊位置。
如果说前三个功能还只是小试牛刀地在信息安全方面对用户进行提醒,那接下来关于IDFA的基本上是直接按住了信息安全的命门。
iOS 14要求,只有在用户许可追踪后,开发者才能获取其IDFA,一旦用户拒绝,开发者就只能得到一串无效字符,这直接意味着每个应用将无法监测其广告投放效果。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvZjZkNzZlY2Q5YWY3NjRlNzY1YjUxYTBlMGE1MTVmYmEucG5n.png
在IDFA之前,苹果系统内的开发者曾可以直接调用苹果设备的设备ID,IMEI(International Mobile Equipment Identity,国际移动设备身份码),iOS 6的版本中,苹果在系统层面上线了IDFA,取代硬件层面的IMEI,并允许用户在“设置”菜单里打开“限制广告跟踪”。
这是一种系统层级的隐私管理,一旦关闭就不加分辨地停止了所有APP的权限。
iOS 14的迭代之处在于,它将IDFA的“限制广告跟踪”功能前置到了应用程序层面,使得用户可以对不同应用程序做出不同的隐私权限管理。
用户在下载一款App时,iOS 14就会跳出一个弹窗,上面的文案让所有广告商都感到头痛——“某某应用想要获得权限去追踪你在其他应用或网站的行为,你的数据将用来投放个性化广告。”在这个弹窗上,系统会给用户两个选择:“允许追踪”和“要求应用停止追踪”。
实上,6月22日的苹果开发者大会结束后,国内几家互联网大公司的数据合规部门都炸了锅。某些公司迅速组建了上百人的工作群,评估“IDFA新政”对公司广告生意的影响;并排查公司的所有应用,确认是否有条款触犯到苹果即将推出的iOS 14版本中与用户隐私相关的新规。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvYWMwZjliZmNmZWM4ZWQyMmZlNzRiMmRmNDViODQ3ZWMucG5n.png
所有以程序化广告——千人千面——为主要商业模式的互联网公司,全都在紧急处理这个“麻烦”。应对这个麻烦似乎比一年前应对安卓系手机厂商推出的ID权限改变还要更困难一点。
2019年,国内四大安卓系手机公司也曾对开发者关闭了查看用户设备ID的权限,不过它们给出了一个可变动ID,OAID(Open Anonymous Device Identifier,匿名设备标识符),作为替代方案,这个OAID可关闭,也可以被重置,用户如果愿意,可以每天都重置他在互联网上的数字身份。
这种可变动ID虽然有一定的生命周期限制,但还不至于动摇程序化广告的根基。
在虚拟世界里,跟踪行为一直被默许存在,苹果这一行为相当于是忽然在黑暗中拿出手电筒,照在每一个潜伏在暗处窃取用户数据资料的应用上,让所有窥视行为无处遁形。
aHR0cDovL3d3dy5qbHN6a3hhLmNvbS9xZnktY29udGVudC91cGxvYWRzLzIwMjAvMDkvNGI1Y2Y5Njg5MDQwZDI5NDAyMDQ5MDY3MDQ0ODNkMzgucG5n.png
在移动互联网快速发展的未来,人们必然会面临更多的机遇与挑战,但保障数据安全和信息安全的诉求却永远不变。

本文作者:, 转载请注明来自FreeBuf.COM

# 资讯 # 数据泄露 # 系统安全 # 数据安全 # 灰产圈
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑