蘋果 Safari 隱私爭議,不只是檯面上的資安議題

蘋果日前爆出的騰訊隱私爭議,可視為使用者對近期蘋果不斷對中讓步的反擊。
評論
▲Photo Credit: Shutterstock/ 達志影像
評論

蘋果公司近期爆出的隱私爭議,與其說是資訊安全議題,不如說摻雜了政治性意味的公關危機議題。而這些爭議引起的騷動,也可視為使用者對近期蘋果不斷對中國政府讓步的反擊。

蘋果同時採用 Google、騰訊資料庫

近期蘋果公司爆出使用者用 Safari 瀏覽器「詐騙網站警告」功能瀏覽網站時,會自動傳送 IP 位址等隱私資訊,再與 Safari 採用的外部安全瀏覽程式來交叉比較外部黑名單網站。過去蘋果公司通常採用 Google 安全瀏覽程式,但近期承認也採用騰訊( Tencent )安全瀏覽的黑名單資料,引起美國用戶騷動。

    推薦閱讀:蘋果 Safari 瀏覽器會發送使用者隱私資訊給騰訊!

據了解,雖然安全瀏覽程式所建立的黑名單資料對使用者有示警功能,但如果將它用來追蹤使用者,也可以讓瀏覽器自動提交使用者點擊過的每個網頁,並建立一個與 IP 位址連結的完整網路使用行為日誌。

但根據 The Verge 報導,蘋果雖然承認 Safari 瀏覽器採用 Google 和騰訊的安全瀏覽程式,但這兩家公司都沒有從 Safari 獲得任何用戶的網路使用行為資料。蘋果發布聲明指出,當啟用 Safari 瀏覽器的「詐騙網站警告」功能後,Safari 只會根據已知網站列表來檢查網頁的 URL(Uniform Resource Locator),並在用戶將造訪惡意網站時跳出警告。Safari 從 Google 獲得這些已知惡意網站的列表,而對區域代碼設置在中國大陸區域的狀況,則改從騰訊接收這些已知惡意網站列表。

蘋果聲稱,使用者可以自行關閉該功能;就算啟用,其所造訪網站的實際 URL 並不會與 Google 或騰訊共享。

從資安角度看:第三方網站很難取得完整 URL

ZDNet 也報導,不論是 Google 或騰訊,他們安全瀏覽程式的運作流程都是:先將惡意網站資料庫的副本傳送到使用者的瀏覽器,再讓瀏覽器依據資料庫來檢查使用者將造訪網站的 URL,因此流量是從外部傳入,並未與 Google 或騰訊接觸;此外,只有在無法使用 Google 網域的中國大陸境內,才會開啟騰訊的惡意網站黑名單列表。

約翰.霍普金斯大學密碼學家 Matthew Green 也詳細說明瀏覽器與外部安全瀏覽程式相互合作的複雜關係。首先,Google 安全瀏覽程式會將每個危險網站轉成「雜湊值」(Hash),再取雜湊值最前面的一些子字串,也就是「前綴」,將前綴發送給 Safari。

接下來,當使用者造訪網站時,Safari 也會對把網站的 URL 轉成雜湊值,並與 Google 所送來的惡意網站雜湊值前綴清單交互比對。如果前綴值匹配成功,Safari 會進一步請Google 提供該前綴詞的完整雜湊值,假使 Safari 再次比對後發現完全一樣,這個網站就會被標記為惡意網站並跳出示警。

從這段流程來看,雖然像 Google 安全瀏覽器這樣的第三方業者永遠不會看到完整的 URL 雜湊值,但當 Safari 找到可匹配的前綴值,並要求 Google 提供完整雜湊值時,此時 Safari 不只會呈現使用者將造訪網站的部分雜湊值,也會顯示他們的 IP 位址。

Matthew Green 認為,如果第三方合作廠商是誠信經營,那就可在保護隱私下有效制止使用者造訪惡意網站;但倘若廠商有心追蹤用戶的網路使用行為,就算只取得小部分資訊,日積月累下也可能入侵使用者的資訊、隱私安全。雖然他沒有表明騰訊是否嘗試追蹤使用者,但仍呼籲蘋果公司應該公開更多細節,避免大眾恐慌。

從政治角度來看:近期不斷對中讓步,引發網友不滿

評論認為,這件事情之所以會引爆網友負面騷動,是因為近期蘋果公司不斷對中國政府讓步,早已累積許多歐美網友不滿。例如,知名抗爭地圖 App「HKmap.live」,在香港反送中運動中可幫當地民眾避開警察檢查駐點,但蘋果公司上週卻將之從 App Store 上移除;此外,之前香港版跟澳門版的 iPhone 系統更新後,也把台灣國旗從 Emoji 表情符號中拿掉。

    推薦閱讀:香港抗爭地圖 HKmap 二度下架!庫克內部信指惡意用於襲警

    推薦閱讀:隨反送中越演越烈,中華民國國旗 emoji 在港版 iPhone「被蒸發」

雖然蘋果公司對外經常號稱自家產品的隱私、安全性遠遠高於競爭對手,但近期對中國政府讓步的種種行徑,似乎也成為這間公司的明顯弱點。

延伸閱讀:

核稿編輯:Mia



上雲猶如太空探險之旅,iKala Cloud AIOps Services協助企業輕鬆穿梭多雲環境

人類從上個世紀積極探索外太空,為了將太空人送上天際必須克服各式挑戰,而現代企業要從「地端」飛向「雲端」,困難程度有過之而無不及。iKala Cloud AIOps Services 提供多項關鍵服務,幫助 IT 團隊輕鬆悠遊多雲環境。
評論
評論

探索外太空,曾經是國際間的科技競賽,近年 Tesla 創辦人馬斯克更準備把太空旅行當成商業服務,預計 2026 年要帶著人類登陸火星。完成一趟星際旅行,需仰賴嶄新的科技及跨科學精密計算,但你知道嗎?現代企業要從「地端」飛上「雲端」,其實挑戰程度不亞於飛向太空。

對企業資訊管理者來說,有限的 IT 資源無法應付繁重的維運項目,加上同時管理公私有雲架構更顯困難、資安管理複雜,例如需要人工執行過濾警示,各種大大小小挑戰不勝枚舉。換言之,企業想航行雲端,就像打造火箭需要龐大資源及人力。不過,現在有更輕鬆穿梭雲端的方式,就是使用雲端技術服務商 iKala 所提供的 AIOps Services(自動化雲端託管服務)

火箭升空前的全盤規劃:iKala AIOps 擬定系統架構規劃、教育訓練

完成一趟太空之旅,必須做足各種研究,例如精準計算飛行軌道、降落定位點、燃料耗用數、與地球通訊設定…等。

對沒有雲端架構經驗的企業來說,就如同當時的科學家,必須用土法煉鋼的方式檢查數據是否有誤。換言之,企業 IT 在升級之前,就需要有經驗的「雲端顧問」來釐清需求、協助規劃「升雲」之旅。而 iKala 就是企業的最佳雲端顧問,旗下 iKala Cloud AIOps Services 會搭配一位專責的技術客戶經理,協助企業提供即時的技術服務與專業建議。

究竟 IT 升級之前,iKala Cloud AIOps Services 有哪些服務?首先是「系統設計規劃」,涵蓋系統架構規劃書、系統上線/遷移計畫書,可因應客戶產業需求,提供對應的解決方案以及顧問服務。而越來越多企業會使用到 Google 的雲端資源,iKala 也有提供 Google 雲端平台訓練服務。

GCP 教育訓練課程多元,包含 GCP 基礎架構(網路設定規劃、權限控管、計算資源等)、大數據與機器學習(大數據分析 Pipeline、BigQuery、ML 模型訓練與應用)、軟體開發技術與流程(容器化、CI/CD、DevOps)等。因為 iKala 團隊取得 10 多項 Google 專業技術證照,才能在企業規劃雲端轉型的前期就一步到位,規劃出整體藍圖,提供更全面的解決方案建議。

火箭升空中的精密操作:iKala AIOps 輔助即時技術維運、資安管理

當火箭準備就緒、升空倒數之際便是決定這趟太空之旅能否成功的關鍵時刻。從太空人的行前訓練與身體檢查,到火箭的引擎測試完成,如果有靜電或一點火花都可能引發爆炸事故。光是在升空階段,太空總部就要有結構、熱控、姿態控制、資料處理、電能、遙傳指令、推進以及飛行軟體等龐大的系統工程師在旁待命。

換言之,企業 IT 移轉雲端過程就像火箭發射的當下,需要有專業、經驗足夠的工程師,才能即時協助企業順利上雲,甚至快速排除緊急的狀況。對此,iKala Cloud AIOps Services 提供兩大關鍵的幫助:技術維運、資訊安全管理。

iKala Cloud AIOps Services 的技術維運服務內容,提供 7 x 24 的 Help Desk,像是緊急 GCP 問題報修、產品使用技術諮詢;或是事故管理,如搭建監控系統、設定規劃告警政策、規劃日誌收集與留存。每月也會提供企業維運報告,報告書有營運效率檢討、流程優化、新服務項目、營運系統建議等。

至於資訊安全管理方面,除了基本的 GCP 專案權限控管掃描、應用程式 OWASP(Open Web Application Security Project)前 10 大項目資安弱點掃描,同時也針對近年相當受重視的 DDoS 防護,iKala 可協助企業導入 GCP 平台的 DDOS 防禦機制。iKala 掌握多年軟體開發和雲端管理經驗,可分享給客戶 DevOps、AI 第一手實務的作法與經驗。

火箭升空後啟動自動導航:iKala AIOps 提供 AI 自動化監控、帳務管理

當火箭成功升空後,太空人為了執行下一階段任務,這時候火箭就需要轉換成自動駕駛模式,或在探索其他星球時,出動機器人來協助執行人力無法負荷的任務,讓太空人專心處理更關鍵的工作。換言之,上雲後的 IT 架構就像升空後的火箭,應該減少 IT 人員的負擔,甚至不需浪費例行時間,就能夠快速掌握整體資訊系統的運作狀況。

不過要讓 IT 架構像火箭具備自動駕駛功能,勢必需要相當高的技術門檻,而 iKala Cloud AIOps Services 正好有相對應的服務。如此一來,IT 人員的生產力就能投入在更具商業價值的研發專案,讓 IT 部門轉型成可創造產值的單位,而非單純的後勤支援角色。

盤點 iKala Cloud AIOps Services 在此環節共有三大類服務。其中一項是 AI 自動化監控與通報服務,幫助 IT 成員主動監控系統,掌握是否有異常操作狀況。其二是帳務方面的管理,幫助企業產出雲端服務月用量帳務分析報告,針對軟體授權需求,整合出帳至  Marketplace 與第三方服務商,自動化做到 License 採購管理。

第三項則是針對服務級別協定(SLA)iKala Cloud AIOps Services 提供 24 x 7、5 x 8 兩種模式,在重大 GCP 服務異常中斷服務時,提供電話、e-mail 聯繫。而且每月會舉辦 1 次月會(以 on-site 或遠端視訊會議方式)提交書面報告。目前 iKala 的企業客戶服務超過 400 多家、涵蓋數 10 種產業,可說是企業成功上雲,最能安心託付的合作夥伴。 

事實上,雲端託管服務(CMS)是目前最夯的新趨勢,根據市調公司 MarketsandMarkets Research 報告指出,全球雲端託管服務的市場規模,預計從 2020 年的 624 億美元,到 2025 年成長至 1,162 億美元,複合年增長率(CAGR)為 13.3%。代表未來有大量企業採用 CMS,以降低 IT 基礎設施的投資成本及風險,藉此提升企業營運的競爭力。

由此看來,企業的數位轉型,就像上個世紀的太空軍備競賽一樣。「時間就是決勝點」,越晚起步的公司與其他數位能力領先群的企業相比,差距只會越來越大。現在就攜手 iKala 嘗試 iKala Cloud AIOps Services,打造穩定的 IT 系統、邁向數據驅動的商業模式,讓企業在數位世代站穩腳步,輕鬆穿梭多雲之間。

了解更多 iKala Cloud AIOps Services