Diez años de historia de la privacidad de Apple: productos cambiantes y sin cambios (3) y sentido común

Others 2021-03-18 18:32:08 views: null

Autor | Liu Hongshan, Gerente de Producto en la Nube de Huawei

Continuación del producto

Todo, desde su pasado, puede tener claro su presente, desde su presente, podrá inferir su futuro.

El Capítulo 2 categoriza las principales características de privacidad lanzadas por Apple en los últimos 10 años, y cree que el sistema de privacidad de Apple está construido de la siguiente manera: De acuerdo con los cuatro principios, tome la protección de seguridad en lugares invisibles para los usuarios, especialmente la protección de datos; en los datos que Los usuarios son los que más preocupan. En particular, construir un sistema de protección cada vez más sofisticado sobre datos privados, realizar una gestión y un control exhaustivos de la autoridad contra las aplicaciones y mejorar las funciones contra el seguimiento.

Para mostrar que esta ruta es general, podemos examinar las características de privacidad lanzadas recientemente por Apple: se lanzan 8 características, mientras que la categoría anti-aplicación cuenta con 5 y la categoría anti-seguimiento cuenta con 2 y sus funciones y descripciones. .Cumple perfectamente con la clasificación antes mencionada. Para más detalles, consulte la tabla siguiente.

1

 

(Principales características de privacidad lanzadas en 2020)

El reflejo de los principios de seguridad y el sentido común en el sistema de privacidad de Apple

Aunque el artículo anterior ha hecho hincapié en la construcción del sistema de privacidad de Apple, si se detiene aquí, parece ser demasiado superficial. El uso de este conocimiento para especular sobre la tendencia de desarrollo de la privacidad de Apple aún es poco profundo. Debido a estas características y los principios que sigue, Apple ha dicho públicamente en repetidas ocasiones que el marketing es muy importante. ¿Puede dejar de lado la apariencia del marketing y ver la naturaleza más profunda de la seguridad?

Tal vez dejando de lado las características específicas de privacidad, desde la perspectiva del macro sistema de privacidad, también podemos dibujar una lógica más esencial detrás de él. Estas lógicas son seguidas deliberadamente por Apple o principios básicos que no pueden pasarse por alto en el trabajo de seguridad. Y el sentido común. Los principios y el sentido común son la esencia que impulsa el desarrollo de las cosas. ¿Qué principios básicos de seguridad y sentido común satisface el sistema de privacidad de seguridad de Apple? Hay al menos cuatro.

El principio del barril

Este es el principio básico de todo diseño de seguridad y privacidad: la cantidad de agua en un cubo de madera no depende de la tabla más alta, sino de la más corta.

Entonces, ¿qué es un barril seguro para Apple? Obviamente, se trata de " protección del ciclo de vida de los datos ". Esto se puede saber por el hecho de que WWDC a lo largo de los años, especialmente en 2015, utilizó directamente la "protección del ciclo de vida de los datos" como modelo para proponer la arquitectura de privacidad de Apple.

2

 

(De la arquitectura de privacidad de la protección del ciclo de vida de los datos, WWDC 2015)

Según este principio, significa:

1. En términos de implementación técnica, Apple debería considerar las principales superficies defensivas para la protección del ciclo de vida completo de los datos del usuario y hacer todo lo posible para que ninguna de las superficies defensivas se convierta en deficiencias.

2. Una vez que cierta superficie defensiva se convierte en una deficiencia, todo el sistema de seguridad se vuelve inválido. Los teléfonos móviles y otros terminales están compuestos por una ecología de software y hardware compleja y enorme, y hay innumerables elementos de datos de usuario, sin mencionar cada vez que los datos fluyen hacia una escena de usuario. Existe la posibilidad de ser atacado y filtrado, y la superficie de defensa es casi ilimitada. Por lo tanto, solo puede elegir la superficie de defensa más crítica y más probable para mejorar, tomar algunas decisiones y hacer su mejor esfuerzo.

Por lo tanto, Apple eligió: (1) Proteger los datos que más preocupan a los usuarios (de gran importancia y fáciles de causar problemas) y controlar varios permisos de datos de privacidad que son "anti-aplicación"; (2) Para los más fácilmente criticados y criticado por los usuarios Se prohíbe el comportamiento de rastreo de las demandas colectivas, lo que se manifiesta como la prohibición de varios identificadores anticorrelación que son "anti-rastreo".

Por ejemplo, si amplía su pensamiento, y para las anti-aplicaciones, antes de que Apple haya mejorado gradualmente el control de autoridad de todo tipo de datos sensibles, ¿a dónde van los datos privados del usuario? Debe haber sido filtrado; para el anti-rastreo, de manera similar, los usuarios han sido rastreados por varias aplicaciones durante décadas.

La construcción del sistema de privacidad de Apple con anti-aplicación y anti-rastreo como núcleo solo se puede hacer "con el mejor esfuerzo": los que antes se filtraron, ahora intentan que no vuelvan a filtrarse; los que se rastrearon antes, ahora es un poco difícil de rastrear.

Hacer lo mejor que pueda y ser relativamente reconocido también está en línea con la intuición de los usuarios sobre el sistema de privacidad de Apple: no es que en el ecosistema de Apple no haya fugas o rastreo de privacidad, pero es mejor que otras plataformas. Los recientes incidentes de seguridad múltiples en el ecosistema de Apple también ilustran este punto.

Defensa en profundidad

La construcción de un sistema de seguridad, teóricamente, la superficie de defensa es ilimitada, en realidad, los recursos son limitados, la superficie de defensa clave aún se puede romper, luego el surgimiento de la defensa en profundidad: a través de posibles ataques Colocando múltiples superficies de defensa en el camino aumenta el costo de los ataques e incluso hace que los ataques sean imposibles. Lo mismo ocurre con la protección de la privacidad: diseñar una variedad de medidas de protección de la privacidad combinables hace que el ataque de "abusar de los datos del usuario" sea extremadamente costoso o imposible.

En la ruta de ataque del "abuso de los datos del usuario", ¿qué superficies de defensa clave ha construido Apple? En primer lugar, es el "recinto de seguridad de aplicaciones" lanzado en 2011, que controla la forma en que las aplicaciones obtienen datos; en 2011, se prohibieron varios identificadores que pueden asociarse de forma única con usuarios específicos, lo que encareció el seguimiento de los usuarios por parte de las aplicaciones; El sistema de autorización de usuarios basado en el sandbox está asociado de forma única con el usuario, lo que dificulta que las aplicaciones obtengan datos de usuarios a gran escala; incluso si se obtiene una determinada autorización de datos, se encuentra que cada dato se subdivide en diferentes autorizaciones. elementos y combinaciones Es un elemento de datos completo. Por analogía, al agregar múltiples "obstáculos" a la ruta de ataque de "abusar de los datos del usuario", el costo de las aplicaciones que abusan de los datos del usuario puede aumentar considerablemente.

Los usuarios suelen decir que "la seguridad de Apple se debe al cierre", que en realidad es la gestión y el control en profundidad del ecosistema de aplicaciones de Apple: autenticación de nombre real del desarrollador, firma de la aplicación, detección de privacidad y seguridad de la aplicación, las fuentes de terceros están prohibidas durante la aplicación. instalación- -Obtener datos para el control durante el uso de la aplicación (sandbox) -Violar la política de privacidad y eliminar de la lista, formando un circuito de control poderoso y profundo para la ecología de la aplicación. Es difícil imaginar la dificultad de superar tantos mecanismos para abusar del usuario datos. ¿Y de dónde viene la experiencia de usuario de un terminal? Obviamente de la aplicación en el terminal, y la mayoría de las aplicaciones son aplicaciones ecológicas de terceros. Por lo tanto, quien controle la ecología puede crear una experiencia de usuario buena y consistente. De lo contrario, no importa cuánto trabajen los fabricantes de terminales, las aplicaciones de terceros más utilizadas por los usuarios serán desordenadas y la experiencia del usuario se fragmentará, y el final El usuario pensará que los fabricantes de terminales no lo están haciendo bien o al menos no lo están controlando. En otras palabras, los usuarios suelen decir que "Apple es seguro porque está cerrado" es razonable, pero su "cerrado" es sólo la apariencia, y la esencia es un fuerte control ecológico.

Por lo tanto, ya sea para un gran sistema de privacidad o para problemas específicos de privacidad, no está mal seguir el principio de defensa en profundidad: centrarse en los aspectos principales de protección, aumentar el costo de ser violado y reducir la probabilidad de éxito. ataques. Por lo tanto, debemos prestar atención a identificar los enlaces de protección de la privacidad que son realmente "preocupados por el usuario" y "propensos a accidentes", y establecer superficies defensivas clave. ¿Cómo identificar? El sentido común y la atención del usuario son dos núcleos.

Responder a los usuarios

Pregunte al usuario, ¿qué datos cree que son sensibles? ¿Qué enlaces de flujo de datos son propensos a generar problemas?

Los usuarios generalmente pensarán que mientras sus datos sean confidenciales, las escenas donde aparecen sus datos son propensas a accidentes.

La mayoría de los usuarios no tienen experiencia en seguridad profesional, pero no es difícil obtener información de los usuarios para determinar qué datos y enlaces deben protegerse. Hay 2 categorías:

Un tipo se puede juzgar en función del sentido común de la vida , como la ubicación geográfica, las fotos y la información de transferencia. No es necesario que pregunte a los usuarios que son muy sensibles. Todos los usuarios esperan que los fabricantes puedan cumplir con su responsabilidad de protección. .

Un tipo es impulsado por incidentes de seguridad / hotspots , es decir, es posible que los usuarios no sepan que estos datos deben protegerse en absoluto. Ahora, después de la publicidad (educación) de los incidentes de seguridad / hotspots, de repente descubren que son sensibles, y los usuarios pensarán que se trata de datos confidenciales y que deben protegerse.

Los incidentes de seguridad / puntos de acceso también representan esencialmente las necesidades de los usuarios, por lo que los fabricantes deben usar tecnología para resolver estas necesidades en respuesta.

En cuanto a la respuesta a los usuarios, Apple es muy positiva y abundan los ejemplos.

Por ejemplo, la protección de Apple de la ubicación del usuario. En 2011 y 2014, Apple cayó en la "puerta de la ubicación" dos veces, y la ubicación se convirtió en un dato privado que preocupaba mucho a los usuarios. Por lo tanto, Apple ha estado iterando la protección de ubicaciones geográficas durante 10 años, y se está volviendo cada vez más estricta: a partir de 2012, los usuarios deben autorizar las aplicaciones para leer las ubicaciones de los usuarios; en 2014, los permisos de ubicación aumentaron "Permitir cuando se usan" "Siempre" Permitir ", el control del usuario se ha vuelto más refinado; en 2017, se agregó" permitido solo cuando está en uso ", y el control del usuario se refinó aún más; en 2019, se agregó" permitido solo una vez ", la autorización se refinó aún más y la ubicación de la llamada La aplicación se muestra de forma destacada en la barra de mensajes; para 2020, los usuarios pueden autorizar a la aplicación a difuminar la ubicación en lugar de la ubicación precisa anterior.

Por ejemplo, en 2016, Zuckerberg publicó una foto para celebrar el avance de Instagram, pero los internautas notaron que la cámara y el micrófono de la computadora Apple de Zuckerberg estaban cubiertos con cinta, lo que provocó una acalorada discusión. Pronto, Apple introdujo la función de privacidad de recordatorios de grabación y resaltado de video. Esto también muestra que, como geek, Xiaozha usa un método anti-violencia tan simple para evitar espiar. El usuario promedio no se da cuenta o no tiene medios técnicos, y es posible que solo pueda pegar una cinta. Por lo tanto, es realmente una responsabilidad importante para los fabricantes utilizar la tecnología de manera activa y transparente para responder a las necesidades de privacidad de los usuarios y disipar las preocupaciones de los usuarios.

Por otro ejemplo, en marzo de 2020, los medios extranjeros rompieron que cuando los usuarios de iOS encienden Zoom, su SDK de Facebook integrado enviará el modelo de teléfono móvil del usuario, el identificador único de publicidad y otra información a Facebook para cruzar la pista de los usuarios. Zoom está sujeto a una Demanda colectiva de usuarios. Apple lanzó el plan ATT para fortalecer el anti-seguimiento cruzado seis meses después.

Por otro ejemplo, en julio de 2020, LinkedIn de Microsoft fue objeto de una demanda colectiva por parte de un gran número de usuarios de Apple, alegando que LinkedIn obtuvo en secreto datos de usuario a través del portapapeles de Apple. Dos meses después, Apple introdujo una función de privacidad para monitorear el portapapeles.

En resumen, una de las fuentes más importantes del diseño de privacidad es la atención del usuario, que es completamente consistente con el sentido común de "incidentes de seguridad que impulsan las actualizaciones de seguridad" en el Capítulo 1.

Diseño de privacidad PbD

Hemos dicho repetidamente en el artículo anterior que aunque Apple está impulsando los " cuatro principios de privacidad ": protección de datos-transparencia y control-minimización de datos-procesamiento de datos locales , el diseño de privacidad de Apple todavía se ve afectado por muchos factores, como el anterior. a las preocupaciones de los usuarios, por ejemplo, para cumplir con GDPR-Cook elogió el papel de GDPR en la promoción de la protección de la privacidad global en un discurso de apertura de privacidad publicado en enero de este año. Se puede ver que Apple usa el RGPD internamente como un aporte importante para su sistema de protección de la privacidad: uno es evitar enormes multas y acciones colectivas, y ellos tienen que hacerlo; el otro es que el principio de privacidad por diseño (PbD) incluido en el RGPD es El estándar reconocido por la industria solo tiene beneficios para el RGPD, pero no perjudica.

La razón por la que GDPR incluye PbD es porque el Artículo 25 de GDPR estipula claramente PbD: Los controladores de información (como Apple) deben considerar los problemas de seguridad durante el diseño y operación del producto, y en todo el ciclo de vida del producto Para proteger a los usuarios informacion personal.

Al ponerse en contacto con la directora de privacidad global de Apple, Jane Horvath, dijo en diferentes ocasiones que Apple adopta PbD. En comparación con los ocho principios de privacidad de PbD, ¿cree que los cuatro principios de privacidad son solo un refinamiento de los ocho principios? Por supuesto, el PbD en sí mismo es un estándar de diseño sistemático de extremo a extremo para las medidas de protección de la privacidad, no solo unos pocos principios de protección.

34

 

(PbD ocho principios y ejemplos de protección de la privacidad, de la "Guía de ingeniería de seguridad de la información personal")

Comparando las características de privacidad lanzadas a lo largo de los años, de hecho está en línea con los requisitos de protección correspondientes de PbD. Tome el lanzamiento principal en 2020 como ejemplo.

5

 

(Ocho principios de protección de privacidad de PbD se reflejan en las funciones de privacidad de Apple)

En cuanto al método de implementación de ingeniería de PbD, no hay nada especial. Es similar al SDL de Microsoft: al comienzo del diseño del producto, participa un equipo de personas relacionadas con el producto, la investigación y el desarrollo, los asuntos legales y la privacidad. Desde el lanzamiento hasta la ejecución fuera de línea, se llevan a cabo evaluaciones de seguridad y privacidad y se agregan las medidas de seguridad y privacidad correspondientes, y se realizan evaluaciones e implementaciones repetidas.

Aquí, también encontramos que el control de datos de privacidad proporcionado por Apple a los usuarios, como varias ventanas emergentes autorizadas, son solo medidas de protección de privacidad proporcionadas en la fase de "operación del producto" de PbD, y los usuarios de otros aspectos de las medidas de protección de PbD lo hacen no sentirlo en absoluto, como Apple ¿Cómo conocen los usuarios las ideas y los esfuerzos al inicio del diseño del producto? Lo que sienten los usuarios es sólo la "punta del iceberg". La protección de la seguridad y la privacidad es un proyecto sistemático, lo que ves en la superficie es solo una pequeña parte y esto se ha confirmado nuevamente.

En resumen, PbD es un estándar de diseño confirmado repetidamente por Apple, que es más fundamental que los cuatro principios. Si queremos aprender de la filosofía de diseño de privacidad de Apple, en lugar de aprender de los cuatro principios, es mejor aprender directamente de la madre de los cuatro principios: PbD.

En este punto del análisis, tenemos una mayor comprensión de la ruta de construcción del sistema de privacidad de Apple: Apple se basa en los principios básicos de seguridad y el sentido común del principio del barril, defensa en profundidad, respondiendo a las preocupaciones de los usuarios y PbD, en algunos lugares. donde los usuarios no pueden ver. Realice un buen trabajo en la protección de la seguridad, especialmente la protección de datos; cree sistemas de protección cada vez más sofisticados sobre los datos que más preocupan a los usuarios, especialmente los datos privados, realice un control exhaustivo de la autoridad contra las aplicaciones y mejore características anti-seguimiento.

Para la mayoría de los fabricantes, esta ruta se puede utilizar casi directamente para guiar el desarrollo de características de privacidad, en lugar de permanecer en el nivel de hipótesis de análisis.

【Revisión pasada】

El primer problema: diez años de historia de la privacidad de Apple: cambio y sin cambios (1) mutación y marketing

El segundo problema: diez años de historia de la privacidad de Apple: cambios y productos y marketing sin cambios (2)

[Próxima vista previa] : Diez años de historia de la privacidad de Apple: cambio y experiencia sin cambios (4) y puntos de venta

 

>> Visite el sitio web oficial de Huawei Developer Alliance para obtener más información al respecto

>> Obtenga documentos de orientación de desarrollo

>> Dirección del almacén de código abierto del servicio móvil de Huawei: GitHub , Gitee

Síganos y conozca la información técnica más reciente de los servicios móviles de Huawei por primera vez ~

Supongo que te gusta

Origin blog.csdn.net/HUAWEI_HMSCore/article/details/114629127
Recomendado
Clasificación
Diario
Más
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)

Code World

© 2018 codetd.com