Auteur | Liu Hongshan Chef de produit Huawei Cloud
Suite sur le produit
Tout, de son passé, peut être clair sur son présent, de son présent, pourra en déduire son avenir.
Le chapitre 2 classe les principales fonctionnalités de confidentialité publiées par Apple au cours des 10 dernières années et estime que le système de confidentialité d'Apple est construit comme suit: selon les quatre principes, mettre en place la protection de la sécurité dans des endroits invisibles pour les utilisateurs, en particulier la protection des données; dans les données qui Les utilisateurs sont les plus concernés. En particulier, construire un système de protection de plus en plus sophistiqué sur les données privées, faire une gestion et un contrôle approfondis des autorités anti-application et améliorer les fonctionnalités anti-pistage.
Afin de montrer que cet itinéraire est général, nous pouvons examiner les fonctionnalités de confidentialité récemment publiées par Apple: 8 fonctionnalités sont publiées, tandis que la catégorie anti-application compte pour 5, et la catégorie anti-tracking compte pour 2 et leurs fonctions et descriptions. Il répond parfaitement à la classification ci-dessus. Pour plus de détails, veuillez vous référer au tableau ci-dessous.
(Principales fonctionnalités de confidentialité publiées en 2020)
Le reflet des principes de sécurité et du bon sens dans le système de confidentialité d'Apple
Bien que l'article précédent ait mis l'accent sur la construction du système de confidentialité d'Apple, si vous vous arrêtez ici, cela semble trop superficiel. L'utilisation de ces connaissances pour spéculer sur la tendance de développement de la vie privée d'Apple manque encore de profondeur. Parce que ces caractéristiques et les principes qu'il suit, Apple a répété publiquement à plusieurs reprises, le marketing est très important. Pouvez-vous mettre de côté l'apparence du marketing et voir la nature plus profonde de la sécurité?
Peut-être en mettant de côté des caractéristiques de confidentialité spécifiques, du point de vue du macro système de confidentialité, nous pouvons également tirer une logique plus essentielle derrière celui-ci. Ces logiques sont soit délibérément suivies par Apple, soit des principes de base qui ne peuvent être contournés dans les travaux de sécurité. Et le bon sens. Les principes et le bon sens sont l'essence même du développement des choses. À quels principes de sécurité de base et à quel bon sens le système de sécurité et de confidentialité d'Apple satisfait-il? Il y en a au moins quatre.
Le principe du canon
C'est le principe de base de toute conception de sécurité et de confidentialité: la quantité d'eau dans un seau en bois ne dépend pas de la planche la plus haute, mais de la plus courte.
Alors, qu'est-ce qu'un coffre-fort pour Apple? Il s'agit évidemment de la " protection du cycle de vie des données ". Cela peut être connu du fait que la WWDC au fil des ans, en particulier en 2015, a directement utilisé la «protection du cycle de vie des données» comme plan directeur pour proposer l'architecture de confidentialité d'Apple.
(De l'architecture de confidentialité de la protection du cycle de vie des données, WWDC 2015)
Selon ce principe, cela signifie:
1. En termes de mise en œuvre technique, Apple devrait considérer les principales surfaces défensives pour la protection complète du cycle de vie des données des utilisateurs, et faire de son mieux pour ne laisser aucune des surfaces défensives devenir des lacunes.
2. Une fois qu'une certaine surface défensive devient une lacune, l'ensemble du système de sécurité devient invalide. Les téléphones portables et autres terminaux sont composés d'une écologie logicielle et matérielle complexe et énorme, et il existe d'innombrables éléments de données utilisateur, sans parler de chaque fois que les données circulent vers une scène utilisateur. Il existe un risque d'attaque et de fuite, et la surface de défense est presque illimitée. Par conséquent, vous ne pouvez choisir que la surface de défense la plus critique et la plus probable à améliorer, faire des choix et faire de votre mieux.
Par conséquent, Apple a choisi: (1) Protéger les données qui préoccupent le plus les utilisateurs (très importantes et faciles à causer des problèmes), et contrôler diverses autorisations de données de confidentialité qui sont "anti-application"; (2) Pour les plus facilement critiquées et Le comportement de traçage des recours collectifs est interdit, ce qui se manifeste par l'interdiction de divers identifiants anti-corrélation qui sont «anti-pistage».
Par exemple, si vous élargissez votre réflexion, et pour les anti-applications, avant qu'Apple n'améliore progressivement le contrôle d'autorité de toutes sortes de données sensibles, où vont les données privées de l'utilisateur? Il doit avoir été divulgué; pour l'anti-pistage, de même, les utilisateurs ont été suivis par diverses applications pendant des décennies.
La construction du système de confidentialité d'Apple avec anti-application et anti-pistage comme noyau ne peut être réalisée que par le "meilleur effort": ceux qui ont déjà été divulgués, essayez maintenant de ne pas les laisser fuir à nouveau; ceux qui ont été suivis auparavant, maintenant c'est un peu difficile à suivre.
Faire de son mieux et être relativement reconnu est également conforme à l'intuition des utilisateurs concernant le système de confidentialité d'Apple: ce n'est pas que dans l'écosystème Apple, il n'y a pas de fuite ou de suivi de la confidentialité, mais c'est mieux que d'autres plates-formes. Les récents incidents de sécurité multiples dans l'écosystème Apple illustrent également ce point.
Défense en profondeur
La construction d'un système de sécurité, théoriquement, la surface de défense est illimitée, en réalité, les ressources sont limitées, la surface de défense clé est encore possible d'être violée, puis l'émergence de la défense en profondeur: à travers d'éventuelles attaques Mise en place de multiples surfaces de défense sur le chemin augmente le coût des attaques et rend même les attaques impossibles. Il en va de même pour la protection de la vie privée: la conception d'une variété de mesures combinables de protection de la vie privée rend l'attaque «d'abus des données des utilisateurs» extrêmement coûteuse, voire impossible.
Sur le chemin de l'attaque de «l'abus de données utilisateur», quelles surfaces de défense clés Apple a-t-il construites? Tout d'abord, c'est le «bac à sable d'application» sorti en 2011, qui contrôle la manière dont les applications obtiennent les données; en 2011, divers identifiants pouvant être associés de manière unique à des utilisateurs spécifiques ont été interdits, ce qui a rendu plus coûteux le suivi des utilisateurs par les applications; Le système d'autorisation de l'utilisateur basé sur le bac à sable est associé de manière unique à l'utilisateur, ce qui rend plus difficile pour les applications d'obtenir des données utilisateur à grande échelle; même si une certaine autorisation de données est obtenue, on constate que chaque donnée est subdivisée en une autorisation différente. éléments et combinaisons Il s'agit d'un élément de données complet. Par analogie, en ajoutant plusieurs «barrages routiers» au chemin d'attaque de «l'abus des données des utilisateurs», le coût des applications abusant des données des utilisateurs peut être considérablement augmenté.
Les utilisateurs disent souvent que «la sécurité d'Apple est due à la fermeture», ce qui est en fait la gestion et le contrôle approfondis par Apple de l'écosystème des applications: l'authentification par le nom réel du développeur-signature de l'application-sécurité de l'application et détection de la confidentialité-les sources tierces sont interdites pendant l'application. installation- -Obtention de données pour le contrôle lors de l'utilisation de l'application (sandbox) -Violage de la politique de confidentialité et radiation de la liste, formant une boucle de contrôle puissante et approfondie pour l'écologie de l'application. Il est difficile d'imaginer la difficulté de surmonter tant de mécanismes pour abuser de l'utilisateur Les données. Et d'où vient l'expérience utilisateur d'un terminal? De toute évidence, à partir de l'application sur le terminal, et la plupart des applications sont les applications écologiques tierces. Par conséquent, quiconque contrôle l'écologie peut créer une expérience utilisateur cohérente et satisfaisante. Sinon, quel que soit le travail des fabricants de terminaux, les applications tierces les plus couramment utilisées par les utilisateurs seront compliquées et l'expérience utilisateur sera fragmentée, et la fin l'utilisateur pensera que les fabricants de terminaux ne font pas bien ou du moins contrôlent mal. En d'autres termes, les utilisateurs disent souvent que «Apple est sûr parce qu'il est fermé» est raisonnable, mais son «fermé» n'est que l'apparence, et l'essence est un contrôle écologique fort.
Par conséquent, que ce soit pour un grand système de protection de la vie privée ou pour des problèmes de confidentialité spécifiques, il n'est pas faux de suivre le principe de la défense en profondeur: se concentrer sur les principaux aspects de la protection, augmenter le coût d'une violation et réduire la probabilité de succès. attaques. Par conséquent, nous devons prêter attention à l'identification des liens de protection de la vie privée qui sont vraiment «préoccupés par l'utilisateur» et «sujets aux accidents», et établir des surfaces défensives clés. Comment s'identifier? Le bon sens et l'attention de l'utilisateur sont deux cœurs.
Répondre aux utilisateurs
Demandez à l'utilisateur, quelles données pensez-vous être sensibles? Quelles liaisons de flux de données sont sujettes à des problèmes?
Les utilisateurs penseront généralement que tant que leurs données sont sensibles, les scènes où leurs données apparaissent sont sujettes à des accidents.
La plupart des utilisateurs n'ont pas d'expérience professionnelle en matière de sécurité, mais il n'est pas difficile d'obtenir des commentaires des utilisateurs pour déterminer les données et les liens à protéger. Il existe 2 catégories:
Un type peut être jugé en fonction du bon sens de la vie , comme l'emplacement géographique, les photos et les informations de transfert. Vous n'avez pas besoin de demander aux utilisateurs de savoir qu'ils sont très sensibles. Les utilisateurs espèrent tous que les fabricants pourront assumer leur responsabilité en matière de protection. .
Un type est motivé par des incidents / hotspots de sécurité , c'est-à-dire que les utilisateurs peuvent ne pas savoir que ces données doivent être protégées du tout. puis les utilisateurs penseront que ce sont des données sensibles et doivent être protégées.
Les incidents / hotspots de sécurité représentent également essentiellement les besoins des utilisateurs, les fabricants doivent donc utiliser la technologie pour répondre à ces besoins.
En termes de réponse aux utilisateurs, Apple est très positif et les exemples abondent.
Par exemple, la protection par Apple de la localisation de l'utilisateur. En 2011 et 2014, Apple est tombé deux fois dans la «porte de l'emplacement», et l'emplacement est devenu une donnée privée qui préoccupait beaucoup les utilisateurs. Par conséquent, Apple réitère la protection des emplacements géographiques depuis 10 ans, et elle devient de plus en plus stricte: à partir de 2012, les applications doivent être autorisées par les utilisateurs à lire les emplacements des utilisateurs; en 2014, les autorisations de localisation ont augmenté "Autoriser en cas d'utilisation" "Toujours" Autoriser ", le contrôle utilisateur est devenu plus raffiné; en 2017," autorisé uniquement lors de l'utilisation "a été ajouté, et le contrôle utilisateur a été encore affiné; en 2019," autorisé une seule fois "a été ajouté, l'autorisation a été encore affinée et l'emplacement de l'appel L'application est affichée bien en vue sur la barre d'invite; d'ici 2020, les utilisateurs peuvent autoriser l'application à brouiller l'emplacement au lieu de l'emplacement précis précédent.
Par exemple, en 2016, Zuckerberg a publié une photo pour célébrer la percée d'Instagram, mais les internautes ont remarqué que la caméra et le microphone de l'ordinateur Apple de Zuckerberg étaient recouverts de ruban adhésif, ce qui a provoqué une discussion animée. Bientôt, Apple a introduit la fonction de confidentialité des rappels d'enregistrement et de mise en évidence vidéo. Cela montre également qu'en tant que geek, Xiaozha utilise une méthode anti-violence aussi simple pour empêcher les regards. L'utilisateur moyen ne s'en rend pas compte, ou n'a aucun moyen technique, et peut seulement être capable de coller un ruban adhésif. Par conséquent, il est vraiment important pour les fabricants d'utiliser la technologie de manière active et transparente pour répondre aux besoins de confidentialité des utilisateurs et dissiper les préoccupations des utilisateurs.
Pour un autre exemple, en mars 2020, des médias étrangers ont déclaré que lorsque les utilisateurs d'iOS activaient Zoom, son SDK Facebook intégré enverrait le modèle de téléphone mobile de l'utilisateur, l'identifiant unique de la publicité et d'autres informations à Facebook pour croiser les utilisateurs. Zoom est soumis à un recours collectif des utilisateurs. Apple a lancé le plan ATT pour renforcer l'anti-cross-tracking six mois plus tard.
Pour un autre exemple, en juillet 2020, LinkedIn de Microsoft a fait l'objet d'un recours collectif par un grand nombre d'utilisateurs Apple, affirmant que LinkedIn obtenait secrètement des données utilisateur via le presse-papiers d'Apple. Deux mois plus tard, Apple a introduit une fonction de confidentialité pour surveiller le presse-papiers.
En bref, l 'une des sources les plus importantes de la conception de la protection de la vie privée est l' attention des utilisateurs, qui est tout à fait conforme au sens commun des «incidents de sécurité entraînant des mises à niveau de sécurité» au chapitre 1.
Conception de confidentialité PbD
Nous avons répété à plusieurs reprises dans l'article précédent que bien qu'Apple pousse les « quatre principes de la confidentialité »: protection des données-transparence et contrôle-minimisation des données-traitement des données locales , la conception de la confidentialité d'Apple est toujours affectée par de nombreux facteurs, tels que ce qui précède. aux préoccupations des utilisateurs, par exemple, pour répondre au RGPD, Cook a fait l'éloge du rôle du RGPD dans la promotion de la protection mondiale de la vie privée dans un discours d'ouverture sur la confidentialité publié en janvier de cette année. On peut voir qu'Apple utilise le RGPD en interne comme une entrée importante pour son système de protection de la vie privée: l'un est d'éviter d'énormes amendes et les recours collectifs, et ils doivent le faire; l'autre est que le principe de confidentialité dès la conception (PbD) inclus dans le RGPD est La norme reconnue par l'industrie n'a que des avantages pour le RGPD, mais pas de mal.
La raison pour laquelle le RGPD inclut la PbD est que l'article 25 du RGPD stipule clairement la PbD: les contrôleurs d'informations (comme Apple) doivent prendre en compte les problèmes de sécurité lors de la conception et de l'exploitation du produit, et pendant tout le cycle de vie du produit Pour protéger les utilisateurs. renseignements personnels.
En contactant la directrice mondiale de la protection de la vie privée d'Apple, Jane Horvath, a déclaré à différentes occasions qu'Apple adoptait la PbD. Par rapport aux huit principes de confidentialité de la PbD, pensez-vous que les quatre principes de confidentialité ne sont qu'un raffinement des huit principes? Bien sûr, la PbD elle-même est une norme de conception systématique et de bout en bout pour les mesures de protection de la vie privée, et pas seulement quelques principes de protection.
(PbD huit principes et exemples de protection de la vie privée, tirés du "Personal Information Security Engineering Guide")
En comparant les fonctionnalités de confidentialité publiées au fil des ans, il est en effet conforme aux exigences de protection correspondantes de la PbD. Prenons l'exemple de la version principale de 2020.
(Huit principes de protection de la confidentialité PbD sont reflétés dans les fonctionnalités de confidentialité d'Apple)
En ce qui concerne la méthode de mise en œuvre de l'ingénierie de PbD, il n'y a rien de spécial. Elle est similaire au SDL de Microsoft: au début de la conception du produit, une équipe de personnes liées au produit, à la recherche et au développement, aux affaires juridiques et à la confidentialité est impliquée. Des tests du lancement à l'exécution hors ligne, des évaluations de sécurité et de confidentialité sont effectuées et des mesures de sécurité et de confidentialité correspondantes sont ajoutées, et des évaluations et des mises en œuvre répétées sont effectuées.
Ici, nous avons également constaté que le contrôle des données de confidentialité fourni par Apple aux utilisateurs, tels que diverses fenêtres contextuelles autorisées, ne sont que des mesures de protection de la vie privée fournies dans la phase de «fonctionnement du produit» de PbD, et que les utilisateurs d'autres aspects des mesures de protection de la PbD le font pas du tout ressentir, comme Apple Comment les utilisateurs connaissent-ils les idées et les efforts au début de la conception du produit? Ce que les utilisateurs ressentent n'est que la «pointe de l'iceberg». La sécurité et la protection de la vie privée sont en effet un projet systématique. Ce que vous voyez à la surface n'est qu'une petite partie, et cela a été confirmé à nouveau.
En bref, la PbD est une norme de conception confirmée à plusieurs reprises par Apple, ce qui est plus fondamental que les quatre principes. Si nous voulons apprendre de la philosophie de conception de confidentialité d'Apple, au lieu d'apprendre des quatre principes, il vaut mieux apprendre directement de la mère des quatre principes: la PbD.
À ce stade de l'analyse, nous avons une meilleure compréhension de l'itinéraire de construction du système de confidentialité d'Apple: Apple est basé sur les principes de sécurité de base et le bon sens du principe du baril, une défense en profondeur, répondant aux préoccupations des utilisateurs et à la PbD, par endroits où les utilisateurs ne peuvent pas voir. Faites du bon travail dans la protection de la sécurité, en particulier la protection des données; créez des systèmes de protection de plus en plus sophistiqués sur les données qui préoccupent le plus les utilisateurs, en particulier les données privées, contrôlez en profondeur les autorités anti-application et fonctionnalités anti-pistage.
Pour la plupart des fabricants, un tel itinéraire peut être utilisé presque directement pour guider le développement des fonctionnalités de confidentialité, plutôt que de rester au niveau des hypothèses d'analyse.
【Examen passé】
Le premier numéro: Dix ans d'histoire de la vie privée d'Apple: changement et mutation et marketing inchangés (1)
Le deuxième numéro: Dix ans d'histoire de la vie privée d'Apple: changement et marketing et produits inchangés (2)
[Aperçu suivant] : Dix ans d'histoire de la vie privée d'Apple: changement et expérience et arguments de vente inchangés (4)
>> Visitez le site officiel de Huawei Developer Alliance pour en savoir plus
>> Obtenez des documents d'orientation de développement
>> Adresse de l'entrepôt open source du service mobile Huawei: GitHub , Gitee
Suivez-nous et découvrez pour la première fois les dernières informations techniques des services mobiles Huawei ~