如果你很認真地在乎隱私 — 尤其如果你對美國國安局的監控有感,那就別再用蘋果的產品了。Windows、Linux、各家手機等等其他資訊產品的隱私漏洞也不少, 但(除了小格特別為文探討的案例之外)多半可以用粗心的疏失解釋過去;至於蘋果產品侵犯用戶的隱私問題,則是其設計文化歷來不曾改變的一部分。除了過往的許多案例,十月份爆開的「iCloud 如影隨形追蹤你的編輯」這件事後,讓我們更加確定: 蘋果電腦最用心的,是如何如影隨形地偷偷追蹤著你的一舉一動,而不是保護你的隱私。
不,這篇要談的並不是陰謀論看女星 iCloud 私密照外洩事件。這件事似乎是肇因於 iCloud 欠缺密碼延遲機制,讓潰客有機會採用暴力嘗試所有密碼。這可以單純地解釋成 iCloud 設計人員疏失,沒有足夠的跡象顯示蘋果有任何陰謀,更沒道理忽視蘋果自己的bug,硬拗成是別人的陰謀。
今天要談的問題是continuity/handoff功能:你編輯到一半的e-mail或文件內容,會自動上傳到iCloud。(還有,通訊錄也會自動上傳。) 就像google doc一樣,你完全不需要手動存檔。換一部Mac裝置繼續使用時,很方便地就可以接續著剛才做到一半的事往下做。問題是:當你在用google doc時,你很有意識地知道資料在雲端;但當你使用Mac電腦編輯自己硬碟上的檔案時,你心中自然的預期是:我沒上傳檔案,很安全。然後你就毀了。試想:自從iCloud女星私密照外洩事件之後,你聽從建議,不要把重要私密資訊存放在任何公司的雲端產品上。所以你照了相片之後,只會在自己的iPad上面用pixelmator編輯存檔。因為你並沒有另一部Mac裝置,所以也就沒注意到/享用到好用的同步功能,但其實你所有編修過的相片都已經自動上傳到iCloud上面。下一次iCloud被入侵,你將完全無法理解為何自己也會受害。
撇開更高深的技術不談,任何一家重視客戶隱私與資訊安全的公司,至少都應該做到這幾件事:
- 「有洩漏隱私疑慮」的各種設定,應該預設關閉,讓使用者手動啟動(opt-in),而不是預設開啟,讓使用者手動關閉(opt-out)。
- 應該要有一個總開關,很簡單地就可以關閉。
- 上傳之前,應該用你自己的密碼加密,而不是上傳之後,用蘋果的密碼幫你加密。
但是蘋果電腦對於上述每一項都做了相反的設計。所以(1)如果你沒有特別注意,所有編輯到一半資料會自動上傳、所以(2)我無法很簡單地告訴你如何關閉這個功能、也因此(3)NSA或美國其他政府單位照樣有能力向蘋果調閱你編輯到一半的檔案。詳見最早報導的Jeffrey Paul及iTWire的評論。如果你想關閉此功能,或許可以參考Michael Tsai的評論 — 他對蘋果的知識顯然遠多於我;他的評論也傾向相信蘋果沒有惡意。不過關於如何關閉此功能,他在後來追加的段落當中也承認一開始他猜錯了,似乎不太有把握是否真的完全關閉。Pseric的中文教學看來很讚;但這篇文章寫於Yosemite推出、Jeffrey Paul爆料之前,不知是否足夠。
順帶一提,iCloud的另一個資安問題,是「Two-Factor Authentication」(簡稱 2FA)並沒有像蘋果電腦所宣稱地那麼安全。2FA 是指除了密碼之外,還加上硬體認證:「目前意欲存取敏感資訊的裝置」必須確實是用戶自己平時常用的裝置,蘋果才會提供/處理敏感資訊。但是根據The Unofficial Apple Weblog及Elcomsoft的報導,蘋果的2FA設計得…怪怪的。微軟與google的2FA都是在用戶想要採用新的、微軟/google 不認得的裝置登入時,要求用戶必須採取第二種方式驗證身份。但蘋果的2FA則是在用戶想要登入管理 Apple 帳戶、用戶想用新的裝置購物、用戶想要取得Apple ID相關服務這三種情況下,會需要採取第二種方式驗證身份。根據這兩篇文章,iCloud的資料並不在 2FA的保護範圍之內。也就是說,惡意入侵者只需要你的帳密,不需取得你的裝置,照樣能夠取得你存放在iCloud的資料。比較寬容的解釋是:對於不涉及金錢交易的資訊,蘋果電腦犧牲安全換取便利;另一種解釋是:蘋果只做了半調子的安全管理(Elcomsoft的用語);比較陰謀論的解釋則是:蘋果在乎的是「它如何能夠利用實體裝置來追蹤你」,而不是「你如何能夠利用實體裝置來加強保護隱私、阻止潰客入侵」。不論你相信哪一種解釋,至少可以確信的是:蘋果電腦設計文化當中,顯然還有其他某些事情比「保護用戶隱私」更重要許多。
我挑戰微軟廿年;近幾年才開始注意蘋果電腦。分析過iMessage後門、各國政府用finfisher竊聽、指紋解鎖等等事件之後,我得到一個結論。如果說微軟像胖虎,那麼蘋果比小夫陰險一百倍。給我一小時,或許就能夠讓那些不懂電腦的人多少也理解微軟的惡霸;但是如果沒有聽我上個五六小時的課(從隱私攻防觀念開始講起)恐怕很難讓他看見蘋果的陰險。Continuity/handoff的例子,又是一個難以用「不小心的疏失」解釋得過去的蘋果陰險案例。
但就算你相信蘋果沒有惡意,就算你把本文當中貴哥的個人主觀意見都刪除掉,最起碼你應該知道兩件事:(1)iCloud不是存放隱私資料的好地方;(2)如果你不希望蘋果電腦如影隨形、不希望它把你的日常圖/文/影/音編輯記錄一舉一動隨時上傳到iCloud上,那麼你還需要多做一些功課;看來不是那麼簡單。讀者如果搜尋到詳細的Yosemite + iCloud隱私保護中英教學文,歡迎留言分享網址(請簡單摘要或至少有標題,才能吸引大家點進去看哦)。有很多蘋果的用戶因為暫時還付不起(甚至可能還不懂得什麼叫做)下賊船的高昂代價,所以會很需要這樣的資訊。
(本文轉載自 資訊人權貴ㄓ疑)
