蘋果正處於戰爭狀態,似乎決心全力以赴來維持平衡。去年11月他宣布起訴 Pegasus 間諜軟體設計者以色列公司 NSO Group,庫比蒂諾巨人剛剛在巨大的棋盤上放置了兩顆新棋子,與它對抗« 僱用間諜軟體供應商 »。
隔離,安全第一
Apple 推出的第一個重要作品是 iOS、iPadOS 和 macOS 的新模式。受洗封鎖,法語中的隔離,其目的是“減少攻擊面”可能在蘋果的三個作業系統中。
事實上,按照美國巨頭的傳統,它是一個簡單的按鈕,很容易從設定中啟動。然而,它的作用是“極端”,用蘋果自己的話說。因為隔離模式將使您的 iPhone、iPad 或 Mac 不易受到網路入侵嘗試。
為此,他將不得不大大減少帆,以便可能的故障在咔嗒聲中啟動,或者更糟的是,在零點擊,也就是說如果使用者沒有絲毫動作,執行的機會就更少了。這些限制顯然會導致某種形式的使用者體驗惡化。
- 因此,在「訊息」中,除圖像之外的大多數附加檔案都將被封鎖。同樣,網頁連結預覽將被停用。
- 至於上網,最先進的技術,特別是JavaScript的技術,例如JIT編譯,也將被阻止,除非使用者自願將網站註冊到白名單上。
- 蘋果意識到其旨在讓公眾生活更輕鬆的服務可能成為攻擊者的切入點,因此蘋果也將限制某些功能。例如,邀請和服務請求(例如 FaceTime 通話)將被阻止,除非裝置使用者先前已發起聯繫。
- 此外,您可以用來存取公司內的測試版或程式的設定檔也將被隔離模式禁止。
- 對於在媒體或主要組織工作的記者或活動家來說至關重要行動裝置管理,以前行動裝置管理設定現在Apple平台部署,將不可用。這意味著智慧型手機群組管理員將必須單獨管理這些裝置。但這也是防止駭客竊取管理員身份並透過安裝惡意應用程式來控制裝置的一種方法。
- 最後,為了保護 iPhone 免受不必要的實體訪問,當 iPhone 鎖定時,與電腦甚至配件的有線連接將處於非活動狀態。換句話說,如果不知道您的程式碼或無法使用手指或臉部啟動您的 iPhone,則無法透過將其連接到機器來對其進行攻擊。
Isolation 將於秋季正式發布,與 iOS 和 iPadOS 版本 16 以及 macOS、Ventura 版本 13 同步發布。但在那之前,它將在這三個作業系統的夏季測試版中推出,並向開發人員和公眾開放。
不適合所有人...
因此,有證據表明,隔離增強了 Apple 裝置的安全性,但降低了其使用的舒適度。然而,很明顯它並不適合所有人。它旨在保護受影響的用戶免受“最罕見、最複雜的攻擊”Apple 安全工程和架構主管 Ivan Krstić 解釋道。
他繼續指出“絕大多數用戶永遠不會成為這些高度針對性的網路攻擊的受害者。”儘管如此,蘋果認為有責任為目標用戶提供這種額外的安全性“因為他們就是他們自己或他們所做的事情”。
很難衡量像 Pegasus 這樣的間諜軟體的確切影響。蘋果表示,這些攻擊每年造成的損失高達數千萬美元,但蘋果僅表示已通知受影響的人們的攻擊間諜軟體飛馬座在 150 多個國家/地區,出於安全原因,不想透露其號碼。
另一方面,蘋果已經宣布未來將加強這種隔離模式,特別感謝安全研究社群的回饋。為了引起這個社區的充分關注,蘋果有時與這個社區保持著一些激烈或複雜的關係,蒂姆·庫克的團隊也宣布他們正在使用他們的另一個武器:金錢,用於預防。
雙倍保費,幫助研究…
因此,蘋果在其計劃中宣布了一個新類別安全賞金。它完全是為了隔離模式而設計的,為了強調美國巨頭對這項功能的重視,它宣布,對於最關鍵的發現,通常的獎勵將加倍,最高限額為 200 萬美元。蘋果非常自豪地宣布這是該領域的記錄。
但這只是其行動的第一部分。第二項計畫於去年 11 月宣布,包括向打擊網路間諜活動的基金支付 1,000 萬美元(不包括法院在蘋果和 NSO 集團審判中判給的任何損害賠償金)。這筆意外之財將由福特基金會管理的尊嚴與正義基金授予。這項工作的原始成員包括蘋果的 Ivan Krstić 和 Amnesty Tech 總監 Rasha Adbul Rahim,他為調查做出了貢獻國家統計局集團與多倫多大學的公民實驗室一起,也由其主任 Ron Deibert 代表。
後者將這些「僱傭兵」作為他的專長。他跟蹤他們,列出他們的名單,並指責他們。 Citizen Lab 已特別確定了不同的參與者,例如 Hacking Team、Gamma Group、Candiru、Cytrox,當然還有 NSO Group。
該事業的第一批捐款預計將於 2022 年底或 2023 年初做出,以幫助揭露僱傭間諜軟體提供者的行為並保護他們的潛在目標。這項重大計畫將採取不同的形式,從網路安全研究人員和防禦團體之間的協調開始,旨在支持“開發標準化取證方法來檢測和確認間諜軟體滲透”。透過該基金,蘋果還希望幫助民間社會更有效地與設備製造商、軟體開發商和 IT 安全公司結盟,以識別和糾正所使用的漏洞。
最後,尊嚴與正義基金一方面旨在提醒記者、調查人員和立法者註意全球間諜軟體供應商產業的做法。另一方面,同時賦予人權捍衛者識別和應對這些間諜軟體攻擊的能力。
這是扭轉權力平衡的方式,迫使這些從事間諜活動和侵犯基本權利的公司承擔責任。一場重要的戰鬥,一場不能不打的戰爭,如果有像蘋果這樣的巨人的好的一面就更好了。因為,對羅恩·戴伯特來說,這些黑暗的交易者和他們的做法“促進極權主義在全世界蔓延和侵犯人權”,如今這種趨勢確實不需要任何鼓勵......
