蘋果的Gatekeeper服務是為了蒐集App資料?蘋果駁斥該說法並提出改善

上周macOS Big Sur出師不利,蘋果驗證應用程式安全的作法引發軒然大波。蘋果一台用於驗證第三方應用程式的伺服器忽然變得很慢,用戶質疑是不是偷偷蒐集用戶Mac App太多資訊所致。而蘋果也被迫出來面臨。

上周macOS Big Sur出師不利,蘋果驗證應用程式安全的作法引發軒然大波。蘋果一台用於驗證第三方應用程式的伺服器忽然變得很慢,用戶質疑是不是偷偷蒐集用戶Mac App太多資訊所致。而蘋果也被迫出來面臨。

Gatekeeper服務變慢是因為太忙?

蘋果昨天透過技術支援網頁宣佈數項新政策,於《在Mac電腦上安全開啟App》中加入《隱私防護》章節。蘋果說明,名為Gatekeeper的服務是負責執行線上檢查,以驗證App是否包含已知惡意程式,以及開發商是否被取消了簽章用的憑證,蘋果隨後說明它蒐集了哪些資料,哪些不蒐集,以及明年起將實施的新政策。

用戶批評的是名為線上憑證狀態協定(online certificate status protocol service, OCSP)的驗證過程。這項伺服器功能是檢查App開發商的憑證是否有效,通過檢查的App 在被允許在Mac上啟動。上周這台伺服器忽然變得很慢,導致許多升級MacOS Big Sur的用戶無法啟動App,並遭到一些專家的懷疑。

蘋果蒐集應用活動記錄卻沒有加密傳輸?

德國IT專家Jeffrey Paul在其部落格文章《你的電腦不是你的電腦》(Your Computer Isn’t Yours)中宣稱,這表示蘋果蒐集了用戶跑的每一款程式,包括IP位址,然而這些都是在未加密的HTTP連線傳送。結果就是任何跑最新版MacOS的Mac電腦都被蘋果蒐集了活動紀錄。雖然有另一位IT使用者分析傳送到OCSP伺服器的資料認為,應該只能辨識出開發商的身份,而不是App。不過如果許多開發商只推出一款App,則很容易推測出是哪款App。

此推論引起嘩然,也迫使蘋果更新網頁澄清。蘋果說它在驗證軟體安全性時並不會蒐集用戶的Apple ID或裝置ID、型號。蘋果也說早已經停止蒐集和Developer ID憑證檢查相關的IP位址。「我們從未整合這些檢查資料和蘋果用戶或其裝置的資訊。」此外蘋果也宣稱並未以這些檢查資料來辨識個別使用者。

不過為了平息使用者的疑慮,蘋果也宣佈未來將調整驗證作法。明年起蘋果將在Developer ID驗證檢查時加入新的加密協定,並因應可能的伺服器當機狀況增加防護,例如防止像上周已停止的App還可以開啟。最後,蘋果也將加入使用者選項,允許他們完全退出這些防護措施,以平息像Paul這些用戶的不安。

來源:The Verge

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416