Apple 坚信隐私是一项基本人权,因而内建了一系列控制和选项,可让用户决定 App 如何使用其信息,何时使用其信息以及使用何种信息。
关于用户隐私,其实可以从三个方面讨论:动机,技术,行动。接下来我们就围绕这三点,看看iOS和Android到底有什么区别。
动机主要有两个维度,一个是手机厂商的动机,另一个是应用程序开发商的动机,也就是app本身的动机。
其实有一个小孩子都知道的道理,那就是无利不起早啊!从手机厂商的角度来说安卓上类似quantumult,无论是iOS还是Android,无论是选择保护隐私还是装傻充愣,根本的原因无外乎利益驱动!
对于苹果来说,用户的隐私数据可以带来什么利益呢?推送广告吗?显然不是,在国内苹果本质上就是卖硬件的。从全球看,苹果还是精品内容提供商,比如Apple News、Apple TV+、Apple Music、Apple Arcade、Apple Books等,但是这些产品本身的主旋律就是内容本身,推荐的也是服务本身的内容。如果你订阅过Apple Music就应该知道,这里除了音乐,再无其他。
那么服务之外呢?苹果是否可以通过收集用户数据,然后转手卖给广告服务商呢?理论上当然可以,甚至你都可以主动授权,以提高广告本身的素质。要知道,无论是苹果自家有广告的app还是第三方的app,都有一定量不得不被动接受的广告,比如你正在使用的这个app的开屏广告。所以无论是苹果自带还是第三方app的关闭个性化推荐,本质上解决的是广告相关性的问题,而不是广告多少的问题。
除此以外,app内部的广告其实也没办法完全解除关联性,因为本质上当你使用一个app的时候,就是在不断告知它你的隐私。比如你在App Store搜索某个app,那人家就是知道你对什么感兴趣。再比如你在电商平台搜索游戏主机,那它自然也就知道推荐主机相关的广告潜在收益最大。
Android那边其实也类似,但是Android厂商本身大而全,自家就有很多的广告想要推给用户,比如智能家居平台就少不了各种广告推荐,负一屏和下拉搜索也是广告重灾区,自带浏览器更是展示第三方广告的绝佳入口。手机厂商凭什么要求广告主给更多钱呢?靠的不就是精准推荐吗?精准推荐靠的是什么呢?不就是用户数据吗?这里不妨看看iOS自带的Safari浏览器,是不是干净的不像话呢?丫的就是真的能只保留一个搜索框!
所以从厂商动机层面来说,苹果当然有动机,但是那基本上都是生态内的自循环,其实属于是典型的动力不足。而且相对于利用隐私换取的利益来说,苹果完全可以把隐私保护转换成产品的竞争力,然后直接依靠卖硬件和服务赚取更多的利润。
但是Android相对来说就很不一样了,价格竞争打的那么激烈,单纯靠卖硬件赚钱真的可行吗?稍微细想一下应该不难搞明白吧!
到这至少可以得出一个初步的结论:iOS下保护用户数据的收益,可能远大于商用。而Android下用户数据有着不可忽视的价值,对于需要借助广告弥补硬件利润的情况,善于利用用户数据显然可以获得更好的广告效果。
这个其实不用多说,只要是一个有追求的app,它就会在法律允许的情况下,最大化的获取用户数据。比如电商app要是知道你和朋友讨论买什么电脑,那主页就可以满屏给你推荐电脑。讨论火锅就给你推荐锅底和火锅食材喽!
说的直白点,从动机角度讲,app理论上想要获取关于用户的一切。只不过达成这个目的的方法,其实也可以完全绕开手机操作系统,在云端完成。细节后面再说!
说到这肯定有人已经意识到,无论是iOS还是Android似乎都没有什么隐私可言。很可惜,一定程度上讲,现实就是如此。说的极端点,你要绝对的隐私,那就只能不接触互联网,甚至任何信息的传递都得做到阅后即焚,别误解,我说的就是真正意义上的,纸条传递信息,看完就直接焚烧掉,甚至还要把灰烬处理一下。
折中一点的方案,比如需要把大量的照片、隐私数据备份,那么不妨参考我的做法。把资料打包加密压缩,然后再上传云端备份。这个时候只要你的密码位数足够多,现代化的加密算法,你可以完全无视数据如何在云端流动,只要它不丢就行了。
而本地存储,要么就用苹果这样的设备,没有你的密码,就算把硬盘拿走也没用,或者本地硬盘做加密处理,而存储的具体数据同样压缩加密。至于密码怎么处理,那就是另一个问题了!最好的方法可能就是用脑子记下了!
互联网时代,隐私并不意味着你的隐私不被暴露出去,而是多大程度暴露出去。比如你在某平台网购,那么地址信息、电话信息、购买的物品,其实就已经暴露出去了。但是问题的关键就在于,你无所谓某些人知道quantumult软件,或者至少可以说这些人知道了对你的影响也极小。但是你很可能并不愿意身边的人知道,所以这个时候对你而言,隐私保护其实就是仅仅让必要的人知道,其他人都不知道。
不过这里面有个死结,当你产生数据的时候关联了个人的身份特征,那么理论上就不可能通过操作系统的限制达到保护隐私的目的。比如你用的两个app都是同一个手机号,那么这两个app一合计数据就知道你在干什么了。用不同的手机号有用吗?也没用,不同手机号依然可以关联唯一的身份特征。
更不用说,手机号之外,还有很多唯一性的特征。这里我只能说,iOS把大部分可以封闭的用户特征数据都给封闭了。比如最起码的Mac地址,iOS目前默认动态随机生成。再比如文件夹功能,iOS下的app都是工作在沙盒中,哪怕是对于照片的访问都可以限制访问特定照片。但是对于Android来说,一旦放开存储权限,那特征真的是一抓一大把!
此前某app把别人的图片拷贝到自己的目录下,同一款app在iOS下却做不到,也不敢做,再退一步真的做了,一旦被发现就得被彻底下架。
再比如,在一个实名制的平台上,你浏览的一切,你搜索的一切,你发表的一切,并不是什么秘密。但是对于大部分人来说,只要利益相关的人不知道就可以了。
再说的极端点,手机放在身边,最起码得保证没有任何app可以偷偷录音吧!你看苹果的设备,无论是iPhone、iPad还是MacBook,只要打开摄像头或者麦克风,就会有明确的提醒,你可以清楚的看到是谁在使用这些硬件。而如果手机丢了,最坏的情况应该就是手机硬件和数据丢失了,而不能再叠加数据泄露吧!
以上这些,其实才是手机厂商隐私保护的重点。概括来说就是,不让不必要的第三方获取你的信息,比如跨站跟踪,跨app跟踪。不让app获取不必要的信息,比如iOS下你可以关闭一个购票软件的GPS权限、访问相册的权限、使用摄像头和麦克风的权限等。对于很多不需要一直依赖互联网的app,你甚至可以直接关闭联网权限。
那么保护隐私真的就是厂商一拍脑袋,说做就能做的吗?其实吧?隐私也不是想保护就能保护的,这里面很显然的门槛就是技术啊!
苹果有着一个专业的安全团队,这个团队就是为了安全而生。论团队阵容,估计其他厂商只能是望尘莫及了吧!
假设厂商都是善意的,它们都是选择主动保护用户隐私的,那么保护隐私的第一步是什么呢?那就是保证整个设备的安全性quantumultx免费安装。不要听那种一味说我们不会主动泄露用户数据的说法,其实这句话的另一面就是,被动泄露我也没办法呀!
说白了就是芯片等硬件的安全性,以iPhone来说,就是如何保证芯片、安全隔区、加密引擎、面容 ID 和触控 ID本身的安全性。安全隔区这里就有着专门的SEP处理器,运行着一个专用的、独立于操作系统的sepOS,专门用来处理安全相关的认证。这个走到最底层,其实就是当苹果生产一款设备的时候,内部自动生成一个随机值,以后所有的加密都与之相关。这玩意直接存储在熔丝里面,不破坏就没人知道是什么,破坏了就更不知道是什么了!理论上苹果也不知道是什么!对于MacBook和iPad这类产品,苹果甚至早就已经支持硬件麦克风断联。只要机盖合上,麦克风就彻底硬件级断开了!作用嘛?你懂的!
这个涉及操作系统的安全启动、更新和持续运行而提供的集成硬件和软件功能,当然也就包括了CPU、内存、磁盘、软件程序和已储存数据等电脑系统资源的保护。最根本的,操作系统的Boot引导和合法性校验就是个核心问题。
在设备丢失或被盗,或有未授权人员或进程尝试使用或修改用户数据时,能够保护设备上用户数据的架构和设计。这一点其实就对应着手机丢失或者其他场景的暴力破解,甚至是卖二手设备如何保证安全的问题。对于iPhone来说,当你打算二手卖掉的时候,只要还原出厂设置就可以了,它甚至都不会真正抹掉全盘数据,因为这些数据本身是加密的,而清除数据只需要彻底销毁加密的密钥就可以了。而对于Android手机来说,有时候就只能呵呵了!
提供安全的app生态系统并确保app安全运行且不会破坏平台完整性的软件和服务。哪怕是排除操作系统层面的渗透问题,仅仅是iOS的沙盒机制,就能有效的保证app只能在一个被严格限制的空间内折腾了啊!当有人天天吐槽iOS没有Android那种文件夹管理的时候,有没有想过一旦app获取了存储设备的访问权,理论上就可以为所欲为呢?
用于身份认证、密码管理、支付、通信以及查找丢失设备的服务。这部分数据在苹果的设备上基本都能做到端对端加密,而且可以想象的是,其他厂商很难拥有雄厚的财力为了维护潜在的很小的风险大把投入吧!更不用说,管理安全相关数据的服务本身,安全等级更是高了一大截。其实对于极端的服务,苹果也只会把数据存在本地设备的安全隔区,根本不可能跑到服务器上啊!
针对传输中的数据提供安全认证和加密的行业标准联网协议,包括TLS/IPv6/VPN/AirDrop/蓝牙/超宽带/单点登录/防火墙/无线局域网等。这些东西大家都可以做,就看投入的力度了!软硬件不给足利润空间,这种背后看不到的投入谁会真正发力呢!从这个角度来看,是不是也能理解为什么苹果的设备普遍都比较贵呢?
供第三方app安全私密地管理家庭和健康以及扩展设备和服务功能的框架“套件”。比如iOS典型的HomeKit/SiriKit/DriverKit/ReplayKit/ARKit等。至少到目前为止,智能家居的安全性,HomeKit的管控机制可能是最严格、最完善的了!
允许对设备进行管理、帮助防止未经授权的使用以及在设备丢失或被盗时启用远程擦除的方法。比如典型的对于外设的管理,iOS有着严格的授权许可,常见的“要信任此电脑吗”就是典型的代表。iOS也有着配套的过期机制,30天未使用的外设就需要重新授权。再比如针对未成年管理提供的“屏幕使用时间”等!
以上所提到的这些机制,Android也不是没有,只是到目前为止,还远没到可以拿出来吹的程度。要不然,你应该早就在Android手机的发布会上,被科普800回了!
任何时候,真正对你隐私保护起作用的,都是具体的行动。你要看一个厂商做什么,而不是单纯的看它说什么。
iOS这边,苹果敢顶着Facebook等顶级互联网公司的压力,上线App跟踪透明度功能。有个数据大概是,这么个功能直接影响Facebook百亿级的收入。
这玩意解决的问题其实就是很多app总是在追踪用户跨网站和跨app的活动信息,人家知道你中午点了什么外卖,看了什么视频,几点出现在咖啡馆,是不是细思极恐呢!这些信息如果分散给不同的第三方知道,影响其实就能小很多。而在iPhone上,用户可以明确拒绝被跟踪。事实上,我都是直接全局拒绝跟踪。
iPhone的Face ID不仅提供了远远高于指纹解锁的安全性,还把用户面容ID信息加密存储,而且是存储在安全隔区。这里甭说是app了,哪怕是iOS也无法访问。这部分数据其实只有安全隔区里面SEP处理器上运行的sepOS可以访问!
iPhone上的相册有个非常有用的功能,那就是可以自动生成“回忆”、“为你推荐“、“共享建议“等相簿,这就利用了面孔识别、场景和物体检测等技术。对于其他手机而言,这类功能一般离不开服务器的辅助。但是在iPhone上,这些功能完全是基于本地的人工智能,不会有任何数据从你的手机流出。
其实如今的Siri、本地图片或者视频的文本识别、照片库照片搜索等功能,基本上也都是在手机上完成的了!
在网上的浏览活动可能会被跨网站跟踪和采集安卓上类似quantumult,,用来针对性地推送广告,甚至就是直接利用个人信息。而Safari 浏览器拥有智能防跟踪功能,能帮助拦截跨网站跟踪。重点是人家还提供了“隐私报告”,随时查看当前被拦截的跨站跟踪器。
举两个简单的例,一个是针对应用程序的照片授权,一个是针对应用程序的位置授权。
对于某些不常用的app,或者本来就知道不是很安全的app,不得不上传照片的时候,在iOS上用户可以仅仅授权访问一张照片或者一部分照片,这样最多每次用到照片的时候多授权一张照片也就可以了!你总不希望临时传个照片,就让app有了扫描你照片库的能力吧!
再比如位置权限,在iOS下也可以只给一个大致的范围,具体数据应该是26平方千米范围内的大致位置。这个大致位置的授权,既可以保证正常查找附近餐厅、天气状况等,也可以避免让app获得精确的位置信息。
当然,我的做法更直接,除了Find My和Map,其他所有app的位置权限我都是直接关闭的,反正都能正常使用。
对于任何在用的app,一旦涉及位置、麦克风、摄像头等权限使用,iOS都会明确提醒用户。比如常见的状态栏灰色箭头代表这个app最近24小时内用过你的位置信息,出现黄色的点说明app在使用麦克风,出现绿色小点则代表了app在使用摄像头。
其实除了正常使用时的提醒,后台运行的app的权限访问一样会被监控。只要打开控制中心,就可以在顶部看到最近的隐私监控。
点击也可以看到具体app使用了什么权限。只要在这里看到app在后台不合理使用权限,那就该限制限制,该删除删除吧!
第三方跟踪用户的一个简单手段其实就是利用设备的Mac地址,因为你无论在哪里连接无线网,你的无线网卡的Mac地址都是唯一的。有了这个数据,别人就可以跨无线网跟踪用户了!
而iOS默认采用私有地址,你提供给无线路由器的Mac地址是动态变化的,第三方拿到的就是个无效的地址。
当你打开iMessage的时候,你的设备会自动生成自己的私钥和公钥,私钥存储在设备本地,然后把公钥和苹果推送通知服务(APNs)发送给苹果身份识别服务(IDS)。
后续无论你是打算通过iMessage共享数据、聊天或者借助FaceTime发起视频聊天,都会先向IDS发起请求,从而获得对方的公钥和APNs。待发送的数据会通过对方的公钥加密,然后派发给APNs分发。如果对方在线,则在推送成功后删除APNs中的通知。如果对方不在线,则会在苹果服务器上存储30天。
这里有一个比较特殊的地方,APNs最多只能转发16KB的数据,遇到图片等附件肯定是没办法直接推送的,这个时候iMessage会在本地随机生成256位AES密钥,用于对附件进行加密,加密后的数据上传到iCloud,而AES密钥和上传iCloud数据的URI会通过APNs发送给接收方。接收方就可以通过URI获取iCloud数据,然后借助收到的密钥解密数据。
说白了,这就是端对端的加密机制。除了两端的设备,中间任何人获取或者存储数据,没有任何意义。
那么有人可能会好奇,我备份到iCloud的信息,在手机更换或者丢失后为什么还能恢复呢?这其实就要说到iCloud的备份机制了!默认情况下,涉及重要隐私的数据都是端对端的加密,其他数据虽然也是加密存储的,但是私钥同样会存储到苹果的服务器上,这种称为标准数据保护,优点是终端丢失照样可以恢复数据。
用户的 iCloud 数据会被加密,而加密密钥安全储存在 Apple 数据中心,以便 Apple 协助恢复数据和帐户。只有特定的 iCloud 数据(包括“健康”数据和 iCloud 钥匙串中的密码等 14 个数据类别)会采用端对端加密。
提供 Apple 最高级别云端数据安全性的可选设置。如果用户选择打开“高级数据保护”,则只有其受信任的设备才能访问大部分 iCloud 数据的加密密钥,因此这些数据会受到端对端加密保护。打开“高级数据保护”后,采用端对端加密的数据类别会上升到 23 个,包括 iCloud 云备份、“照片”、“备忘录”等等。
而iCloud高级数据保护模式,则会采用端对端的加密模式。这个时候即便是iMessage信息备份,也会是端对端的模式。这个模式用户可以在设备上设置,但是一旦所有终端都出问题,数据就无法恢复了!
就不再多举例了,以上这些不妨拿Android对号入座对标一下,如果都能做到,那我就再补充。反正,iOS这类保护隐私的举措和细节,真的不胜枚举呀!
其实真正在意个人隐私,很多时候就是需要牺牲一定的便利性。比如照片备份不妨自己加密一层,比如很多涉及位置需求的app,不妨手动选择位置,而不是依赖app直接获取位置信息。其实大部分人最重要的隐私信息,都是在不经意间自己主动交出去的。
