更新
2022 年 7 月 6 日
Apple 扩展行业领先的安全承诺,保护用户免遭具高度针对性的间谍软件侵害
Apple 宣布将发布突破性的安全功能,为可能成为高度针对性网络攻击目标的用户提供特别的额外保护。这些网络攻击来自唯利是图、受国家支持开发间谍软件的私人企业。Apple 同时宣布将拨款 1000 万美元,用于支持揭露此类威胁的研究
Apple 今日公布了两项举措的详情,以帮助保护用户免遭针对个人、极为先进的数字威胁所侵害,如来自受国家支持开发间谍软件的私人企业的攻击。Lockdown 模式是一项同类首创的重要功能,将在今年秋天随 iOS 16、iPadOS 16 和 macOS Ventura 发布。这项功能旨在为极少数用户提供可选的极致保护。这些用户在数字安全方面面临着具有高度针对性的严重威胁。Apple 同时公布了去年 11 月宣布的 1000 万美元网络安全经费的详情,这项经费将用于支持致力于间谍软件威胁研究及宣传的社会组织。
“Apple 生产市场上最安全的移动设备。Lockdown 模式是一项开创性的功能,反映了我们保护用户免遭攻击的坚定承诺,哪怕这些攻击极为罕见、极为先进。”Apple 安全工程与架构主管 Ivan Krstić 表示,“尽管绝大多数用户都不会成为高度针对性网络攻击的对象,我们仍然不遗余力地保护少数可能遭此类侵害的用户。我们持续专为这些用户设计防护措施,支持全球研究者与机构进行至关重要的工作:揭露那些唯利是图、制造此类数字攻击的企业。”
Lockdown 旨在为极少数用户提供可选的极端保护。这些用户因其身份或工作性质,可能被极为先进的数字威胁锁定为攻击目标,如来自 NSO Group 等在国家授意下开发间谍软件的私人企业发起的攻击。在 iOS 16、iPadOS 16 和 macOS Ventura 中开启 Lockdown 模式将进一步加强设备防护,严格限制部分功能,大幅减少受攻击面,以免给具高度针对性的间谍软件可乘之机。
Lockdown 模式发布时将包括下列保护功能:
- 信息:除图片之外的绝大多数信息附件类型将被拦截。链接预览等部分功能将被禁用。
- 网络浏览:just-in-time (JIT) JavaScript 编译器等部分复杂网络技术将被禁用,除非用户在 Lockdown 模式中设置受信站点白名单。
- Apple 服务:向用户发起的 FaceTime 通话等邀请与服务请求将被拦截,除非用户此前向对方发起过通话或请求。
- iPhone 锁定时,与电脑或配件的有线连接也将被拦截。
- Lockdown 模式开启后将无法安装配置文件,且设备无法加入移动设备管理(MDM)。
Apple 未来将持续加强 Lockdown 模式,添加新的防护措施。为鼓励安全研究社群积极反馈与合作,Apple 还将在 Apple Security Bounty 计划中设立新类别,奖励在 Lockdown 模式中发现漏洞、帮助强化其防护功能的研究者。研究者在 Lockdown 模式中如有符合条件的发现,所获奖金将翻倍,最多可达 200 万美元——这是整个行业中封顶金额最高的奖金。
在 NSO Group 诉讼案相关赔偿金之外,Apple 还将拨款 1000 万美元,用于支持调查、揭露、预防具高度针对性网络攻击的机构,包括来自唯利是图、受国家支持开发间谍软件的私人企业发动的攻击。此款项将拨给 Dignity and Justice Fund(尊严与公正基金)。该基金由致力于在全球范围内推动平等的私人基金会——Ford Foundation(福特基金会)创立并担任顾问,旨在汇集慈善资源,推动全球社会公正。尊严与公正基金由 501(c)(3) 公共慈善机构 New Venture Fund(新创业基金)提供财务资助。
“全球间谍软件行业以人权保卫者、记者和异见人士为目标,助长暴力与专制,支持政治压迫。”福特基金会技术与社会计划主管 Lori McGlinchey 表示,“福特基金会深感骄傲,能够参与这项支持公民社会研究与倡导、抵制间谍软件的非凡举措。我们必将助力 Apple 的承诺,并邀请企业与捐助者共同加入尊严与公正基金,为这一共同的奋斗增添更多资源。”
尊严与公正基金预计在 2022 年末或 2023 年初拨出第一批经费,初期将资助揭露间谍软件、保护潜在目标的工作,包括:
- 帮助新建与现有的致力于公民社会网络安全研究与倡导的机构发展组织能力、加强实地协作。
- 支持开发标准化的取证方法,以检测和确认符合证据标准的间谍软件渗透。
- 使公民社会能够更高效地与设备制造商、软件开发商、商业安全公司和其他相关企业合作,以发现和解决漏洞。
- 提高投资者、记者和政策制定者对全球间谍软件行业的认识。
- 培养人权保卫者识别和应对间谍软件攻击的能力,包括对面临网络高度威胁的组织进行安全审计。
尊严与公正基金用于研究、跟踪和追究强化网络武器贸易责任的拨款战略将由一个独立的全球技术咨询委员会提供建议。 委员会初期成员包括:
- Access Now 数字安全服务平台分析师 Daniel Bedoya Arroyo。
- 政治科学教授兼多伦多大学芒克全球事务与公共政策学院 Citizen Lab 主管 Ron Deibert。
- The Engine Room 联合副总监 Paola Mosso。
- 国际特赦组织 Amnesty Tech 主管 Rasha Abdul Rahim。
- Apple 安全工程与架构主管 Ivan Krstić。
“Citizen Lab 与其他机构的研究发现了不容否认的证据,证明唯利是图的监视行业正在全球范围内助长专制行为的扩张以及对人权的严重践踏。”多伦多大学研究组织 Citizen Lab 主管 Ron Deibert 表示,“我赞赏 Apple 创立这一重要经费,这将发出强有力的信息,并帮助扶持独立研究者与倡导组织追究此类间谍软件售卖者,使其为对无辜者造成的侵害负责。”
分享文章