蘋果保護隱私出大招:虛擬信箱幫使用者登錄第三方應用服務
在今天的WWDC 2019大會上,蘋果宣佈了一種新的登錄機制Sign in with Apple,讓第三方應用程式透過使用者的蘋果ID進行身份驗證。蘋果聲稱,這種登錄機制將有效保護使用者隱私,杜絕使用者被跟蹤。
這一名為Sign in with Apple的新身份驗證機制與Facebook和Google提供的其他類似登錄系統的工作方式相同,但增強了使用者隱私保護。
蘋果軟體工程主管克雷格‧費德里吉(FCraig Federighi)表示:「Sign in with Apple是一種快速、簡便的登錄方式,使用者不會被跟蹤。」
費德里吉說:「一個簡單的API允許開發者在他們的應用程式中添加一個Sign in with Apple按鈕。使用者只需點擊它,就可以在設備上用FaceID進行身份驗證,然後蘋果會幫助使用者隨機產生新帳戶進行登錄,無需透露任何新的個人訊息。」
「有些應用程式可能想要一個名字,甚至可能想要一封電子郵件,以便在你不在應用程式中時向使用者發送訊息。
「我們確實允許他們請求這些信息……但你可以選擇分享你的真實電子郵件地址,也可以選擇隱藏它。」
據蘋果高階主管稱,這項新功能將產生一個由蘋果託管的隨機電子郵件地址,該地址能夠接收來自該應用程式的所有通信和通知,並將電子郵件轉發到使用者的合法電子郵件地址。
費德里吉說:「這是個好消息,因為我們為每個應用程式都提供了一個獨特的電子郵件地址。」他強調,應用程式將不再能夠根據使用者的電子郵件地址跟蹤使用者。
這位蘋果高管強調,「當你厭倦來自某個應用程式的消息時,你可以在任何時候禁用相應的電子郵件地址。」他說,「這真是很棒!」
的確如此。通過為每個應用程式產生獨特的電子郵件地址,蘋果不僅可以防止使用者被跟蹤,還可以阻止垃圾郵件。
可疑的應用程式開發人員通常會將使用者資料轉賣給資料分析服務提供商或垃圾郵件運營商。此外,即使應用程式開發人員並不打算共享使用者的電子郵件,數據洩露也會將使用者的電子郵件地址暴露給駭客。
在蘋果新的登錄機制下, 如果任何這些隨機產生的電子郵件洩露或落入垃圾郵件發送者之手,使用者可以隨時停用該電子郵件,並停止任何傳入的不需要電子郵件訊息。
此外,由於每個應用程式的電子郵件都是獨一無二的,在資料洩露的情況下,駭客無法使用電子郵件地址將其與使用者的真實身份關聯起來。這進而保護使用者免受針對其蘋果帳戶或其他服務帳戶的登錄攻擊。
另一個好消息是,根據蘋果的一份設計文件,Sign in with Apple也將適用於網路和其他平台,而不僅僅是iOS應用程式。
蘋果發表隱私簽入系統,挑戰臉書、Google
在WWDC 2019大會上,蘋果發表了iOS 13、iPadOS、代號Catalina的新版MacOS及新版MacPro產品。連同iOS及iPadOS,蘋果也宣佈登入系統Sign In with Apple,並強調隱私保護功能以挑戰總是在追蹤你的臉書和Google,也可望阻絕垃圾郵件問題。
蘋果軟體工程部門副總裁Craig Federighi周一在開幕演說中宣佈這項新工具。他公開點名臉書和Google的單一登入系統是用來追蹤用戶的上網行蹤,並且會引來無窮的垃圾郵件,但利用Sign In with Apple則可免於被追蹤。
一般用戶在註冊某項網站服務或app時,會被要求輸入電子郵件信箱,或是要求用戶以臉書及Google帳號登入。這麼一來,用戶信箱位址或是社交網站帳號不是被這些網站或app取得,就是透過廣告網路被分享給第三方廣告商。
而Sign In with Apple的作法是當iOS(及iPadOS)用戶登入網站或app時,作業系統會讓你決定是否分享真實的電子郵件。如果用戶不願意,則系統會產生一個專屬於該app或網站的隨機郵件信箱。這些郵件信箱為蘋果代管,因此一旦app寄送垃圾郵件就會被導向蘋果。
這一來可以阻絕垃圾郵件後患,二來,由於每個隨機產生信箱都只專屬一個app,如果用戶信箱被分享給其他第三方單位也可以追蹤到是由哪個app為之。如果用戶不想使用這個app只要切斷這個重導向路徑即可。
蘋果指出,本功能讓用戶可以Face ID或Touch ID驗證,它還內建雙因素驗證提供多一層安全。而蘋果也會使用Sign in with Apple作為用戶側寫或紀錄其活動。
另一方面,有開發人員發現蘋果可不來柔性勸導那套,它會強制施行。蘋果在今天(6月4日)更新的開發商規範中也說明,今年Sign in with Apple正式釋出後,支援第三方登入工具的app,都必須提供這項功能作為用戶選項。
Sign In with Apple預計今年秋天隨iOS 13及iPad OS正式版正式釋出,並將在夏天進入beta測試。