为什么我愿意为安全、隐私和安心支付溢价

2020-08-29 05:42:34

苹果VS Epic Games:为什么我愿意为安全、隐私和安心支付溢价。

在围绕应用商店的政策、费用和审查流程的法律战中,Epic Games希望看到回到过去的美好时光-软件开发者仍然完全控制他们的系统,只是受到他们想象力的限制。然而,那些日子早已一去不复返了。

诚然,在90年代初,我称赞互联网是人类最纯粹的创新。毕竟,它使一群全球开发人员能够从Ground Up协作构建Linux操作系统。在我X年的开发经验中,没有什么比得上那些日子的良好意愿、成功和乐观情绪。

回想起来,从我收到第一条垃圾邮件的那一天起,一切都开始改变了。它之所以脱颖而出,不仅是因为它是我收到的第一封主动发来的电子邮件,还因为它是一封特别令人讨厌的垃圾邮件。广告商出于营销和销售的目的出售了数千个电子邮件地址。毫无疑问,我知道会有人买下这张单子,我很快就会收到成千上万封不想要的邮件。仅仅几个月后,我的收件箱里就装满了垃圾。从那时起,互联网变得越来越充满敌意-从防火墙、代理和沙盒到高调的利用漏洞和数据钉子。

在互联网出现之前,磁盘操作系统(DOS)平台是一个开放的系统,每个人都可以自由地构建和创新,这并不是什么新现象。但很快,怀有恶意的人们摧毁了这个创造和解决问题的美丽世界,把它变成了一个充满病毒、特洛伊木马和间谍软件的地方。

就像当时在世的大多数人一样,我发现自己在使用杀毒软件。事实上,我甚至在墨西哥写了一个商业产品,它完成了扫描病毒和为DOS提供类似Unix的许可系统的双重任务(可能在1990年左右)。当然,考虑到DOS代码可以完全访问系统,绕过这些系统是可能的。

1993年,微软推出了一系列操作系统,后来被称为Windows NT。虽然它应该是完全安全的,但出于与Windows95和DOS旧世界的兼容性考虑,他们决定保留一些东西。不仅这个空间里有不守信用的行为者,开发商也犯了重大错误。也许并不令人惊讶的是,用户在对操作系统进行了不恰当的更改后,逐渐开始重新安装操作系统。

快进到2006年,Windows Vista进入了这个领域-试图解决一类攻击和缺陷。这个解决方案让许多用户大吃一惊。更确切地说,它在一些圈子里受到了严厉的批评,被视为一个笑话。对许多人来说,旧的做事方式一直运作得很好,所有额外的安全措施都在谈判中。虽然用户讨厌软件不再开箱即用的事实,但这是确保系统安全的重要一步。

事后看来,我回顾了DOS和互联网的早期,认为那是一个乌托邦,在那里,良好的意图、创新和进步是常态。现在,骗子、骗子、黑客、黑帮分子和国家行为者例行公事地滥用开放系统,以至于它们已经成为每个用户的负担。

作为回应,苹果推出了iOS操作系统,这是一个专门为安全而构建的操作系统。这避免了向后兼容性问题,也避免了用户看到他们的环境发生了不想要的变化。总而言之,苹果设法避免了让Windows Vista脱轨的批评和阻挠。

值得一提的是,苹果并不是第一个引入没有降级的锁定系统的公司。任天堂、索尼和微软游戏机限制了可以在其主机操作系统上修改的软件,并且运行能力有限。这就减少了支持电话,减少了挫折感,限制了盗版。

苹果最受吹捧的优点之一是该公司创造了尊重用户隐私的安全设备。事实上,他们甚至在安全问题上与美国政府对簿公堂。然而,iOS仍然是最安全的消费者操作系统。这是通过应对不同威胁的多层安全措施实现的。(通过参考苹果详细的平台安全,你可以清楚地感受到它到底有多全面。)。

安全专家提供了一个了解开发过程的窗口,需要从端到端对系统进行评估,并探索系统如何进行攻击、攻击或黑客攻击,然后设计防御机制并计划何时事情将不可避免地变得更加复杂。“。

以iPhone为例。硬件、操作系统和应用程序在设计时都考虑到了安全专业人员的所有要求。即便如此,现代系统太大、太复杂,不可能是防弹的。研究人员、从业者、业余爱好者和企业都在寻找这些系统中的安全漏洞-一些是为了进一步保护系统,另一些是为了教育目的,还有一些是为了盈利或实现邪恶的目标。

虽然业余爱好者利用这些缺陷来解锁他们的设备并完全控制他们的系统,但独裁者在黑市上购买漏洞来对抗他们的敌人,获得访问泄露数据的权限,或者追踪他们目标的下落。

这就是下一层安全措施的用武之地。当一个缺陷被识别出来时--无论是由研究人员、自动化系统、遥测还是崩溃--软件开发人员为该问题设计了一个修复方案,并推出了平台更新。保持软件更新的好处不仅仅是几个额外的表情符号;许多软件更新都有安全修复。很简单,更新你的手机会让你更安全。然而,值得强调的是,这只对已知的攻击有效。

强制应用程序遵循一套旨在保护隐私和系统完整性的指导方针,并满足对毫无戒心的用户的要求。

以最低限度的功能减少应用程序-减少用户需要处理的垃圾,并减少受攻击面。

尽管如此,App Store的审查过程并不是完美无缺的。一些开发者已经绕过了这些限制:(1)分发隐藏的有效负载,(2)在他们的应用程序在苹果园区进行测试时暂时禁用功能,(3)使用时间触发器,或(4)通过远程控制功能来躲避审查者。

作为一个很好的例子,我们只需要看看Epic Games就可以了。他们欺骗性地提交了“热修复”,这是一种用来修复诸如崩溃等严重问题的做法。在幕后,他们添加了一个新的购买系统,可以在他们选择的时候远程激活。他们在通过了App Store的审查程序后激活了编辑,这并不令人惊讶。

与个人电脑不同,你在智能手机上运行的应用程序与操作系统是隔离的,甚至是相互隔离的,以防止干扰。由于应用程序在“沙盒”下运行,限制了它们的功能,因此您不必每隔几个月重新安装iPhone,因为它们不再起作用。

就像我们上面描述的系统一样,沙箱并不完美。从理论上讲,一个糟糕的行为者可能会利用他们的应用程序中一个未知的安全漏洞,让它通过苹果,然后,一旦它被广泛使用,就会唤醒劫持你系统的休眠代码。

预见到这一点,苹果公司已经建立了一个额外的技术和法律缓解系统。前者允许苹果远程禁用和停用行为不佳的应用程序,以防有人利用主动攻击来伤害用户。法律上的缓解是苹果和软件开发商之间签订的一份合同,可以用来将坏人告上法庭。

保护设备的安全是一场正在进行的军备竞赛,防御者和拦截者不断试图超越对方,没有单一的解决方案可以解决问题。战场最近一直在移动,现在正处于应用商店指导方针的边缘。

在安全措施演变的同时,我们需要收紧App Store的指导方针,包括用于货币化和剥削儿童的行为。(我计划在未来的一篇文章中深入讨论这些问题。)现在,我只想说,作为一名家长,没有什么比App Store更严格的管理应用程序功能的规则更让我高兴的了。最后,我看重我的iOS设备,因为我知道我可以信任它们,把我的信息交给它们,因为安全对苹果来说是至高无上的。

回到原点,Epic Games正在推动应用商店成为一个免费的环境,让人联想到操作系统。与苹果不同的是,Etic在关注隐私和安全方面没有既定的记录(事实上,他们的隐私政策明确允许他们出于营销目的出售您的数据)。该公司不仅向孩子们推销其产品,而且当欧盟对其进行监管时,他们最近不得不收回一些最有问题的骗局-即抢劫箱。归根结底,Etic对他们的投资者负有增加收入的受托责任,他们的增长将他们推上了与苹果的战争之路。

在我的手机安全和隐私之争中,我很高兴知道我的信息是安全可靠的,而且不会卖给出价最高的人。