Apple 預覽了一項創新安全功能,為被高度針對性的數位攻擊潛在對象提供專門的額外保護,讓他們不受由私人企業開發、由國家支持的僱傭間諜軟體侵害。Apple 還提供了其 1,000 萬美元捐款的詳細資訊,以支持揭露此類威脅的研究。
Apple 今天詳細提供了兩項新行動,協助保護可能被複雜數位威脅針對的使用者,例如那些由私人企業開發、由國家支持的僱傭間諜軟體。Lockdown Mode 是一項同類型功能中的重要首創,將在今年秋季隨 iOS 16、iPadOS 16 和 macOS Ventura 推出,專門為面臨嚴重針對性威脅的極少數使用者之數位安全,提供可選擇的極端保護。Apple 也分享了於去年 11 月宣布,用於網路安全的 1,000 萬美元捐款詳細資訊,支持民間社會組織執行僱傭間諜軟體威脅的研究與宣傳。
Apple 安全工程與架構主管 Ivan Krstić 表示:「Apple 製作了市場上最安全的行動裝置。Lockdown Mode 是一項創新功能,反映我們對保護使用者的堅定承諾,即便是最罕見、最複雜的攻擊。雖然絕大多數的使用者永遠都不會是高度針對性網路攻擊的受害者,但我們仍然孜孜矻矻,保護那些可能受害的少數使用者。這項努力包括持續專為這些使用者設計防護措施,並支持世界各地的研究者和組織,協助他們揭露製造這些數位攻擊之僱傭公司的重要工作。
Lockdown Mode 為極少數使用者提供了可選擇的極端安全防護,他們由於身分或工作成為複雜數位威脅的潛在針對對象,例如來自 NSO Group 和其他由私人企業開發、由國家支持的僱傭間諜軟體。在 iOS 16、iPadOS 16 和 macOS Ventura 中打開 Lockdown Mode 可進一步加強裝置的防護,並嚴格限制特定功能,進而大幅減少可能被高度針對性的僱傭間諜軟體利用的攻擊面。
推出時,Lockdown Mode 將包含下列保護功能:
■ Messages:除了影像之外,阻擋大多數訊息附加類型,並停用連結預覽等部分功能。
網站預覽:停用即時編譯 (JIT) 等特定的複雜網路技術,除非使用者從 Lockdown Mode 將信任的網站排除。
■ Apple 服務:若使用者並未事先向發起者送出通話或要求,將阻擋傳入的邀請或服務要求,包括 FaceTime 通話。
■ 當 iPhone 鎖定時,阻擋與電腦或配件的有線連結。
■ 在 Lockdown Mode 開啟時,無法安裝描述檔,裝置亦無法加入行動設備管理 (MDM)。
Apple 會持續強化 Lockdown Mode,並陸續加入新的防護措施。為了邀請安全研究社群回饋與合作,Apple 也在 Apple Security Bounty 計畫建立了新的類別,獎勵找出 Lockdown Mode 漏洞,並協助改善其防護措施的研究者。針對 Lockdown Mode 符合條件的發現,賞金提高至兩倍,高達 200 萬美元,為業內上限最高的賞金支出。
除了從對 NSO Group 提起的訴訟中獲得的任何損害賠償,Apple 另外提供 1,000 萬美元捐款,支持調查、揭露和防止高度針對性網路攻擊,以及由國家支持、由私人企業開發的僱傭間諜軟體的組織。捐款將注入由 Ford Foundation 成立並提供顧問諮詢的 Dignity and Justice Fund。該私人基金會致力於匯集慈善資源,促進全球社會的公平正義。Dignity and Justice Fund 是 501 (c)(3) 公共慈善機構 New Venture Fund 的財政贊助計畫。
Ford Foundation 的技術與社會計畫主任 Lori McGlinchey 表示:「全球間諜軟體交易以人權捍衛者、記者和異議者為目標,助長暴力、強化威權主義,並支持政治鎮壓。Ford Foundation 很自豪能夠支持這項非凡的倡議,協助民間社會的研究和宣傳,抵制僱傭間諜軟體。我們必須以 Apple 的承諾為基礎,邀請公司和捐助者加入 Dignity and Justice Fund,為這場集體戰鬥注入更多資源。」
Dignity and Justice Fund 預計將在 2022 年底或 2023 年初提供第一筆撥款,初期資助的方法是幫助揭露僱傭間諜軟體並保護潛在目標,包括:
建設組織能力,並加強新舊民間社會網絡安全研究和倡議團體的現場協調。
支援開發標準化取證方法,偵測和確認符合證據標準的間諜軟體滲透。
使民間社會能夠更有效地與設備製造商、軟體開發商、商業安全公司和其他相關公司合作,以辨識和解決漏洞。
提高投資者、記者和政策制定者對全球僱傭間諜軟體行業的認知。
培養人權維護者識別和應對間諜軟體攻擊的能力,包括針對網路面臨更大威脅的組織進行安全審核。
獨立的 Technical Advisory Committee 將為 Dignity and Justice Fund 針對追蹤和追究增強型網路武器交易責任的捐款策略提供建議。初始成員包括:
Access Now 數位安全服務平台分析師 Daniel Bedoya Arroyo
多倫多大學蒙克全球事務與公共政策學院政治學校受暨 Citizen Lab 主任 Ron Deibert
The Engine Room 副主任 Paola Mosso
Amnesty International 旗下 Amnesty Tech 主任 Rasha Abdul Rahim
Apple 安全工程與架構主管 Ivan Krstić
多倫多大學 Citizen Lab 主任 Ron Deibert 表示:「Citizen Lab 和其他組織的研究現在有鐵證表明,僱傭監視產業正在促進威權主義和大規模侵犯人權行為在全球範圍內的傳播,我對 Apple 設立這項重要捐款表示讚賞,這將發出強烈的訊息,幫助培養獨立研究人員和倡導組織,讓僱傭間諜軟體供應商對他們對無辜人民造成的傷害負責。」
以上內容來自 [ Apple Newsroom ] nr.apple.com/d2I3N638A8
