新浪科技 软硬件

揭秘苹果绝密测试机构:零下40度锻造iPhone防御系统

新浪科技

关注

导语:英国《独立报》日前发表长文,揭秘苹果的绝密测试机构。在这里,iPhone和苹果其他产品的芯片正在接受最严格、最紧张的测试。

以下为文章全文:

在苹果新园区附近的一处大房子里,最先进的机器正在加热、冷却、推动、摇晃,以及以其他方式“摧残”芯片。作为iPhone和苹果其他产品的计算核心,这些芯片正在接受最严格、最紧张的测试。整个房间里有数百个电路板,电路板将芯片连接在一起。这些电路板被放在数百个盒子里,而测试过程就在这些盒子里进行。

这些测试是为了观察,在正式启用之后,芯片是否能抵御任何可能的攻击。如果在测试中成功,那么在其他任何地方都应该成功。这点很重要,因为如果在实际使用中出现问题,那么苹果也将遭遇问题。保护用户的数据隐私是苹果一场永不停止的战斗,而在这场战斗中,这些芯片是最重要的防线。

这是一场存在于多条战线的战斗:针对想要读取用户个人数据的政府部门,针对试图入侵设备的黑客,以及针对攻击苹果严格隐私保护政策的其他公司。这也意味着不会给美国政府提供,他们认为有助于打击恐怖主义的信息。

批评者认为,这种做法意味着苹果过度关注隐私保护,限制了其他功能,并且只有苹果赚取到巨额财富后才有可能这样做。苹果利用产品溢价赚到了大笔现金,实际上剥夺了那些无力承担高价产品的用户本该享受的福利。

但苹果表示,这样的战斗是必要的:隐私是一项人权,即使面对激烈的批评和困难,也必须坚持这点。

对公司来说,隐私保护既是个技术问题,也是个政策问题。苹果认为,数据隐私是该公司工作最核心的部分之一。通过在产品开发中体现这些原则,苹果将这样的理念付诸实践。

苹果的产品从一开始就致力于维护用户隐私。苹果的员工常常会讨论“从设计上保护隐私”的原则,即在工程开发的每个步骤中都考虑数据的安全,并且将其编码到其中的每个部分。同样重要的是“默认保护隐私”的概念,这意味着苹果假定数据不该被收集,除非真的非常有必要。

苹果负责软件工程的高级副总裁克雷格·费德里西(Craig Federighi)表示:“我可以告诉你,对隐私的考虑是整个流程的开始,而不是结束。当我们讨论产品开发时,首先出现的问题之一就是,我们要如何管理这些用户数据?”在苹果漂亮的新园区里,费德里西试图解释苹果对隐私保护的承诺,证明隐私保护在公司价值观中的核心地位是恰当的,尽管许多用户对此漠不关心,甚至嗤之以鼻。

苹果关于隐私保护的原则非常简单:在没有必要的情况下,苹果不想要知道关于你的任何信息。费德里西说,苹果并不想通过收集数据来生成用户的兴趣资料,随后用于广告瞄准。

他说:“我们没有兴趣了解你作为一家公司的全部情况,也不想知道关于你的所有情况。我们认为,你的设备对你来说应该个性化,但这是在受你控制的前提下。苹果并不想要了解你,我们没有动机这样做。”

“从道德上来说,我们并不想这样做。我认为,这是我们与其他许多公司立场的根本不同。”

在这些奇怪盒子里接受测试的芯片只是这个庞大任务的一部分。芯片里面集成了苹果最为自豪的成果之一:“安全堡垒”(Secure Enclave)。

这样的安全堡垒就像是内部密室,存储着手机中最敏感的信息,并配备了所需的全部安全措施。

这项功能随iPhone 5s推出,并且每年都在得到优化。“安全堡垒”是手机中的一个独立部分,对什么时候可以访问、可以访问哪些数据有着明确限制。这其中保存着一些关键信息。例如,当用户把指纹放在传感器上,它会检查指纹生物识别数据的密钥;当用户发送加密信息时,它可以保管密钥,确保只有发送或接收信息的人才能读取信息。

如果想要保证手机的安全,那么这些密钥必须是安全的:这些密钥保护着用户的生物识别数据,而这样的数据确保手机内信息只能被其所有者查看。信息安全专家表示,尽管苹果的方法中仍然存在一些瑕疵(例如有过一种已被证明不实的说法,即Face ID面部识别技术可能被人体模型骗过),但苹果的方法已经奏效。

Malwarebytes首席恶意软件分析师克里斯·博伊德(Chris Boyd)表示:“生物识别技术并不完美,人们此前在网上发布巧妙的绕开方法试图证明这点。然而自从苹果推出安全堡垒以来,并没有发生过任何重大安全问题。2017年,iPhone 5s安全堡垒固件解密密钥的发布在很大程度上被过度夸大。”

所有这些高尚的原则是无可争辩的,没有任何人希望自己的信息在不经意间被分享。然而正如乔布斯所说的那样,产品设计决定了产品的工作方式,产品的安全性只有在实际使用中才能得到证明。

因此,对芯片进行压力测试的目的是,看看它们在极端情况下是否会发生问题。如果发生,那么就可以在实验室中得到解决,而不会在用户手机中出现。芯片任何不正常的行为都可能会对设备造成致命的影响。

正常的手机不太可能遭到这样的“摧残”,这意味着用户可能会进入到零下40度的环境中,或是手机被加热到110度。但这里的担忧并不局限在普通情况。如果发现芯片在这样的极端环境中出现不正常行为,那么恶意分子就可能将手机置于这样的极端环境中,提取手机中的所有数据。

如果在手机被交付给用户之后才发现问题,那么苹果将什么也做不了。与软件更新不同,芯片在提供给用户之后将无法再更改。因此,苹果希望在这个房间里发现任何可能的风险,随后调整并修复,以确保芯片能应付任何可能遇到的环境。

在被放在这个房间内之前,芯片开发已经有几年时间。而只有在这个房间里接受测试几年之后,苹果才会将芯片交到用户手中。(芯片本身配有注释表用途是什么,但芯片上方贴上了贴纸,来阻止我们查看。)

最终,这些芯片将用于苹果的新款iPhone、Mac、Apple Watch,以及其他未来可能推出的高端数码产品。这些产品的成本引发了苹果竞争对手的一些批评,它们认为这正是隐私保护带来的代价;苹果声称该公司收集的数据很少,这是正确的,但之所以该公司能这样做,是因为苹果的产品卖出了高价。谷歌CEO桑达尔·皮查伊(Sundar Pichai)最近就提出了这样的观点,而这也成为科技公司近期就隐私问题展开的一系列激烈争论的一部分。

皮查伊在《纽约时报》的一篇专栏文章中表示:“隐私保护不能只提供给那些买得起优质产品和服务的人。”他没有指名道姓地提到苹果,但实际情况不言而喻。

皮查伊认为,数据收集有助于降低技术使用成本。这呼应了针对苹果的观点,即苹果有能力专注隐私保护只是因为产品价格昂贵,因此能负担得起相关成本。对隐私保护采取更宽松的做法有助于让全球最大的一些科技产品,包括谷歌和Instagram实现免费,至少在使用时如此。

费德里西则表示:“我并不认同这种说法。”他对于公众的攻击感到非常惊讶。

“一方面,令人欣慰的是,在过去几个月时间里,其他公司似乎在隐私保护问题上发出了许多积极的声音。我认为,目前出现了更深层次的问题,几个月时间和多篇新闻稿可以带来什么影响。我认为,你必须从根本上审视公司的文化、价值观和商业模式。这些不是一夜之间就可以改变的。”

“但是,我们当然要为世界树立良好的榜样,向业界展示怎样做可以提高人们对产品的期望,不论产品来自我们还是其他公司。当然,我们希望最终能把苹果的产品卖给所有人,而不仅仅是能负担得起的人群。我们认为,每个人都有资格享受更好的产品体验,因此我们渴望开发这样的技术。”

费德里西说,在收集数据量很少,且采取措施避免外界窥探的情况下,位置数据存储的重要性就会下降。

他说:“当然,首先就是数据量最小化技术,以及我们保护设备内数据不被外界访问的能力。所有这些都意味着,数据首先不会存储在任何云计算平台内,从而可能被各种人访问。”由于不收集数据,政府官员不可能读取或滥用数据。

更重要的是,费德里西认为,由于数据是加密的,因此即使被拦截,即某人获得了存储数据的磁盘驱动器,数据也不可能被读取。只有发送和接收消息的两个用户才能读取。其他人看到的只是一段乱七八糟的数据,只有用特定密钥才能解锁。

在美国国内,苹果对隐私保护的承诺导致该公司与美国政府部门,以及相对传统的竞争对手产生了矛盾。其中最著名的事件发生在加州圣贝纳迪诺的一次枪击案之后,美国联邦调查局(FBI)试图查看有关袭击者的信息,因此要求苹果开发一个专门版本的软件,绕开保护机制,允许FBI访问嫌犯的手机信息。苹果则认为,不能在一起案件中就削弱安全性,因此拒绝了FBI的要求。

FBI最终自行解决了这个问题。有报道称,它们使用了来自一家以色列公司的软件工具去解锁手机,从而获得手机内的信息。然而,这场争论一直持续到现在。苹果并没有改变立场,并坚持认为,尽管政府要求协助解锁手机,但这样做实际上会不利于国家安全。

费德里西指出,并不是手机上的所有敏感数据都属于个人,其中一些数据可能是非常公开的。

他说:“如果我是一家发电厂的工人,我可能会接触到能造成严重后果的系统。对这些装置的保护和安全性对公共安全非常重要。”

“我们知道,有许多攻击者想要从中牟利,或是想要侵入我们的设备,获得有价值的信息。”

苹果多次表示,只允许政府使用安全设备的后门是不可能的。任何允许司法部门使用的后门都会不可避免地被犯罪分子所利用。因此费德里西认为,需要尽可能地保护手机用户,确保数据的私密性,并确保设备的安全。

他仍然乐观地认为,这样的争论将得到解决。他说:“我认为,我们最终希望各国政府接受这样一种观点,即每个人手中都使用安全可靠的系统,才能给我们带来更大的价值。”

另一方面,苹果也不得不面对另一种观点,即用户根本不关心隐私保护。用户一再表明,他们愿意放弃数据所有权,以获得免费功能。在苹果App Store排名前十的应用中,有4款来自Facebook。而Facebook将这样的妥协置于业务的核心。

很容易得出这样的结论:我们生活在一个“后隐私保护”的世界里。随着互联网的发展,信息变得更公开,似乎每种新的科技产品都在为用户提供新方式,来分享更多关于自己的信息。

但近几个月以来,这种情况似乎有所改变。费德里西说,人们越来越清楚地认识到,信息的隐私是社会健康的核心之一。

“你知道,我认为人们有点宿命论的感觉,会认为信息保护已死。”他说,“但我并不相信这种说法,我认为人们正在意识到,隐私保护对于良好的社会运行是非常重要的。”

“作为社会整体,我们将在这个问题上投入越来越多的精力。我们为自己的努力感到自豪。”

苹果仍然需要与这样的事实做斗争,即用户已经公开自己的数据,以至于许多数据在很大程度上已经不再敏感。在政府监控和广告瞄准之间,许多用户都默认认为,他们所做的每件事都会被人跟踪。他们的反应大多是冷漠,而不再恐惧。

这给苹果带来了问题,该公司花了大量时间和精力来保护隐私。但费德里西认为,随着这种情绪转为担忧,苹果的立场将会得到证明。

他说:“有些人非常关心,有些人根本不去想这件事。”如果苹果继续开发不会侵犯用户隐私的产品,那么就会提高行业的标准。这样做将会改变此前的观点,即为了获得新功能需要用户公开自己的信息。

“我认为,我们可以为可能的未来树立积极的榜样。我们将提高人们的期望,这就是为什么这款应用要用我的数据来做这件事?苹果看起来不必这么做,那么为什么这款应用要这样做?”

“我认为,我们正越来越多地看到这点。这种榜样力量正是驱动我们这样做的一个关键。我们知道,这是条漫长的道路,但我们认为我们最终会取得胜利。而且我们认为,无论如何这都是值得的。”

最近数月——在最近发生的丑闻之后——几乎每家科技公司都在努力改善隐私问题。谷歌在没有弄清楚如何保护他们生成的数据之前,不会发布任何新产品;即便是以信息分享为目的而存在的Facebook,也宣称公司正朝着隐私优先的策略发展,毫无疑问,是为了限制接二连三发生的数据滥用丑闻对公司的破坏。

隐私正濒临变成营销术语的威胁。和之前的人工智能、机器学习类似,很有可能,隐私正成为科技公司用来向用户承诺他们所思所想的一个名词——即便这个词如何真正为科技公司所用我们很大程度上仍不知晓。

隐私国际(Privacy International)曾多次呼吁苹果及其他竞争公司更多地关注隐私问题。该组织的技术负责人克里斯托弗·韦瑟希德(Christopher Weatherhead)认为,在一些基本条件尚未得到满足的情况下,有些公司最近采取的重新定位措施很难说是认真严肃的。“许多硅谷公司眼下都把他们自己说成致力于打造一个更加注重隐私之未来的公司,但除非基本问题得到解决,否则眼下的这一切不过是营销上的虚张声势,”韦瑟希德说。

费德里希相信,无论人们是否关心隐私,也不管这个词如何被使用或滥用,苹果都将继续致力于保护隐私。但他也承认,自己对隐私之于未来的意义仍感到担忧。

“不管我们是否信任之,或者人们注意到其中的差异,我们都会这样做,因为我们正在开发这些产品,一些我们认为应该存在于世的产品,”他说,“我认为,如果公众最终被误导,且未能意识到真相,竟以为‘我使用的产品是尊重我的隐私的’的话,事情就比较糟糕了。事实上,隐私已然成为一个廉价词。因此,就这一点,我很担心我们的世界。但它肯定也不会影响我们的所作所为。”

苹果的批评者称,即便隐私不是奢侈品,它至少也是一个用来妥协的东西;开发产品的同时尽可能少地去考虑购买产品的那些人也是一种权衡,这种权衡包括了放弃某些最好的功能。

比如,谷歌的很多产品收集的数据不仅用于广告,也用于应用本身的个性化设置;谷歌地图可以知道用户喜欢的餐厅。Netflix也收集关于其用户的信息——公司推出的热门剧集《黑镜:潘达斯奈基》更像是一种数据收集活动,然后Netflix再将这些数据用来决定制作哪些节目,以及向用户推荐什么节目。

用来说明保护隐私的同时也意味着放弃某些功能或性能的最常引用的例子是语音助理。以谷歌的语音助理为例,它需要来自互联网的信息以自我改进,从而允许其学习如何更好地倾听人类的话语以及在需要时给予更加有用的回答;苹果的隐私实践意味着,Siri并没有那么多数据可供其使用。批评者认为,这会阻碍Siri的性能,让其在听和说方面都稍显逊色。

苹果坚持认为,数据的缺乏不会影响产品性能。

“我相信我们能够提供最好的体验,并引以为豪。在这个行业有一种假象,好像不妥协一番以获得更好的体验,你就需要放弃隐私,”费德里希说,“所以我们打算挑战自己,有时候这意味着更多的工作。但一切都是值得的。”

“解决这个问题的过程十分有趣。”

苹果称,与相对不加以区分地收集数据——然后把数据放入数据集用以促进广告销售和产品改善——不同,它可以使用替代技术来保持产品的智能性。也许最不寻常的是对“差异隐私”的依赖。这是一种计算机技术,可以在不知道所收集数据之对象的情况下收集大量数据。

以向自动更正键盘中添加新单词这个难题为例,这个新的说话方式反映在手机的内部词典中。在这样做的同时收集大量数据其实相对比较简单:只要收集每个人说的一切内容,然后当一个单词达到最小使用量时,即可判断这个词是一个单词而非错误拼写。但是,苹果不希望阅读人们说的话。

相反,苹果依赖于差异隐私。也就是说,它先收集人们添加到字典的词然后将收集的单词模糊化,使数据错上加错。添加到新单词中的是一大堆自动生成的错误单词。若趋势足够一致,它将仍存在与数据中——但任何单个的词可能都是“模糊”词的一部分,从而保护数据集中涉及之人的隐私。这是一个复杂又混乱的过程。但简而言之,它可以让苹果从整体上了解用户,却又不必去洞悉每个个体用户的隐私。

在其他情况下,苹果只是选择获取公开可用的信息,而不是依赖于收集那些使用其服务之人的隐私数据。

谷歌或许会通过搜索使用其服务之人的照片来改进其图像识别工具。他们把用户的照片送进计算机,然后让计算机学习识别照片中的对象;苹果则是花钱购买一组公共照片,而非直接取用人们的私人照片。费德里希说,同样的事情也发生在语音识别上——公司可以收听世界各地的音频,如播客——公司还付费让人们探索和注释数据集,这样人们的数据仍旧保持私密,不会被解读制作成训练数据集,用来训练匿名的人工智能服务。

苹果还致力于确保公司用户和他们的设备不会被其他人侵害。公司一直在研发名为“智能跟踪预防”的技术,内置于苹果的浏览器Safari中。近年来,广告公司和其他窥探组织一直在试图用各种新的办法来跟踪人们在互联网上的一举一动;苹果则一直在努力抢先一步,将用户浏览互联网时的行踪隐藏起来。

但是所有这些细节的背后也是一种哲学上的差异。在很多情况下,这些信息都不需要首先发送给苹果。

这一切均源自一个简单的事实:苹果不想知道这些信息。你能知道的任何东西,也可以轻易地为别人所知;不知道则是保护数据不被滥用的最有效方式。

“从根本上说,我们将个性化信息的集中化视为一种威胁,无论这些集中的个性化数据是在苹果手中还是在其他人手中,”费德里希说,“我们不认为,光有服务器领域的安全性就可以长期保护隐私数据。因此,保护用户隐私的最终极办法就是确保你永远不会书安县收集并集中化这些数据。所以,我们在每个可能的地方从一开始就将这一理念构建到我们的架构中。”

事实上, 一切工作都是在用户的手机上通过强大的计算机完成的。苹果表示,公司不会将大量数据上传到服务器上然后让员工筛选数据,而是更倾向于让手机变得更加智能,把数据都留在手机上,进行处理——也就是说,即便他们想,苹果或其他任何人也无法窥探到那些数据。

“去年秋天,我们曾谈到我们芯片上的一个特殊领域,我们在iPhone和最新的iPad上使用了名为苹果神经引擎的技术,它在处理AI推理方面性能非常强大,”Craig 费德里希说,“因此,以前需要在大型服务器上处理的任务,现在可以在设备上完成。以及,当涉及就个人信息进行推理时,你的设备也是执行这一任务的最完美场所:你有许多本地环境,它们本不该离开你的设备,流入某些其他的公司。”

最终,这本身可能会被视为一种功能。这种方法本身具有优势——无论人们是否将其与隐私联想到一起,它都可以提高性能。

“我认为,最终的趋势是渐渐向设备靠拢,因为你一边希望智能功能能够尊重你的隐私,一边又想要随时随地地使用这些功能,不管有没有良好的网络连接,你都希望智能功能性能出色延迟又低。”

如果苹果不打算收集公司用户的数据,那么苹果就需要从别处获得数据——有时候,这意味着公司会从收集自己员工的数据。

这种情况发生在苹果的健康和健身实验室里。这个实验室隐藏在加州一处不起眼的建筑内:周围环境与苹果总部那些单调的办公空间风格类似,但是在围墙背后是开发出公司最近一些最受欢迎产品的关键。

苹果对健康的重视在Apple Watch上一览无余,但事实上这个理念已经渗透到公司的所有产品内。蒂姆·库克(Tim Cook)说,这将是公司“对人类的最大贡献”。收集这些数据已经帮助挽救了不少人的生命。公司显然对即将收集的新数据、对收集数据的新方法以及新的处理方式态度乐观且兴奋。

但健康数据也是关于某个人的最重要且最敏感的可能信息。很有可能的是,你的手机比你的医生更加了解你的健康状况——但你的医生受职业道德、行业法规与规范的制约,可以确保他们不会意外地将你的这些信息泄露出去。

这些保护不仅出于道德要求,也在于实际需要;人们与他们医生之间的信息交流,仅在两者之间的关系能够得到保护隐私的承诺时,才得以流畅进行。如果医疗专业人员与患者之间的关系,与人们与他们手机之间的关系类似,后果不堪想象。

为了应对这个问题,苹果创建了自己的健身实验室。这是一个致力于收集数据的地方——也是苹果努力保持数据安全的各种方式的纪念碑。

数据通过戴在参与研究之人的面部周围的面具流入,数据由员工收集,他们将自己的发现输入用过高科技剪贴板的iPad,然后数据流入他们手腕上的Apple Watch。

一个房间里有一个大游泳池,人们可以在里边游泳,脸上所佩戴的面具可以分析他们的动作。隔壁是戴着同样面具正在练瑜伽的一群人。另一个部分包括几个大房间,有的房间很凉快,有的很热,里边的人可以观察温度如何改变收集的数据。

所有这些数据都将用于收集和理解更多的数据,更多的来自普通人的数据。这些实验室的功能在于调整Apple Watch的工作算法,并通过这些调整让收集的信息更加有用:比如,苹果可能会知道,有一种更高效的办法可以计算出人们在跑步时燃烧了多少卡路里,然后这可以带来硬件与软件的改进,这些改进未来将会应用到用户手腕上的设备。

但即便大量的数据正在被收集,这些数据也是匿名的且信息量减少至最低。自愿参加研究的苹果员工进入大楼前须接受扫描确认身份,进入大楼后随即取消与身份卡的关联,仅获得一个与员工身份毫无联系的匿名标识。

通过这些刻意为之的设计,苹果甚至不知道自己的员工正在收集哪些数据。员工也不知道为什么他们的数据正在被收集,只知道这些对未来某个未知的产品有帮助。

批评人士或许会认为所有这一切都不是不必要的:苹果不需要制作自己的芯片,不需要收集自己的数据,让员工和芯片都处于陌生的环境以保持信心的私密性。苹果则认为,公司不希望购买那些数据或芯片,公司所做的一切皆在于开发新功能的同时亦妥善保护用户隐私安全。

众所周知,苹果从来都是对自己的新产品守口如瓶。公司也希望对用户隐私守口如瓶。但公司为此所付出的所有努力以及所有原则都将在隐私安全上接受考验——这份考验或将决定公司与互联网的未来。(图尔 邱越)

加载中...