9月10日消息,据国外媒体报道,苹果今天除了正式发布iPhone6、iPhone 6 Plus以及Apple Watch三款新硬件产品外,更重要的是还确定了Apple Pay移动支付方案的属实。苹果表示通过Apple Pay,用户将不再需要携带信用卡或填写信用卡信息,iCloud配合NFC(近场通信)技术将为用户带来最简单快捷的支付解决方案。
然而,仅在一周前,好莱坞一众女性还因iCloud账户失窃,导致了个人隐私照片被非法公开。尽管苹果最终经调查后表示,事件并非由公司系统漏洞造成,但iCloud的安全性却仍因此蒙上了一层阴影。
在今天的秋季产品发布会上,苹果准备了一年之久的iPhone 6(及iPhone 6 Plus)俨然以主角的姿态率先登场。但CEO蒂姆·库克(Tim Cook)却并没有为新iPhone的支付功能和新iOS功能作大篇幅介绍,事实上,整个iPhone章节的介绍在发布会上也只持续了40分钟,为历届里最短的一次。当然,我们完全理解库克——其并不希望一周前的iCloud事件,将因iPhone新功能的发布而又再次被媒体过分关注。
可惜无法避免的是,苹果的Apple Pay和健康数据追踪需要记录数据,用户是否还相信苹果,是不得不考虑的一个问题。
苹果宣布Apple Pay产品后,就有Twitter用户立即发推文进行调侃。其中,一位名叫杰克·贝克曼(Jake Beckman)的用户就以苹果的口吻说道:“我们刚刚泄露了你们的照片。现在请把你们的信用卡信息告知我们。”而另一位名叫莎拉·郑(Sarah Jeong)的用户则表示:“如果你不想你的钱被偷窃,你为什么要将其(信用卡信息)存在iCloud上?”
Apple Pay显然是让用户最为担心的新功能。但从严格的安全角度看,Apple Pay其实要比传统信用卡更加保险。捆绑的信用卡信息是被深层加密的,每次交易所使用的则是动态的、一次性的支付代号。用户敏感的数据其实是被存于一个被称为“Secure Element”的安全机制中,而信用卡公司也早已对该机制测试了相当长一段时间。加上苹果TouchID的指纹加密,Apple Pay是具备相当安全可靠性的。并且苹果也从某种角度承认了iCloud的不足——公司要求开发者不保存用户敏感信息,包括Apple Pay和Healthkit的数据,这些数据不会保存于iCloud中。
iCloud的安全隐患其实可以追溯到2012年。当时有人通过账单地址和信用卡最后四位数而获得了作家马特·霍南(Mat Honan)的iCloud账户访问权,而苹果的设备又是无缝关联的,这就意味着他人可以同步地将霍南iPhone、iPad等设备的数据一次性清除,数年累积的照片就这样全部没了。苹果在此事件后改善了iCloud安全机制,关闭了部分漏洞,但还是留给黑客们足够的余地,让又一次安全事件在两年后重演。
随着iOS 8的推出,苹果为iCloud拿出了迄今最严苛的“两步验证”安全解决方案。用户有权选择启用该机制,或不启用。若选择前者,简单地单次密码输入将不再被获准访问账户。除了默认的密码外,访问iCloud还需要一个临时性的四位数验证号码。这种机制要比单次的密码输入更安全。但PayPal则认为“两步验证”相比“ironclad”(装甲保护)解决方案仍是有相当差距。不过用户希望避免使用过程繁琐,并实现无缝集成的渴求总是与安全保障相抵触的。苹果选择了让破译原始数据变得繁琐困难,以换取简易的用户登录体验,不过结局却是让人们感觉到该公司在保护用户隐私上不力,缺少应有的能力。
Apple Pay推出后,苹果将会面临大量新的问题。用户很容易担心其支付信息最终是否也会遭遇iCloud的泄漏问题。不过话说回来,苹果并非是一家在安全保护方面表现不给力的公司。事实上整个行业在安全保护上都做得很差。这是存在原因的,其中大部分因为复杂和不断变换的基础设施,而且没有意愿去保证连续性和严格审查制度。相比竞争对手,苹果在排查程序漏洞方面其实表现也并不差。只是公司走得太快,把一切其他发展都甩在了后边。如果苹果的安全保护机制开发无法跟上发展进度,那么Apple Pay将更多数据和更多获得途径曝露与于众,将是危险之举。
也许最近的iCloud事件只是一个提醒。就像库克所说的那样,公司如今正在审视其安全规范和机制的合理性。也或许,我们现在来到了一个新的网络安全的时代,就像90年代微软为互联网的普及做出巨大转变一样。当然,只要愿意,苹果显然有能力有资源去做出改变。但无论如何,随着苹果数年来最盛大的一次发布会的结束,用户对其安全保护的担忧也达到了空前的高度。