「X」 (前身為Twitter) 稍早 (11/15) 正式揭曉其承諾已久的全新聊天平台,將以「Chat」功能取代現有的私訊 (Direct Messages) 服務。此次重大更新將導入其他主流通訊軟體具備的完整功能,包含語音與視訊通話、檔案分享、編輯與刪除已傳送訊息,以及更注重隱私的端對端加密 (end-to-end encryption) 與截圖通知。 iOS、網頁版先行,Android稍後推出 「X」表示,這項名為「Chat」的全新聊天平台將從即日起先向iOS與網頁版用戶陸續推送,至於Android版本則標示為「即將推出」 (coming soon)。 此外,「X」也透露正在開發「語音備忘錄」 (voice memo)功能,未來將支援用戶交換音訊訊息。 Say hello to Chat – all-new secure messaging on X. • end-to-end ...
針對將於10月開放測試的「Recall」功能,微軟進一步說明此功能如何確保使用者個人隱私安全。 其中,使用者必須透過Windows Hello生物識別身分驗證才能使用「Recall」功能,同時所有透過「Recall」功能紀錄內容都會以Windows 11內建VBS Enclaves機制加密保護。 而依照微軟說明,VBS Enclaves機制建構在虛擬式安全性 (VBS)記憶體保護區,並且以軟體形成的可信任執行環境,並且透過全程加密方式確保「Recall」功能紀錄內容的安全性,同時存取或變更設定過程也必須透過Windows Hello生物識別身分驗證。 此外,微軟也強調「Recall」功能預設情況下不會紀錄Microsoft Edge、Chrome、Firefox等瀏覽器的個人瀏覽內容,同時也會自動過濾避免儲存使用者網路服務帳號、密碼,或是信用卡等個人敏感資訊。 微軟更標榜「Recall」功能通過不具名的第三方業者審核,強調在滲透測試與安全設計分析均符合要求,而此功能也在微軟內部安全團隊MORSE進行數個月以上的測試,確保此功能使用可靠性。 「Recall」功能是在今年Build 2024期間宣布推出,微軟標榜此功能以人工智慧驅動,能像過往提出「時間軸」 (Timeline)紀錄使用者過往開啟或使用內容的「Recall」功能,雖然先前因為市場考量會有隱私爭議,導致此功能無限期延後推出,但稍早則確定將於10月開放符合「Copilot+ PC」設計的裝置以beta版本形式進行測試。
蘋果宣布,包含iCloud進階資料防護 (Advanced Data Protection)、iMessage聯絡人金鑰驗證 (Contact Key Verification),以及Apple ID安全金鑰 (Security Keys for Apple ID)在內的iCloud全程加密安全功能,將於2023年開始向全球地區用戶開放使用。 其中,在iCloud進階資料防護功能將提供全程加密,並且可讓使用者手動開啟。 目前iCloud服務已經提供iCloud Keychain密碼、健康App的健康資料等14項類別資料全程加密傳輸,藉此確保使用者資料隱私安全。而開啟iCloud進階資料防護功能之後,則可讓加密類別資料增加至23種,包含iCloud備份、相片與筆記內容都會以加密形式保護。 不過,包含iCloud Mail、聯絡人及行事曆資料並未提供加密,主要是考量能與其他同類型服務資料互通,因此並未額外進行全程加密,僅在傳輸過程提供加密保護。 至於在iMessage的聯絡人則是透過金鑰比對方式驗證,藉此確保使用者通訊時的隱私安全,主要針對政府機構、特定人士使用需求打造,在聯絡人雙方均開啟金鑰驗證功能時,即可使用。 若發生有心人士發動竊聽攻擊時,聯絡人雙方都會接獲蘋果系統發出通知,藉此了解有人正在竊聽。同時,聯絡人亦可透過2次驗證,或是藉由FaceTime等方式確認彼此身分。 另外,Apple ID安全金鑰功能則是允許使用者透過第三方實體金鑰進行身分驗證,主要源自2015年開始啟用的2次驗證機制的延伸設計,讓使用者能以更多元方式進行登入身分驗證。 此次更新將在2023年開放全球地區使用者使用,而全程加密功能則會先透過Beta測試計畫開放美國地區使用者測試,預計今年底於美國境內開放使用。
Google宣布,旗下採全時同態加密 (Fully Homomorphic Encryption,FHE)的技術編碼內容,目前已經透過GitHub托管開源,將可讓網路服務可在不進行解密狀態下直接處理加密內容,讓更多敏感或隱私數據能在網路上安全使用。 依照傳統加密處理流程,通常需要在兩側存取端點進行解密才能處理數據內容,因此通常不少惡意攻擊都會鎖定資料存取端點,一旦資料完成解密就會進行攔截或側錄,藉此達成資料竊取、盜用目的。 因此,Google提出的全時同態加密技術,便是在存取兩側端點維持加密狀態,並且可在不解密情況下直接處理數據內容,即便處理數據遭惡意攻擊攔截、側錄,僅會取得難以比對、轉譯的加密內容。 透過此項技術,Google表示將能讓更多網路數據內容被安全使用,例如更容易透過金融、健康等與個人隱私相關數據進行機器學習訓練,或是確保各類線上交易,或是帳號登入比對安全。 而透過GitHub托管開源,更意味開發者能透過開源編碼內容進行客製化,並且依照實際使用需求打造更合適的加密應用技術,藉此確保透過網路傳輸得資料安全。
Zoom宣布,預計在7月釋出beta預覽版本加入更高階的端到端加密功能,將使免費版或付費版Zoom使用者都能享有AES 256 GCM加密效果。 zoom 在此之前,Zoom曾以擔心免費版服務可能會被濫用,因此僅在付費版Zoom提供高階端到端加密功能,結果引起不少批評。 而在後續說明裡,Zoom表示持續與公民自由團體、Zoom資訊安全 (CISO)委員會、兒童安全倡議人士、加密技術專家、政府代表,以及眾多Zoom用戶交換意見,僅而構思可確保用戶隱私與資訊安全方式,讓所有Zoom使用者都能以更高階的端到端加密服務。 依照Zoom的說法,使用免費版Zoom服務的使用者可以透過手機收取簡訊進行單次驗證,藉此確認個人身分,避免有心人士透過Zoom服務從事不法活動,或是濫用Zoom服務。除了藉由驗證機制確保使用者身分,依然可以透過舉報機制讓Zoom使用者檢舉濫用等情況,藉此確保服務使用品質。 不過,雖然可使用AES 256 GCM提供更高階的端到端加密孤能,但相對也會影響部分線上會議功能,例如傳統藉由PSTN電話或SIP/H.323會議室硬體系統連接模式。會議主持人可針對每次會議需要,選擇啟用或關閉端到端加密功能,藉此確保會議內容隱私安全。
XDA Developes論壇網站指稱,Google在版號1.0.315的Files by Google app內,開始加入「安全資料夾」功能,透過密碼加密方式讓使用者「隱藏」特定檔案、文件內容。 (圖/擷自XDA Developes論壇網站) 其實類似功能,包含一加、小米、三星等手機品牌業者都已經提供類似功能設計,若Google未來在Files by Google app內正式加入「安全資料夾」功能,意味所有Android手機都能藉由此項功能加密保護特定文件。 在在版號1.0.315的Files by Google app內增加的「安全資料夾」功能,將可透過4位字元密碼加密上鎖保護,若使用者未輸入正確密碼就無法正常開啟,甚至一旦忘記密碼也將無法讓加密文件內容恢復使用。 不過,由於目前此項功能仍處於測試階段,因此暫時還不會以正式功能對外開放提供使用,而實際開放使用時間依然要以Google公布為準。
Facebook目前已經開始讓少部分iOS平台使用者在Messenger服務測試額外保護機制,避免個人隱私可能意外遭竊。 除了強調會全面加強端到端加密機制,讓使用者透過Messenger服務傳遞內容不會被「竊聽」,Facebook未來更會讓iOS平台使用者可選擇透過Face ID、Touch ID,或是密碼方式進行加密保護,並且可選擇結束使用Messenger後加密,或是在1分鐘、15分鐘與1小時後進行加密。 而依照Facebook說明,目前此項功能僅先在美國境內針對少部分IOS平台使用者提供測試,未來預期會開放更多人使用此項功能,同時也會開放Android平台用戶使用,讓使用者能在Messenger服務使用過程增加額外隱私保護。 雖然不少人會透過密碼、指紋或人臉識別機制加密保護手機隱私內容,但難免可能因為個人使用密碼被人猜中,或是手機處於解鎖狀態,導致手機內的儲存資料、使用服務內容被人窺看,因此,此次在Messenger服務加入額外隱私防護機制,就是為了避免此類情況發生。
路透新聞引述消息來源報導指稱,因應FBI持續施壓情況下,蘋果有可能準備調整原本在iCloud備份所提供加密政策。 在過去幾起槍擊案件中,由於多數破案關鍵存放在犯嫌持有iPhone,但基於蘋果產品加密政策,使得FBI在內美國政府機構多次要求蘋果協助破解加密,或是設置「後門」,以利案情偵辦。 不過,蘋果基於堅持用戶隱私保護原則,一再拒絕協助政府機構破解嫌犯持有裝置,除了強調在其加密機制運作之下,本身也無法從加密數據還原獲取任何資料,同時也認為一旦開了先例,日後將會造成政府機構任意要求提供用戶隱私內容情況,因此持續與FBI在內政府機構產生意見上的衝突。 但從相關消息指稱,蘋果有可能為了減緩FBI施壓,將會在iCloud端到端備份加密政策作調整,除了符合政府單位要求,同時也預期希望避免消費者不慎將自己備份資料加密上鎖,導致無法解開使用。 而蘋果方面則位對此傳聞作回應,同時FBI方面也未對此做出回應聲明。 至於蘋果計畫鬆綁其iCloud備份加密原則,相關看法則認為不會影響現行透過iCloud備份運作的iCloud鑰匙圈 (iCloud Keychain)、網路帳密、個人健康資訊、Apple Pay線上支付資訊,或是Siri數位助理服務使用資訊,此類資訊依然會以端到端加密傳輸使用方式維持運作,只是部分資訊內容或許仍有可能隨著蘋果鬆綁加密政策,而可能讓FBI等政府機構透過申請管道取得。
Mozilla稍早宣布推出旗下可以點對點加密傳輸分享大型檔案的Firefox Send服務,最高可對應2.5GB容量的檔案內容分享。 除了提供大型檔案以點對點加密形式分享功能,Mozilla更強調Firefox Send可設置5分鐘、1小時、1天,或是長達一星期的可下載時間,或是設定最多100次的可連接下載次數。如果使用者希望分享檔案可以進一步做保護的話,甚至還可以額外加上密碼保護,必須輸入正確密碼才能開始下載。 原則上此項服務以免費形式提供使用,而登入個人Firefox帳號才能獲得額外可分享高達2.5GB容量的大型檔案權限,否則在一般未登入Firefox帳號的情況下,僅能分享傳輸最高1GB容量的檔案內容 (但其實也已經夠用了)。 Firefox Send其實早在2017年就已經開始進行測試,直到今年1月初才由Mozilla透露準備正式推出此項服務。之所以提供Firefox Send服務,主要還是基於本身確保網路瀏覽安全的想法,讓使用者能以更安全方式傳輸檔案內容,而不必擔心是否在傳輸過程中遭竊取,或是因為上傳分享之後忘記刪除,導致上傳到網路服務的檔案內容可持續被人下載使用。 最多可設置100次下載次數限制 設置最長可下載時間,以及是否加入密碼保護
剛上線的Google新款聊天服務Allo,稍早由Google確認所有使用者傳遞訊息都會被完整地留存在伺服器內,即便使用者設定一段時間後就自動消失的訊息也會持續存放。 根據The Verge網站向Google求證,所得到回應證實所有使用者透過Allo所傳遞訊息都會被完整地留存在伺服器內,就算使用者透過設定訊息顯示時間期限,讓傳送訊息可在指定時間後自動消失,相關內容依然會持續留存在伺服器。 而就Google的說法表示,會有這樣的調整,主因在於希望能讓Google Assistant數位助理服務可更精準學習,藉此理解使用者習慣應對模式、經常使用服務,並且能以更聰明、即時也正確形式提供使用者最佳回覆建議、使用內容,以及適時提醒使用者接下來的待辦事項。若使用者希望避免Google將個人傳送訊息持續存放在伺服器,目前的方式僅有手動刪除敏感內容,或是避免使用Allo等服務。 就Google方面強調,所有存放在伺服器內的資訊均透過加密保存,即使遭外部攻擊竊取的話,頂多僅能挖掘出經加密的內容,而無法正確辨識從哪一個帳號發出。不過,就Google先前的協議內容,若政府單位透過正常管道請求調閱資料,即便是Allo所使用資訊依然會像Gmail、Hangouts等Google服務一樣可被存取,因此也讓不少使用者再次對Google保護用戶隱私方式產生質疑。 其實就目前多數人工智慧學習模式,可供比對資料越多、類別越豐富情況下,所能反應速度將會更快,同時準確率也會更高,諸如Google Search、Google Now,乃至於今年推出的Google Assistant都是以此為基準,而像AlphaGo的運算模式雖然可以類似大腦思考邏輯推演,但仍須具體資料才能運作比對。
Copyright © 2017 mashdigi.com