苹果与安卓展开AI手机隐私保护大战;
在隐私保护为重要卖点的AI手机市场,苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。
随着生成式AI技术逐渐融入手机核心功能,隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”(Apple Intelligence),宣布与OpenAI合作将ChatGPT引入iPhone,标志着苹果在AI领域迈出了一大步,同时也引发了外界对苹果隐私保护的广泛关注。
除了消费者外,苹果智能还面临着虎视眈眈的欧盟《数字市场法案》(DMA)。就在苹果全球开发者大会结束后不久,6月25日欧盟委员会通知苹果公司将对其展开调查,因为苹果公司(阻挠第三方应用商店的反市场竞争)行为违反了欧盟DMA法律,可能被处以全球总营业额10%的天价罚款。
苹果打造AI隐私新标准:隐私云计算
在全球开发者大会上,苹果的软件工程高级副总裁Craig Federighi表示,苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行,提供一种创新的隐私保护方式。
“苹果通过PCC设计了一种新的端到端AI架构,扩展了用户iPhone的私人云环境,允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上,这意味着苹果可以掩盖AI请求的来源,防止包括苹果在内的任何人访问用户数据。Doffman表示,“理论上,这接近于云端AI的端到端加密。”
Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出,苹果的目标是确保AI的使用,即便在云端,也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素,但他认为苹果已经做得相当出色。
遗憾的是,虽然将隐私保护作为重要卖点,但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能,原因是“《数字市场法案》带来的监管不确定性”。
安卓的“混合AI”
三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示,这种方法旨在提供强大AI功能的同时,尽可能保护隐私。然而,这种混合AI处理方式仍存在风险,因为部分数据需要传输到云端服务器,可能更容易被截获或滥用。
谷歌和其硬件合作伙伴则认为,隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说,其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施,包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示,谷歌的AI功能依赖于其自身的云端模型,确保敏感信息不会被发送给第三方处理。
第三方风险
与安卓AI不同,“苹果智能”还面临第三方风险。事实上,苹果与OpenAI的合作一开始就引发了外界的广泛质疑,尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称,苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁,如果苹果在操作系统层面整合OpenAI,其公司将禁止使用苹果设备。
苹果反驳了马斯克的指控,称与OpenAI的合作不会影响iPhone的安全性,并强调了为用户隐私提供的保护措施,包括查询共享前需征得用户同意和IP地址的匿名处理。然而,安全专家仍对合作的隐私影响和“第三方风险”表示担忧。
AI手机的隐私保护竞赛
苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭,其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式,为PCC的软件图像提供公开访问,让外部安全研究人员能够检查其软件功能并识别问题。
随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能,隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的,“苹果(宣称的)的隐私保护能力仍然是重视数据安全的用户的关注重点。”
选择苹果iOS还是安卓AI手机,最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看,“苹果智能”在隐私保护方面的表现已经领先安卓。
100 亿条密码汇编集合 RockYou2024 泄露,酿成史上最大密码泄露事件
近日,Cybernews 的研究人员发现了一个包含 9948575739 个明文密码的名为rockyou2024.txt 的数据文档被泄露。根据推测,这可能是有史以来最大的密码汇编集合泄露事件。
虽然上传该文档的用户是在 2024 年 5 月底注册的,但他此前曾分享过西蒙斯律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿郡罗文学院的学生申请表。
研究小组将 RockYou2024 泄露事件中包含的密码与 Cybernews 的泄露密码检查器中的数据进行了交叉比对,发现这些密码均来自此前发生的数据泄露事件。
RockYou2024密码汇编集合里包含世界各地个人使用的真实密码。研究人员认为,黑客将数量如此庞大的密码泄露出去,大大增加了凭证填充攻击的风险。
凭据填充攻击会对用户和企业造成严重损害。例如,最近针对桑坦德银行、Ticketmaster、Advance Auto Parts、QuoteWizard 等公司的攻击事件就是针对受害者的云服务提供商 Snowflake 的凭据填充攻击的直接结果。
此外,黑客还可以利用 RockYou2024 密码汇编进行暴力破解攻击,并在未经授权的情况下访问使用数据集中所含密码的个人所使用的各种在线账户。
黑客论坛上宣布泄密的帖子,图片来源:Cybernews
RockYou密码汇编集合数据并非首次泄露
2021年,Cybernews 就曾发表过一篇关于 RockYou2021 密码汇编的报道。
当时有用户在某黑客论坛上发布了一个100GB 的txt文件遭遇泄露,这也是当时最大的密码汇编集合,共包含 84 亿个纯文本密码。
据帖子作者称,泄露的所有密码长度都是6-20个字符,非ascii字符和空格都被删除。该作者还声称文件中包含820亿条密码。然而,在Cybernes测试后发现,实际的数字仅为宣称的十分之一——84亿条。
根据该团队对 RockYou2024 的分析,攻击者通过在互联网上搜索数据泄露信息来开发该数据集,从 2021 年到 2024 年又增加了 15 亿个密码,数据集增加了 15%。
RockYou2021 汇编是 2009 年数据泄露事件的延伸事件,其中包括数千万个社交媒体账户的用户密码。然而,从那时起,汇编的内容急剧增加。最新的 RockYou 版本包含了二十多年来从 4000 多个数据库中收集的信息。
Cybernews 团队认为,攻击者可以利用高达 100 亿的 RockYou2024 数据库来攻击任何未受暴力破解攻击保护的系统,包括从在线和离线服务到面向互联网的摄像头、工业硬件等等。
此外,RockYou2024 与黑客论坛和市场上的其他泄露数据库,例如,包含用户电子邮件地址和其他凭证的数据库相结合,可能导致一连串的数据泄露、金融欺诈和身份盗窃事件发生。
攻击者的用户资料,图片来源:Cybernews
应对措施
虽然目前并没有很好的方法来保护密码泄露的用户,但Cybernews 研究团队建议受影响的个人和组织应采取缓解策略:
Cybernews 将把来自 RockYou2024 的数据纳入泄露密码检查器,用户可通过最新的创纪录泄露密码汇编检查自己的凭证是否被泄露。
此次RockYou2024泄露事件是2024 年第二个破纪录的密码汇编泄露事件。
今年早些时候,Cybernews 发现 MOAB泄露了 12 TB 的信息,包括约 260 亿条记录。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...