在乎隱私的話， 就別用 iCloud 吧 （講得好像很容易一樣）

如果你很認真地在乎隱私 -- 尤其如果你對美國國安局的監控有感， 那就別再用蘋果的產品了。 Windows、 Linux、 各家手機等等其他資訊產品的隱私漏洞也不少， 但 （除了小格特別為文探討的案例之外） 多半可以用粗心的疏失解釋過去； 至於蘋果產品侵犯用戶的隱私問題， 則是其設計文化歷來不曾改變的一部分。 除了過往的許多案例， 十月份爆開的 「iCloud 如影隨形追蹤你的編輯」 件事後， 讓我們更加確定： 蘋果電腦最用心的， 是如何如影隨形地偷偷追蹤著你的一舉一動， 而不是保護你的隱私。

不， 這篇要談的並不是 陰謀論看女星 iCloud 私密照外洩事件。 這件事似乎是肇因於 iCloud 欠缺 密碼延遲機制， 讓潰客有機會 採用暴力嘗試所有密碼。 這可以單純地解釋成 iCloud 設計人員疏失， 沒有足夠的跡象顯示蘋果有任何陰謀， 更沒道理忽視蘋果自己的 bug， 硬拗成是別人的陰謀。

今天要談的問題是 continuity/handoff 功能： 你編輯到一半的 e-mail 或文件內容， 會自動上傳到 iCloud。 （還有， 通訊錄也會自動上傳。） 就像 google doc 一樣， 你完全不需要手動存檔。 換一部 Mac 裝置繼續使用時， 很方便地就可以接續著剛才做到一半的事往下做。 問題是： 當你在用 google doc 時， 你很有意識地知道資料在雲端； 但當你使用 Mac 電腦編輯自己硬碟上的檔案時， 你心中自然的預期是： 我沒上傳檔案， 很安全。 然後你就毀了。 試想： 自從 iCloud 女星私密照外洩事件之後， 你聽從建議， 不要把重要私密資訊存放在任何公司的雲端產品上。 所以你照了相片之後， 只會在自己的 iPad 上面用 pixelmator 編輯存檔。 因為你並沒有另一部 Mac 裝置， 所以也就沒注意到/享用到好用的同步功能， 但其實你所有編修過的相片都已經自動上傳到 iCloud 上面。 下一次 iCloud 被入侵， 你將完全無法理解為何自己也會受害。

撇開更高深的技術不談， 任何一家重視客戶隱私與資訊安全的公司， 至少都應該做到這幾件事：

1. 「有洩漏隱私疑慮」 的各種設定， 應該預設關閉， 讓使用者手動啟動 （opt-in）， 而不是預設開啟， 讓使用者手動關閉 （opt-out）。
2. 應該要有一個總開關， 很簡單地就可以關閉。
3. 上傳之前， 應該用你自己的密碼加密， 而不是上傳之後， 用蘋果的密碼幫你加密。 [見下方 "NSA" 連結； 也請見 iCloud: Who holds the key?]

但是蘋果電腦對於上述每一項都做了相反的設計。 所以 （1） 如果你沒有特別注意， 所有編輯到一半資料會自動上傳、 所以 （2） 我無法很簡單地告訴你如何關閉這個功能、 所以 （3） NSA 或美國其他政府單位照樣有能力向蘋果調閱你編輯到一半的檔案。 詳見最早報導的 Jeffrey Paul 及 iTWire 的評論。 如果你想關閉此功能， 或許可以參考 Michael Tsai 的評論 -- 他對蘋果的知識顯然遠多於我； 他的評論也傾向相信蘋果沒有惡意。 不過關於如何關閉此功能， 他在後來追加的段落當中也承認一開始他猜錯了， 似乎不太有把握是否真的完全關閉。 Pseric 的中文教學 看來很讚； 但這篇文章寫於 Yosemite 推出、 Jeffrey Paul 爆料之前， 不知是否足夠。

順帶一提， iCloud 的另一個資安問題， 是 「Two-Factor Authentication」 （簡稱 2FA） 並沒有像蘋果電腦所宣稱地那麼安全。 2FA 是指除了密碼之外， 還加上硬體認證： 「目前意欲存取敏感資訊的裝置」 必須確實是用戶自己平時常用的裝置， 蘋果才會提供/處理敏感資訊。 但是根據 The Unofficial Apple Weblog 及 Elcomsoft 的報導， 蘋果的 2FA 設計得... 怪怪的。 微軟與 google 的 2FA 都是在 用戶想要採用新的、 微軟/google 不認得的裝置登入時， 要求用戶必須採取第二種方式驗證身份。 但蘋果的 2FA 則是在 用戶想要登入管理 Apple 帳戶、 用戶想用新的裝置購物、 用戶想要取得 Apple ID 相關服務 這三種情況下， 會需要採取第二種方式驗證身份。 根據這兩篇文章， iCloud 的資料並不在 2FA 的保護範圍之內。 也就是說， 惡意入侵者只需要你的帳密， 不需取得你的裝置， 照樣能夠取得你存放在 iCloud 的資料。 比較寬容的解釋是： 對於不涉及金錢交易的資訊， 蘋果電腦犧牲安全換取便利； 另一種解釋是： 蘋果只做了半調子的安全管理（Elcomsoft 的用語）； 比較陰謀論的解釋則是： 蘋果在乎的是 「它如何能夠利用實體裝置來追蹤你」， 而不是 「你如何能夠利用實體裝置來加強保護隱私、 阻止潰客入侵」。 不論你相信哪一種解釋， 至少可以確信的是： 蘋果電腦設計文化當中， 顯然還有其他某些事情比 「保護用戶隱私」 更重要許多。 例如 用 iCloud 蜜罐 （honeypot） 幫忙抓盜版？

我挑戰微軟廿年； 近幾年才開始注意蘋果電腦。 分析過 iMessage 後門、 各國政府用 finfisher 竊聽、 指紋解鎖 等等事件之後， 我得到一個結論。 如果說微軟像胖虎， 那麼蘋果比小夫陰險一百倍。 給我一小時， 或許就能夠讓那些不懂電腦的人多少也理解微軟的惡霸。 但是如果沒有聽我上個五六小時的課 （從 隱私攻防觀念 開始講起） 恐怕很難讓他看見蘋果的陰險。 Continuity/handoff 的例子， 又是一個難以用 「不小心的疏失」 解釋得過去的蘋果陰險案例。

但就算你相信蘋果沒有惡意， 就算你把本文當中貴哥的個人主觀意見都刪除掉， 最起碼你應該知道兩件事： （1） iCloud 不是存放隱私資料的好地方； （2） 如果你不希望蘋果電腦如影隨形、 不希望它把你的日常圖/文/影/音編輯記錄一舉一動隨時上傳到 iCloud 上， 那麼你還需要多做一些功課； 這看來不是那麼簡單。 讀者如果搜尋到詳細的 Yosemite + iCloud 隱私保護中英教學文， 歡迎留言分享網址 （請簡單摘要或至少有標題， 才能吸引大家點進去看哦）。 有很多蘋果的用戶因為暫時還付不起 （甚至可能還不懂得什麼叫做） 下賊船的高昂代價， 所以會很需要這樣的資訊。

* * * * *

（本文也刊載於 泛科學）

手邊沒電腦； 口頭推薦本文嗎？ 可以請您的朋友搜尋 「」 或 「」。