Siri窃听引发集体诉讼,苹果斥资9500万美元赔偿用户;|超过300万台未加密的邮件服务器暴露
作者:微信文章Siri窃听引发集体诉讼,苹果斥资9500万美元赔偿用户
苹果公司近日同意支付9500万美元,以和解一项涉及Siri隐私泄露的集体诉讼。该诉讼指控苹果公司未经用户同意,录制并分享了因Siri意外激活而捕捉到的私人对话,并将这些录音分享给第三方,包括承包商和广告商。此次和解协议一经批准,将为涉及的用户提供赔偿,并要求苹果公司采取进一步的隐私保护措施。
诉讼背景:Siri意外激活引发隐私争议
这起集体诉讼源于2019年,当时一名苹果公司匿名内部人士披露,苹果的承包商在进行Siri语音助手质量控制时,常常无意间听到用户的私人对话,包括敏感的医疗咨询、商业交易以及其他私人内容。举报人指出,Siri并非只在用户主动激活时才开始录音,设备还会因环境噪音、周围声音,甚至简单的动作(如拉链声)而被意外激活。
这意味着,用户即便没有说出“嘿,Siri”这一唤醒词,Siri也可能在未被注意的情况下开始录音。这些录音内容包括用户的私人对话,并会与位置信息、联系人数据、应用使用记录等个人信息一起被传送给苹果的承包商进行分析。承包商会根据这些数据改进Siri的语音识别功能,但这一过程引发了广泛的隐私泄露担忧。
https://mmbiz.qpic.cn/sz_mmbiz_jpg/Ok4fxxCpBb58iaKibPiaNTP6KeB2OcAobHMibQcG6mTJD76M4rjMfych0pU3IGuIGJD6ibAfQjoX2qQsXicmXcHeAESw/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
诉讼中的原告表示,如果他们早知道Siri会无意间记录并分享他们的私人对话,他们就不会购买苹果设备。原告进一步指出,在某些情况下,用户的私人对话甚至在没有唤醒Siri的情况下被记录,随后,这些内容被用于精准广告投放。举例来说,有原告提到,在谈论某品牌运动鞋或餐厅时,设备随即推送了相关品牌的广告。这种情况让不少用户质疑苹果在隐私保护方面的透明度和执行力度。
和解协议:赔偿与隐私改进措施
此次和解协议已经获得法院初步批准,预计将涵盖2014年9月17日至2024年12月31日期间,购买或拥有过Siri支持设备的用户。这些设备包括iPhone、iPad、Apple Watch、MacBook、iMac、HomePod等。根据和解协议,符合条件的用户每个设备可获得最高20美元的赔偿,每个用户最多可为五台设备申请赔偿。
为了确认用户资格,苹果将在45天内设立一个专门的和解网站,供用户提交索赔申请。同时,苹果公司承诺,在六个月内删除所有2019年10月之前收集的Siri音频记录,以进一步保障用户隐私。
此次诉讼凸显了苹果在隐私保护方面面临的重大挑战。尽管苹果公司一直宣称在隐私保护方面采取严格措施,并承诺加强对用户数据的保护,但Siri隐私泄露事件的曝光令许多用户对其隐私政策的透明度和执行力产生质疑。2019年该事件曝光后,苹果曾暂停了外包给第三方承包商的Siri录音分析工作,并为用户提供了删除Siri录音的选项。
此外,苹果还在后续更新中减少了上传到服务器的Siri数据量,以降低潜在的隐私风险。然而,尽管采取了改进措施,苹果的隐私政策仍然受到部分用户的质疑,特别是在广告定向和数据收集的透明度上。许多用户表示,在日常生活中,他们发现设备频繁推送与私人对话相关的广告,这使得他们感到自己的隐私受到了侵犯。
https://mmbiz.qpic.cn/sz_mmbiz_jpg/Ok4fxxCpBb58iaKibPiaNTP6KeB2OcAobHMfrx6o9xriaicaFdWRaJ6T06zOic4zog7RZ547MMKRWQVQUoevRIRUOMEg/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
苹果并非唯一一家因语音助手隐私问题而面临诉讼的科技公司。谷歌和亚马逊等公司也曾因类似问题遭遇用户起诉,指控其语音助手通过承包商监听录音,包括意外捕捉到的内容。与苹果类似,谷歌在事件曝光后暂停了部分第三方访问权限,并对其隐私政策进行了调整,旨在加强用户数据保护。
此次和解虽然有助于缓解部分用户的不满,但也再次强调了科技公司在处理用户数据时的隐私风险。随着语音助手技术的普及,如何在技术创新和用户隐私保护之间找到平衡,已经成为全球科技公司必须面对的重要课题。尽管苹果在隐私保护方面做出了某些改进,但要真正恢复用户的信任,仍是公司面临的巨大挑战。
随着智能设备日益深入人们的日常生活,消费者在享受便利的同时,亦希望科技公司提供更加透明、可靠的数据保护措施。未来,如何建立健全的隐私保护体系,避免类似事件的再次发生,将是苹果和其他科技巨头需要回答的关键问题。
超过300万台未加密的邮件服务器暴露
目前,超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上,容易受到网络嗅探攻击。
IMAP和POP3是访问邮件服务器上邮件的两种方式。IMAP适用于从多个设备(如手机和笔记本电脑)查看邮件,因为它会将邮件保留在服务器上并在设备间同步。而POP3则会将邮件从服务器下载,使其仅能从下载的设备访问。
TLS安全通信协议有助于在通过客户端/服务器应用程序在互联网上交换和访问邮件时保护用户信息。然而,如果未启用TLS加密,用户的消息内容和凭证将以明文形式发送,容易受到窃听的网络嗅探攻击。
根据ShadowServer安全威胁监控平台的扫描结果显示,约有330万台主机运行未启用TLS加密的POP3/IMAP服务,并在通过互联网传输时以明文形式暴露用户名和密码。
目前,ShadowServer正在通知邮件服务器运营商,他们的POP3/IMAP服务器未启用TLS,导致用户的未加密用户名和密码暴露于嗅探攻击。
未启用TLS的IMAP和POP3邮件服务器(Shadowserver)
“这意味着用于邮件访问的密码可能被网络嗅探器拦截。此外,服务暴露可能使服务器遭受密码猜测攻击,”Shadowserver表示。“如果您收到我们的报告,请为IMAP启用TLS支持,并考虑是否需要启用该服务或将其移至VPN后面。”
TLS 1.0规范及其后续版本TLS 1.1已使用了近二十年。TLS 1.0于1999年推出,TLS 1.1于2006年推出。经过广泛讨论和28个协议草案的开发,互联网工程任务组(IETF)于2018年3月批准了TLS 1.3,这是TLS协议的下一个主要版本。
2018年10月,微软、谷歌、苹果和Mozilla在协调公告中表示,将在2020年上半年淘汰不安全的TLS 1.0和TLS 1.1协议。微软从2020年8月开始在最新的Windows 10 Insider版本中默认启用TLS 1.3。
2021年1月,美国国家安全局(NSA)还提供了关于识别和替换过时的TLS协议版本和配置的指导,建议采用现代、安全的替代方案。
“过时的配置使对手能够使用各种技术访问敏感操作流量,例如通过中间人攻击被动解密和修改流量,”NSA表示。
“攻击者可以利用过时的传输层安全(TLS)协议配置,以非常低的技能要求访问敏感数据。”
参考来源:https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/
文章来源 :安全客、freebuf
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!
始于猎艳,终于诈骗!带你了解“约炮”APP
页:
[1]