隐私保护方面的新功能

Justin Sagurton: 大家好 我是 Privacy Engineering 部门的 Justin 欢迎收看 “What's new in Privacy” 在 Apple 我们相信隐私是一项基本人权 保护人们的隐私是 我们所做一切的核心 您希望人们喜欢您的 App 并且成为他们生活的一部分 创建一个优秀的功能 是您获得用户关注的方式 而建立隐私是您保持用户信任 和您在他们生活中的地位的方式 当人们了解收集了哪些关于他们的 数据以及如何使用这些数据时 他们就更有可能完全参与到 您的 App 或服务中 而不是选择替代方案

在 Apple 我们优先为用户 提供优秀的 功能和隐私保护 我们也想帮助您把这个服务 传递给您的客户 在 Apple 我们通过一系列 可操作的模式和隐私原则 来实现出色的功能和隐私目标 这些对于您以及如何在您的 App 中建立隐私是个很好的指南 首先是数据最小化 只使用构建功能所需的数据 接着是设备上的处理 如果该功能需要敏感数据 请使用设备的能力 避免与服务器共享 第三是透明度和控制权 如果敏感数据从设备发送出去 请确保人们了解发送的内容 如何使用 并给予他们控制权 最后 安全保护 保护传输中的和存放的敏感数据 无论是在设备上还是在设备外

在这个视频中 我将谈论一些会影响您的平台变化 一些您应该采用的新的隐私增强功能 以及一个影响隐私的重要新功能

首先 我来谈一些 将影响您的 App 的平台变化 iOS 16 和 macOS Ventura 包括几个重要的变化 新的设备名称授权 用于限制对设备名称的访问

位置指示器现在会在 控制中心显示 App 的属性

对 Gatekeeper 的改进 可以在更多地方验证 经过公证的 App 的完整性

现在 在登录时启动 Mac App 会通知人们添加了什么 App 并具有简化的 API

传统的剪贴板访问现在需要许可 我将从更改设备名称访问开始 为了更容易识别设备 用户的 Apple ID 账户名 默认包含在 iOS 设备名中 在 iOS 16 之前 UIDevice API 允许 App 访问用户分配的设备名称 为了更好地使 App 对该值的访问与用户期望保持一致 UIDevice.name API 将返回设备的型号 不是用户分配的名称 也不管人们如何自定义

我们了解到 某些利用设备名称的 App 具有多设备体验 例如让人们清楚地了解 上次编辑文档的位置

如果您的 App 使用多设备功能 并使其在 App 的 UI 中可见 您可以请求访问设备名称的授权 即使有此授权 也不允许与云托管服务提供商 以外的第三方共享设备名称

接下来是更新位置使用属性

当 App 使用位置功能时 iOS 会在状态栏中显示一个箭头

在 iOS 16 中 从控制中心向下滑动 显示哪个 App 正在使用位置 确保您的 App 只在 用户预期的时候 使用位置

现在我想谈谈 Mac Gatekeeper 检查新下载的 App 的完整性 在 macOS Ventura 中 Gatekeeper 将检查 所有经过公证的 App 的完整性 而不仅仅是隔离的 App

首先 App 需要正确签名 从 macOS Ventura 开始 如果您的已公证 App 签名失效 将在首次启动时被 Gatekeeper 阻止 您应该签名您所有的可执行文件和包 并确保他们的签名在您 修改 App 时保持有效 除了检查完整性 Gatekeeper 还会 防止您的 App 被以某种方式修改

最常见的 App 修改方式是更新 由同一个开发者账户或团队 有效签名的 App 将能够继续相互更新 这样就行了 为了让其他开发团队 更新您的 App 或限制为仅允许您的更新程序 您可以更新您的 info-plist 例如 这里 Unrelated App 可以允许 Pal About 更新 只需更改 plist 即可对其进行更新

只需添加您希望允许的 NSUpdateSecurityPolicy 在 NSUpdateSecurityPolicy 中 添加 AllowProcesses 字典 将 team ID 射到 签名标识符数组 在此示例中 该策略允许任何带有签名标识符 com.example.pal.about 的进程 通过 Pal About 的 team ID 来更新您的 App 如果 App 被一些其他 开发团队签名的东西修改 且不被 NSUpdateSecurityPolicy 允许 macOS 会阻止修改 并通知用户有个 App 想要管理其他 App 单击通知会将用户发送到 系统设置 在那里他们可以允许一个 App 更新和修改其他 App

为了准备 macOS Ventura 您应该签名您的 App 的可执行文件 和包 并确保 这些签名在更新后仍然有效 采用 NSUpdateSecurityPolicy 并列举您使用的所有更新器 记住 如果您的 App 尝试修改 策略之外的其他 App 需要用户允许

接下来 我将讨论如何 在 Mac 上登陆 App 在 macOS Monterey 以及更早的版本中 当有人登录到他们的 Mac 时 App 可以在登录时使用启动代理 或守护进程运行 这很方便 因为它允许 App 运行菜单助手 在后台检查软件更新 或在多个 App 之间同步数据

有时 当用户登录到他们的 Mac 时 不相关的 App 会打开 并且可能会妨碍它们 此外 App 或其他软件 可以访问传感器或位置等数据 人们并不总是清楚这种情况正在发生 因为可能看不到正在运行的内容 对于开发人员来说 并不总是很清楚登录时 使用哪种机制启动 守护进程 代理 服务管理 使用 macOS Ventura 这就简单多了

在 macOS Ventura 中 您可以使用新的单一 API 来启动您的 App 代理或守护进程 默认情况下 您的 App 将被允许在登录时启动 并且会通知用户 如果您的 App 需要一个 具有更高权限的守护进程 将需要管理员批准才能启用

点击这个通知会打开 设置中的登录项窗口 用户可以在那里管理 在其系统上启动的 App 顶部控制登录时运行的 App 底部控制登录时运行的其他项目 此窗口现在控制 App 在登录时运行的不同方式 包括代理 守护进程 SMLoginItems 以及在登录时添加自己打开的 App 下面介绍如何使用这个新 API

Service Management 框架使您可以轻松地 在登录时启动资源 因为所有的代理和守护进程 都存在于您的 App 包中 因此不再需要使用安装程序 来编写启动代理或创建清理脚本 这也适用于 Mac App Store 的 App 从您的 App 调用 SMAppService API 来控制人们何时获得通知 以及您的 App 图标在设置中的外观

接下来是剪贴板访问

以前 当用户不是在编辑选项中 按下粘贴键时 会有一个透明度的通知 让用户知道 App 何时访问了剪贴板

在 iOS 16 中 系统会确认 访问其他 App 编写的 剪贴板项目的意图 如果您的 App 继续使用 UIPasteboard API 访问剪贴板里的值 那么系统将显示一个模态提示 有三种方法可以避免 该提示出现在 App 中 第一种是使用编辑选项菜单 第二种是使用键盘快捷键 在 Features to adopt 部分 我将讨论第三个选项 新的 UIKit 粘贴控件

这些都是您需要了解的 平台隐私变化 此外 还有一些新的隐私增强技术 可以让您更轻松地在您的 App 中 构建无缝的隐私体验

我将从讨论 UIKit 粘贴控件开始

将 UIKit 粘贴控件添加到 您的 App 体验中 因此人们可以通过按下按钮 直观地访问他们的剪贴板 采用 UIKit 粘贴控件允许粘贴时 不需要编辑菜单 快捷键或系统提示 系统通过确认按钮是否可见并点击 来确认意图 自定义这些按钮 以适合您的 App 界面 更改圆角或文本 图标或背景的颜色 只要确保按钮有足够的对比度 没有隐藏在其他元素后面 否则它将无法运行 确保测试粘贴按钮是否按预期工作

另一个在最小化数据访问的同时 创建无缝体验的工具是媒体设备发现 今天的 App 使用广泛的流协议 具有自定义发现和通信逻辑

以前使用这些协议流媒体时 App 需要获得访问本地网络的许可 通常还需要蓝牙 这个许可是需要的 因为管理设备选择 需要了解所有的设备 但这提供了超出必要范围的信息 并带来了设备指纹的风险 媒体设备发现可让您的 App 流传输到选定的设备 而无需显示网络或蓝牙访问提示 流媒体设备与 AirPlay 显示在 同一个选择器中 而App 只能看到 被选中的流传输到的设备 这要得益于 DeviceDiscovery 扩展

这个扩展可以搜索本地网络 和蓝牙设备 但是沙盒独立于 App 因此无法将扫描结果发回 这意味着 App 访问本地网络 或蓝牙不需要广泛的权限 因为 App 不能看到整个网络 相反 扩展只能将发现的附件 发送到 DeviceDiscoveryExtension 框架 DeviceDiscoveryExtension 框架 在选择器中显示发现的设备列表 做出选择后 系统启用与所选设备的通信 不需要其他权限

协议提供商应使用 DeviceDiscoveryExtension 来创建 App 扩展 扩展 AVRoutePickerView 以处理用户选择回调 处理您的协议中用户选择的网络设备 下载示例扩展和 App 来了解更多信息 App 开发人员应联系 他们的流协议提供商 以实现 DeviceDiscoveryExtension 媒体设备发现是构建 具有极大隐私性的 出色功能的机会 您的 App 可以准确访问 流式传输需要的数据 发现简单且无需提示 用户还能获得良好的网络隐私 各方都能受益 就像媒体设备发现提供 在没有提示的情况下 仅访问所需设备的权限一样 PHPicker API 提供了 只访问所需照片的权限而没有提示 PHPicker 现在在带有 macOS Ventura 的 Mac 以及带有 watchOS 9 的手表上 更新您的 Mac 和 Watch App 以访问照片 而不提示用户 访问所有照片

接下来是私有访问令牌 它是一种强大的工具 可以在没有验证码的情况下 防止欺诈

私有访问令牌取代了验证码 并使用盲令牌构建 允许网站或 API 开发人员 识别合法设备 而不能跟踪这些设备 Apple 不知道设备 为哪些网站获取令牌 接收令牌的服务器也不知道 发送令牌的设备身份 私有访问令牌是 Privacy Pass IETF 开放标准的一部分 与我们用来验证 私有中继用户真实性的 技术相同 要了解更多信息 请观看视频 “Replace CAPTCHAs with Private Access Tokens”

现在我来谈一谈 Passkey Passkey 是验证帐户和保护 个人数据安全的核心 但它们存在严重问题 很难记住 因此人们将它们简化 或者在多个站点上重复使用 他们可能被钓鱼

Passkey 支持更强大的 身份验证解决方案 并使用与密码自动填充相同的 即时熟悉的 UI 样式和生物特征验证

密钥建立在公开密钥加密的基础上 因此服务器存储的值不会很弱 如果泄露了也无所谓 因为它是真正公开的 因为密钥本身就与它们 对应的网站相关联 所以不会被钓鱼 关于实现密钥的更多信息 有一个完整的视频 “Meet Passkeys”

这些都是令人兴奋和重要的隐私更新 供你们采纳

我想说的另一件重要的事情是 iOS 16 中的一个新的 隐私工具 叫做 Safety Check Safety Check 旨在帮助遭受家庭暴力 或亲密伴侣暴力的人审查和重置 他们以前可能授予他人的访问权限

Safety Check 通过以下方式提供帮助 它通过关闭 FindMy 中的位置共享 并停止在照片 便笺和日历中共享 来停止与人们共享数据 它通过重置所有第三方 App 的 系统隐私权限 来停止与 App 共享数据 它可以帮助您在其他 iCloud设备上 退出 FaceTime 和 iMessage 以确保消息和呼叫只发送到 您手中的设备 它会引导您退出其他 iCloud 设备 以确保其他设备无法接收 来自 FindMy 照片 日历等的位置更新 它可以帮助您更改设备 和 iCloud 帐户的密码 以及用于 iCloud 双重身份验证的 可信电话号码 它还可以帮助您管理紧急联系人 以便根据需要进行任何更改 所有这些东西一起帮助用户 应对个人安全威胁 控制对他们数据的访问

使用安全检查有两种方法 第一个是紧急重置 适用于需要立即重置 人员和 App 访问权限的紧急情况

第二个是管理共享和访问 它对 Safety Check 的每个功能 提供更细粒度的控制

紧急重置可让您快速对 所有人和所有 App 采取行动 并在您的其他设备上 禁用对 FaceTime 和 iMessage 的访问 然后 您将完成手中设备的 iCloud 账户保护 并检查您的紧急联系人 和可信设备 管理共享和访问可让您逐个查看 以及逐 App 查看您的共享对象 您可以按名称或您共享的信息类型 对其进行排序 这是了解和控制您与特定用户 共享的好工具 它还可以帮助您找到 由有权访问您设备的人安装的 具有敏感权限的 App

快速退出在所有的 Safety Check 流程中都可用 如果他们担心有人 可能会看到他们在做什么 可以快速退出流程 按下这个键 它们就会回到主屏幕 下次进入设置时 它们就会回到主设置页 而不是 Safety Check Safety Check 可帮助遭受家庭暴力 或亲密伴侣暴力的人 重新控制自己的私人数据 隐私不仅仅是在您 分享数据的那一刻做出决定 还包括能够在任何时候 理解并改变这个决定 这只是 Apple 如何设计隐私的一个例子 在您的 App 中设计隐私 将帮助您建立并保持 与用户的信任 iOS 16 和 macOS Ventura 带来了 许多新技术来助您一臂之力 准备好新的平台更新 如 UI 设备名称的更改 和 Gatekeeper 的改进 采用媒体设备发现扩展 UIKit 粘贴控件 Private Access Token 和 Passkey 谢谢大家今天参加我的节目 我们迫不及待地想看看 你们如何在 App 中 添加出色的功能和隐私保护