多年來,蘋果手機一直被認爲是最安全的終端之一。很多朋友都選擇給父母購買蘋果手機,或者把自己的二手蘋果手機給父母用,理由是 IOS 系統嚴苛的廣告彈窗限制,高度封閉的生态,簡單易懂的操作,極大地規避了老人誤點、誤操作就上當受騙的可能性。
時移世易,如今的蘋果正逐漸褪去 " 最安全的手機 " 這個光環。
最近很多人都收到了杭州公安局反詐中心的短信提醒,稱近期針對 iPhone 手機的詐騙案件頻發,犯罪分子會通過蘋果内置的視頻通話軟件 FaceTime,誘導蘋果用戶開啓手機屏幕共享,進行轉賬。
這種騙術已經在互聯網上存在多年了,蘋果用戶不是最早被盯上的。但蘋果用戶能被盯上,這件事本身就說明了一些問題。
安全是一場 " 魔高一尺道高一丈 " 的攻防戰,犯罪分子實施詐騙也得注重一個 ROI 投入産出比。曾經,安卓系統因爲先天的開放性、開發低門檻,更容易成爲黑灰産重災區,也給了蘋果手機以 " 安全 " 标簽吸引用戶的機會。
而如今,IOS 系統的失守,也給蘋果和其他手機廠商提了一個醒——手機安全不能一勞永逸,而是不進則退。
蘋果是怎麽一步步丢掉安全這個 " 光環 " 的,未來的高端旗艦機該怎麽做安全?本文就來聊一聊。
黑灰産詐騙的根本目的是牟利,盯上蘋果用戶并不奇怪,因爲有利可圖。
在智能終端軟硬件領域,蘋果手機用戶的平均收入和消費能力都是很高的。
一個國産手機品牌的 CEO 曾在媒體交流中直言:爲什麽我們的産品 " 果味十足 ",因爲中産裏面很大一部分會喜歡這樣的産品。中産裏面也有很大部分人喜歡蘋果,我不能說有多少,但是非常多。
但長期以來,蘋果封閉的生态和嚴苛的 APP 限制,都增加了黑灰産的犯罪成本和難度,投入産出比不高。那如今,FaceTime 又是怎麽變成詐騙 " 幫兇 " 的呢?
首先,是蘋果用戶的意識盲區。
不是 " 受害者有罪論 ",我本人在使用 IOS 系統時,就有明顯的偷懶跟依賴心理," 既然蘋果都是最安全的手機了,那我也沒必要費心思學習什麽反詐知識 "。而且,IOS 系統詐騙的中文新聞不多,用戶能學習到的反詐信息就更少了,更别提很多中老年用戶,就是因爲防範意識不強才使用蘋果手機的。
這些意識盲區和信息盲區,導緻了一些蘋果小衆功能的詐騙套路,用戶根本不知道、不了解、不關注,也就更容易上鈎。
第二個漏洞,是蘋果系統本身的刻舟求劍。
FaceTime 視頻通話騙術其實很簡單,就是僞裝成公安或客服,通過 FaceTime 視頻通話,誘導用戶開啓屏幕共享功能,結果也把短信、微信、銀行支付密碼、手機驗證碼等重要信息同步給對方了,遠程登錄受害者的手機銀行,就能把錢轉走。
針對這個騙術的處理方法,其實很簡單,直接關閉就行了。公安機關和蘋果客服都表示,如果平時不用 FaceTime,最好是關閉。
而國内由于微信、QQ 等社交軟件生态成熟,FaceTime 使用頻率極低,所以直接關閉就能徹底解決問題。限制 FaceTime 的昵稱随意設置,尤其是公安、官方客服等認證身份,就能減少上當概率。爲什麽蘋果手機依然留下了這麽些漏洞呢?
答案或許是,蘋果過于依賴此前封閉生态建立起來的安全性,認爲應用開發的高門檻、嚴要求,就能杜絕掉用戶隐私信息被竊取的安全隐患,而對于 FaceTime 這種内置應用被利用的可能性,卻沒有替用戶想到。
此外,近年來在安卓手機中普及的系統隔離區、密鑰保險箱、風險電話智能屏蔽等安全能力,IOS 也是沒有的。蘋果手機在安全方面受到的挑戰越來越大。
" 刻舟求劍 " 的蘋果,在隐私安全上越來越力不從心,這才給了犯罪分子可乘之機。
當 " 安全 " 不再是蘋果的标簽,對于蘋果用戶來說,首先要做的,就是提升防詐騙意識。
随着網絡詐騙的猖獗,上當之後再報警追查,找回的比例也是很低的。因此比起事後亡羊補牢,防患于未然更重要。大家應該主動了解一些反詐知識,真正做到 " 不聽不信不轉賬 ",放棄盲目依賴的心理,不能以爲用了 IOS 就能高枕無憂了。
對于蘋果來說,也是時候重新思考手機安全這件事了。
智能機時代,手機安全采用的是 PC 時代流傳下來的方法論,用 " 防火牆式安全 " 來守住手機中的數據和隐私,避免被黑灰産從外部拿走或攻擊。
但 AI 時代,手機的安全危險往往來自内部。
可能是用戶自己的疏漏,比如接了一通視頻電話就上當受騙,視頻會議中分享了一次屏幕導緻聊天框暴露,爲攝像頭、車、冰箱、電視、音箱、手機等都設置了一樣的密碼,黑客可以從 AIoT 設備的防護最短闆進行攻擊 ……
也可能是 AI Agent 的窺探,比如無時無刻對用戶位置、行動、習慣的感知與分析,智能體執行任務中對用戶屏幕的窺探與操作 …… 這些都可能導緻隐私洩露與被監視感。
ICT 領域中有一個 " 内生安全 " 的概念,即要把安全能力内置到系統環境當中,并能夠自适應、自成長、自學習,從而改變攻防成本不對稱的情況。而 AI 時代,手機系統也開始出現攻防不對稱。
在某一次榮耀 Magic 系統分享會上,相關技術專家介紹道,"AIGC 時代,作爲攻擊方,可以使用不同工具、算法進行 Deepfake 換臉,但在終端上,存儲資源是有限的,檢出時延又要求很高,要求用一個檢測模型,檢出不同攻擊算法的換臉工具,這就是端側的攻防不對稱性 "。
這種攻防不對稱性,給端側安全技術帶來了非常大的挑戰。最終,榮耀通過适宜于終端的骨幹網絡模型,構造了百萬級真實的樣本,進行訓練調試,成功做到一個檢測模型,檢出所有主流換臉算法、換臉工具大概 10 幾種。
聽完,我看了看自己手裏的 IOS 17.6.1 版本,如果犯罪分子通過 FaceTime 在視頻通話中實施換臉、拟聲等 AIGC 詐騙,蘋果系統顯然是做不到實時識别和檢測的。
将 AI 能力引入手機安全領域,打造 " 内生安全 " 的手機操作系統,是當下所有手機廠商的必修課,也是蘋果當務之急要補上的一門課。
對于高端旗艦機來說,隐私安全能力是不可或缺的一環。以前,指紋識别、FaceID 等安全技術,都是蘋果 IOS 系統首次推出,并逐漸向全行業轉化的,那是一個安卓學蘋果的時代。
蘋果的個人化智能系統 Apple Intelligence,最早也要到年底才能在 iPhone16,所以,AI 手機如何做安全,将由安卓 / 鴻蒙系統爲蘋果畫下标準線。
如何評判 AI 系統的安全能力,縱覽目前市面上的 AI 手機,以下幾個指标可以作爲重點:
1. 端側大模型。當大模型要學習大量個人數據和隐私信息,本地安全就成爲首選,手機端側大模型是标配,性能與算效是關鍵。
2. 多模态能力。Deepfake 技術的泛濫,手機也必須具備文本、音頻、視覺等多種模态的理解分析能力才能應對。
3. 主動安全。傳統安全是被動式防範,比如網絡詐騙、惡意應用攔截,通常都是基于一個靜态的數據庫。而 " 内生安全 " 需要手機具備自學習、自成長的安全能力,基于 AI 自動感知危險并進行動态的實時防護。榮耀的技術專家透露,用 AI 重構了安全之後,MagicOS 每個月攔截流氓廣告彈簧 3 億次,實時阻斷詐騙風險達到 2 億多次,幫助了很多家庭。
4. 簡化管理。FaceTime 功能被利用,暴露出傳統的 " 權限授權機制 " 仍有隐患,如果用戶缺乏意識,就可能被犯罪分子或惡意應用所利用。針對這種問題,HarmonyOS NEXT 采用全新隐私保護架構,全面梳理了所有的系統授權,禁止開放通話記錄、短信、電話、後台彈窗、應用内安裝其他應用等 10+ 隐私權限,極大減少權限授權彈框,以及對用戶的打擾,從根源上降低隐私洩漏的風險。對用戶來說,不需要再費心琢磨什麽功能可以打開、什麽功能應該關閉,體驗更好更簡單。
歸根結底,基于 AI 的手機内生安全,就是讓 AI 全面系統地接管安全防護,免去用戶的擔憂和操作之苦。蘋果想要在 AI 時代,重新給自己貼上 " 安全 " 的标簽,恐怕還學學安卓和鴻蒙。
· 本文來自微信公衆号 " 腦極體 "(ID:unity007),作者:藏狐,36 氪經授權發布。