ICEBlock iOS应用安全漏洞与隐私风险剖析

本文深入分析ICEBlock iOS应用的安全漏洞,探讨其与iOS系统深度集成可能导致的隐私泄露风险,并讨论通信信道中的侧信道攻击和整体系统安全的重要性。

ICEBlock的安全漏洞

ICEBlock工具存在漏洞: ICEBlock是一款用于匿名报告美国移民与海关执法局(ICE)官员行踪的iOS应用,其开发者承诺“通过不存储个人数据来确保用户隐私”。但这一说法受到了 scrutiny。ICEBlock的创建者Joshua Aaron被指控在用户匿名性和隐私方面做出虚假承诺,对iOS提供的隐私保护存在“误解”,并且是苹果的忠实粉丝。问题不在于ICEBlock存储了什么,而在于它通过与iOS的深度集成可能意外泄露的信息。

标签:匿名性、iOS、隐私、漏洞

发布于:2025年7月17日上午7:06 • 5条评论

评论

Clive Robinson • 2025年7月17日上午10:02

@所有人, 开发者Joshua Aaron显然声称该应用不存储用户详细信息等。从声明的角度来看,这些似乎是“真实的”。 然而,正如我经常指出的,尤其是对于类似ICEBlock这样的安全消息应用,你需要考虑更多。那就是: “你需要考虑整个系统。” 不仅仅是应用本身的有趣部分。因为至少二十年来,公众已经知道一个应用无法在没有以下组件的情况下运行:

  1. 操作系统
  2. 文件系统
  3. 一个或多个输入设备
  4. 一个或多个输出设备
  5. 信息通信通道 其中任何一个都可以被“垫片”以对隐式通信路径进行“中间人攻击”。 正如我过去指出的,“当你可以直接在操作系统或设备驱动程序级别监视I/O时,为什么要攻击应用的加密?” 实际上,你进行的是“绕道攻击”。 我还曾指出: “由于通信信息所需的冗余,相同的冗余可用于在现有通信通道内创建另一个通信通道。” 因此,你无法阻止信息意外、隐蔽甚至公开地泄露,这被称为“通信侧信道”。 因此,为了安全,你需要对任何通信路径(无论是隐式还是显式)进行非常精细的控制。 如果在这方面存在失败,那么私人或机密信息将泄露到系统的其他部分,并进而被以正确方式观察的人获取。 这对所有应用都是如此,希望保护隐私的人应该寻找缓解这些问题的方法。这些方法我在过去在这里和其他地方讨论过。 是的,我知道我的观点让我不受某些人欢迎,但归根结底,对人们诚实比取悦那些不懂自己在说什么或试图推销“蛇油”的人更重要。

lurker • 2025年7月17日下午2:35

The Verge的标题说明了一切: ICEBlock并非“完全匿名” 但没有任何应用是。 粉丝们在bsk上争吵错过了重点,无论是苹果还是谷歌,你都是可追踪、可追溯和可 targeted 的。

Clive Robinson • 2025年7月17日下午4:06

@lurker,所有人, 关于: “粉丝们在bsk上争吵错过了重点,无论是苹果还是谷歌,你都是可追踪、可追溯和可 targeted 的。” 这比那更深入,因为它适用于所有非单向通信(如通用广播)。 一旦通信具有双向元素或需要知道位置,你就会像蝴蝶学家展示盒中的蛾子一样被钉住。 因此,明显的问题是: “为什么我们有这么多非广播通信?” 答案分为两部分:

  1. 控制
  2. 效率 通过第一部分,可以获得大部分第二部分。同时建立跟踪的主从关系,其中位置知识是默认的。 实际上,几乎所有多用户共享通信通道系统都使用广播和非广播通信的混合。 远程单元或外站通过在设计ated控制通道上“广播”等效于“有人能听到我吗?”来 initiate 通信。对某些人 known as “a CQ Call”[1],远程继续呼叫CQ,直到收到响应或发生超时。 如果远程单元收到主/基站的确认,则发送自己的ACK back,并切换到 commanded 模式,其中基站成为“主”命令和控制,远程成为被命令和控制的“从”。 通常 first 发生的是“切换通道”或QSY命令以释放控制通道。 在某个点, identification、位置和授权信息被交换(无论是隐式还是显式)用于“计费或日志记录”目的。 这可以视为“钉到软木塞”阶段,此时主或基站知道你是谁(或至少在使用设备的唯一ID)。 如果你查看所有基于数字通信的通信堆栈,你会发现这种非广播过程。 它甚至发生在纯软件系统中,如操作系统,其中进程不仅有ID,还有内存中的位置。而广播设置的 semi-equivalent 是通过“信号”完成的,由于各种原因,许多程序员会“在空中做出神秘的手势”以“驱魔”或等效。 [1] 在无线电的早期,当发射机仍然是“火花隙”类型时,控制协议的需求成为最先认识到的事情之一。由于 nearly all 调制是通过“莫尔斯电码”完成的,此类协议中的命令是基于字母的。随着时间的推移,它们 became known as “International Q-Codes”,并且它们仍然存在,仍然被使用,就像它们被用于的协议一样, https://www.qsl.net/w5www/qcode.html

Daniel Popescu • 2025年7月17日晚上10:35

@Clive – 一如既往的精辟输入。我喜欢 lepidopterist 的 touch,很久没有使用或听到那个词了 :)。

Clive Robinson • 2025年7月18日凌晨2:03

@Daniel Popescu 关于: “我喜欢 lepidopterist 的 touch” 你可以感谢Dolly Parton…她1970年代写的一首名为“Love is like a butterfly”的歌曲在我当时 background 播放的“老歌”电台中播放,当时我正在 tippy-tapping away。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次