Apple ยืนยันความมุ่งมั่นในการปกป้องความเป็นส่วนตัวของลูกค้า ด้วยระบบรักษาความปลอดภัยแบบหลายชั้นที่เริ่มต้นตั้งแต่การออกแบบชิปไปจนถึงบริการคลาวด์ โดยมีกลไกการป้องกันครอบคลุม 8 ระดับที่ทำงานร่วมกันเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้

ระบบความปลอดภัยฮาร์ดแวร์ พื้นฐานแห่งการป้องกัน

ความปลอดภัยของ Apple เริ่มต้นจากระดับฮาร์ดแวร์ผ่าน Boot ROM ที่ฝังอยู่ในชิปทุกตัว โค้ดนี้ไม่สามารถเปลี่ยนแปลงได้แม้แต่โดย Apple เอง และทำหน้าที่เป็น “รากฐานความไว้วางใจของฮาร์ดแวร์” ที่ตรวจสอบให้มีเพียงซอฟต์แวร์ระบบปฏิบัติการที่ Apple รับรองเท่านั้นที่สามารถโหลดได้เมื่อเริ่มต้นระบบ

Secure Enclave (SE) เป็นชิปรักษาความปลอดภัยที่มีชื่อเสียงที่สุดของ Apple ซึ่งทำหน้าที่เก็บรหัสผ่านอุปกรณ์และข้อมูลไบโอเมตริกสำหรับ Face ID และ Touch ID สิ่งสำคัญคือแม้แต่ระบบปฏิบัติการของ Apple เองก็ไม่สามารถเข้าถึงข้อมูลที่เก็บในชิป SE ได้

เมื่อผู้ใช้ใช้ Face ID เพื่อปลดล็อก iPhone ระบบ iOS จะขอให้ชิป SE ตรวจสอบตัวตน โดยชิปจะตอบกลับเพียง ‘ใช่’ หรือ ‘ไม่ใช่’ เท่านั้น โดยไม่เปิดเผยข้อมูลใดๆ ที่ใช้ในการตัดสินใจ นอกจากนี้ข้อมูลผู้ใช้ยังถูกเข้ารหัสและถอดรหัสแบบ Real-time โดยใช้หลักการคล้ายกับชิป SE ผ่านเครื่องมือเข้ารหัส AES เฉพาะ

ความปลอดภัยระบบปฏิบัติการ กำแพงป้องกันซอฟต์แวร์

ระดับฮาร์ดแวร์ปกป้องความสมบูรณ์ของระบบปฏิบัติการ ซึ่งได้รับการสนับสนุนจากฟีเจอร์ OS ที่ออกแบบมาเพื่อให้มีเพียงโค้ดที่เชื่อถือได้เท่านั้นที่สามารถทำงานได้ โดยมีการตรวจสอบหลายครั้งทุกครั้งที่ส่วนโค้ดเฉพาะทำงาน

Kernel Integrity Protection (KIP) เป็นระบบป้องกันระดับเคอร์เนล (แกนกลางของ OS ที่จัดการทุกอย่าง) ซึ่งจะเปิดใช้งานทันทีหลังจากเคอร์เนลบูตเสร็จ ระบบนี้ป้องกันไม่ให้มีการเขียนข้อมูลลงในบริเวณหน่วยความจำที่เก็บเคอร์เนล และฮาร์ดแวร์ที่ใช้เปิดใช้งาน KIP จะถูกล็อกทันทีหลังบูตเสร็จเพื่อป้องกันการตั้งค่าใหม่

การเข้ารหัสไฟล์ การปกป้องข้อมูลระดับพื้นฐาน

อุปกรณ์ Apple เข้ารหัสข้อมูลผู้ใช้ด้วยเทคโนโลยีที่เรียกว่า Data Protection ซึ่งใช้กับอุปกรณ์ Apple ทุกตัวยกเว้น Mac ที่ใช้ชิป Intel ซึ่งใช้เทคโนโลยีเก่าที่เรียกว่า FileVault

ทุกครั้งที่ผู้ใช้หรือแอปสร้างไฟล์ใหม่ Data Protection จะสร้างคีย์ 256 บิตใหม่และส่งให้เครื่องมือฮาร์ดแวร์ AES จากนั้นชิป AES จะใช้คีย์นั้นเข้ารหัสข้อมูลขณะเขียนลงไฟล์ สำหรับ Mac ที่ต้องการการป้องกันแบบเต็มรูปแบบ ผู้ใช้ต้องเปิดใช้งาน FileVault

ความปลอดภัยแอป การควบคุมและตรวจสอบ

Apple มีระบบรักษาความปลอดภัยแอปหลายชั้น เริ่มจากข้อกำหนดให้แอปทั้งหมดต้องได้รับการรับรองจาก Apple ยืนยันว่าได้รับการตรวจสอบมัลแวร์และต้องผ่านการตรวจสอบป้องกันไวรัสในตัวเมื่อทำงาน

กระบวนการ “Sandboxing” ถูกนำมาใช้ หมายความว่าโดยค่าเริ่มต้นแอปสามารถเข้าถึงได้เพียงข้อมูลของแอปนั้นเองและไม่สามารถทำการเปลี่ยนแปลงอุปกรณ์ได้ หากแอปต้องการเข้าถึงข้อมูลจากแอปอื่น เช่น แอปปฏิทินของบุคคลที่สาม จะต้องได้รับอนุญาตและใช้บริการเฉพาะที่ Apple จัดเตรียมไว้

แอปบุคคลที่สาม (และแอป Apple ส่วนใหญ่) ทำงานในฐานะผู้ใช้ที่ไม่มีสิทธิพิเศษ และต้องใช้ API ที่ Apple เขียนเพื่อเข้าถึง OS ดังนั้นจึงไม่มีทางที่แอปจะทำสิ่งที่ Apple ไม่อนุญาตอย่างชัดเจน

ความปลอดภัยบริการ การป้องกันการสื่อสาร

Apple ใช้มาตรการรักษาความปลอดภัยเฉพาะสำหรับแต่ละบริการ ยกตัวอย่าง iMessage ที่ใช้การเข้ารหัสแบบ End-to-end ทำให้แม้แต่ Apple เองก็ไม่สามารถอ่านได้ เมื่อส่งข้อความถึงคนใหม่ Apple จะค้นหาในฐานข้อมูล Apple Identity Service (IDS) เพื่อดึงข้อมูลกุญแจสาธารณะและตัวระบุเฉพาะของอุปกรณ์ที่ลงทะเบียนทั้งหมด

ข้อความจะถูกเข้ารหัสแยกกันสำหรับอุปกรณ์แต่ละเครื่องของผู้รับ โดยใช้คีย์ที่เฉพาะอุปกรณ์นั้นเท่านั้นที่รู้ สำหรับไฟล์แนบเช่นรูปภาพ จะถูกเข้ารหัสด้วยคีย์ 256 บิตที่สุ่มขึ้นมาแล้วอัปโหลดไปยัง iCloud ลิงก์และคีย์จะถูกเข้ารหัสเช่นเดียวกับ iMessage และส่งไปยังอุปกรณ์ผู้รับ

ความปลอดภัยเครือข่าย การปกป้องข้อมูลระบุตัวตน

Apple มีการป้องกันอย่างครอบคลุมสำหรับแต่ละองค์ประกอบของบริการเครือข่าย ยกตัวอย่าง MAC address (ที่อยู่ Media Access Control) ซึ่งเป็นที่อยู่เฉพาะของอุปกรณ์ที่สามารถเชื่อมต่อเครือข่ายไร้สายได้ เครือข่ายสามารถใช้ระบุอุปกรณ์เฉพาะ และแฮกเกอร์อาจใช้เป็นเป้าหมาย

เพื่อความเป็นส่วนตัว Apple ซ่อน MAC address จริงและใช้แอดเดรสสุ่มแทน เนื่องจากมีเทคนิคที่สามารถระบุ MAC address ที่แท้จริงได้ Apple จึงใช้การป้องกันเพิ่มเติมเพื่อป้องกันเทคนิคนี้

ชุดเครื่องมือนักพัฒนา ความปลอดภัยในระบบนิเวศ

ความปลอดภัยและความเป็นส่วนตัวเป็นแกนหลักของเฟรมเวิร์ก ‘Kit’ แต่ละตัวของ Apple เช่น HomeKit การสื่อสารทั้งหมดระหว่างอุปกรณ์ Apple และผลิตภัณฑ์ HomeKit ใช้การเข้ารหัสแบบ End-to-end

เมื่อใช้ iPhone เพิ่มผลิตภัณฑ์ HomeKit เข้าสู่เครือข่าย แอป Home จะขอให้อุปกรณ์พิสูจน์ว่ามีใบรับรอง HomeKit หรือ Matter เมื่อตรวจสอบแล้ว ทั้งสองฝ่ายจะแลกเปลี่ยนรหัสเพื่อสร้างคีย์เข้ารหัสแบบ End-to-end เฉพาะสำหรับการสื่อสารกับอุปกรณ์นั้นๆ

การเข้ารหัสแบบ End-to-end ป้องกันไม่เพียงแค่คำสั่ง แต่รวมถึงการตรวจสอบสถานะด้วย ตัวอย่างเช่น หลอดไฟจะไม่บอกแอป Home ว่าเปิดหรือปิดอยู่โดยไม่เข้ารหัสข้อความนั้นด้วยคีย์ที่เฉพาะบ้านของผู้ใช้เท่านั้นที่รู้

การจัดการอุปกรณ์อย่างปลอดภัย ควบคุมองค์กร

Apple ให้บริษัทกำหนดนโยบายรักษาความปลอดภัยของตัวเองบนอุปกรณ์ที่จัดการได้ บริษัทสามารถกำหนดค่าและอัปเดตอุปกรณ์ของบริษัทจากระยะไกล และตั้งกฎที่ระบบปฏิบัติการจะบังคับใช้

เมื่อบริษัทให้ iPhone กับพนักงาน สามารถกำหนดให้ใช้รหัสผ่านที่ซับซ้อนแทนรหัสตัวเลข 6 หลัก และ iPhone จะปฏิเสธรหัสผ่านที่ไม่ตรงตามข้อกำหนดของบริษัท นอกจากนี้ยังสามารถบล็อกการติดตั้งแอปเฉพาะและลบข้อมูลอุปกรณ์จากระยะไกลได้

อ้างอิง | 9to5mac.com