只是巧合?苹果iOS16的神秘技术竟然与中国企业5年前产品一致!

简介: 最近,苹果又来“整顿”手机厂商了。有传言称,新版 iOS 16 将加入一个名为「自动验证」的新功能,可跳过网页和 App 中的人机验证流程,升级了 iOS 16 测试版的用户,可以进入「设置」—「Apple ID」—「密码与安全性」,在页面最下方找到这个功能。

最近,苹果又来“整顿”手机厂商了。

有传言称,新版 iOS 16 将加入一个名为「自动验证」的新功能,可跳过网页和 App 中的人机验证流程,升级了 iOS 16 测试版的用户,可以进入「设置」—「Apple ID」—「密码与安全性」,在页面最下方找到这个功能。

1111111111.png

什么意思呢?

以前,当你打开苹果的某个 App 时,系统首先要证明你是“人”而不是“机器”,需要识别验证码来证明你是你,通过了就证明你是可以被信任的。现在,苹果为用户直接略过了验证码这一环节,也就是说,苹果抢先一步通过算法证明了你是你。

对于这一更新,不少果粉直呼:“真的太人性了”。

无感验证将是未来新趋势

那么,苹果是如何实现绕过“验证码”的呢?

答案就是苹果运用了一种全新、开放的验证机制 —— 私密证明令牌 (Private Access Tokens,缩写为 PAT)。

PAT 并不指代某一种技术或某一种服务,而是一个验证用户的协议。它需要 Client、Mediator、Issuer 和 Origin 参与,才能完成整个验证,如下图:

222222222.png

这次自动验证是苹果与云服务商Cloudflare合作完成的,实现过程如下(以用户使用浏览器访问某个网站的场景为例):

整个流程包含四个部分,即浏览器(Client)、苹果手机系统(Mediator)、云服务商Cloudflare(Issuer),网站(Origin),其中网站后台需部署在Cloudflare上。

首先,用户使用浏览器访问网站,因网站后台部署在Cloudflare上,Cloudflare会要求浏览器必须携带token。

紧接着,浏览器会调用苹果系统服务进行检测,系统服务会检测当前设备的合法性,是否是可信设备,检查通过后会调用Cloudflare(作为Issuer角色)API,Cloudflare生成token给到浏览器。

最后,浏览器携带token访问网站(Origin),在这里,云服务商Cloudflare做网关代理,作为Origin角色来验证token的有效性,放行访问网站。

3333333333.png

444444444.png

看起来好像很复杂,但整个流程的重点有两个:

一是整个验证流程没有任何需要人工介入的验证过程 (输入字符或点击图片等),整个校验过程基本无需客户端和服务端做改造,由苹果设备和云服务供应商完成,设备是否可信的判断由苹果系统完成,相比三方 SDK,苹果系统有能力获取到更多的信息,做更全面的判断。另外,该技术可以明显提升脱离浏览器使用脚本直接爬取数据的爬虫成本;

二是证明「我是人」的方式也从答题、隐私让渡,变成更合理的检查设备是否被破解等信息,使用支持 PAT 协议的设备和网站,会减少验证码的弹出,用户体验会更好。

而这种验证方式,也与顶象无感验证的初衷不谋而合。

顶象无感验证主打无感,结合了设备指纹、行为特征、访问频率、地理位置等多项技术,有效的拦截恶意登录、批量注册,阻断机器操作,拦截非正常用户,较传统验证码相比,用户无需再经过思考或输入操作,只需轻轻一滑即可进行验证。经过智能鉴别为正常的用户,在一定时间内无需再进行滑动操作,既为企业提供了安全保障也让用户无感知通过,极大提升了用户体验。

555555555555.png

苹果作为手机厂商一哥率先提出了「自动验证」的功能,有理由相信,未来,无感验证将是大势所趋。

是不是可以和人机验证说再见了?

那么,人机验证是不是即将退出舞台了呢?

“还有很长的路要走”,顶象业务安全专家如是说。

首先,PAT 主要靠苹果系统来检测设备合法性,目前不清楚具体做了哪些检测,从公开的信息看会检测设备是否可信,是否改了设备参数等。这种完全静默的检测在一定程度上能阻断一些人机风险,比如脚本爬虫,因为无法获取 token 而会被 block 掉。但在互联网领域,机器人的风险表现是多样的,除了脚本还有其他方式,比如页面自动化驱动工具,通过群控控制等,该技术对这些风险的覆盖情况目前还不得而知。

此外,目前支持该方案的云服务厂商较少,网站 / App 自己支持的话有一定成本,在该方案大规模推广应用之前人机验证依然会是主流。

同时,站在手机厂商的角度,该方案的侧重点是如何提升用户体验,但考虑到安全性,覆盖度等问题,仍有较多的细节需要完善改进。

一方面,要实现这项功能需要企业网站改造来支持 PAT 协议,或者企业网站托管到云服务供应商上,目前已知支持 PAT 协议的云服务厂商仅有国外两家 Cloudflare 和 Fastly。

此外,该方案只能在使用国外网站和 App 时,体验会好一些。如果是国内,除了企业的网站、iOS 应用要去改造,还要考虑如何兼容 Android、鸿蒙、微信小程、支付宝小程序等。

另一方面,在安全性方面,国内很多黑产会使用设备牧场或者云手机,该项技术对于使用设备牧场或者云手机的攻击者来说可能无效,设备牧场和云手机的设备基本都是正常设备,如果开启 Automatic Verification 设置,该技术可能会让攻击者更加便利的获取利益。

并且,国内黑产的专业程度非常高,对抗也非常激烈,相信用不了多长时间,针对 PAT 的绕过或者破解方案就会出来。而对国内广大需要人机防护的厂商来说,在营销推广,线上活动等场景不仅需要足够安全的防护,还需要快速的应急和更新能力。如果 PAT 这个方案被破解,恐怕只能等 iOS 下个版本的更新了。

但不得不说,苹果为其他手机厂商也提供了“范本”。

从用户体验角度来看,PAT 是一个不错的创新点。但对于广大互联网企业来说,安全和体验是需要同时考虑的。提高用户体验的同时,需要准备充足的安全应急能力。比如后台要具备动态的风险决策判断能力,能够实时调整线上的安全策略; 要有多种验证码作为储备,并且能够实时切换。因此,企业在接入 PAT 的同时,不能完全依托 PAT,PAT 是一个优化用户体验的方案,但替换不了整个业务安全。

无感 + 风险对抗 + 策略的全链路防护方案将是重点

综上,不难看出,对于企业而言,他们的需求不仅仅是提升用户体验,更重要的是能够有风险对抗防护的能力以及出现风险问题之后如何解决的能力。

顶象防御云基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。

6666666666.png

其主要包含业务感知防御平台、验证码、设备指纹和端加固等产品。具备设备真伪识别、行为验证、风险感知、高性能实时计算、高效的策略执行和攻击还原等六大能力能力。能够融合全网风险态势,为行业企业提供全网的安全攻防对抗情报; 基于攻防实战中打磨的技术和实战经验,形成行业通用策略和针对需求定制的专属策略,并通过云端实时迭代和联动; 提供风险识别、防御处置、攻击还原、人工审查、关联分析、数据沉淀等一体化闭环风险处置; 此外,还具有实现黑样本数据、风险行为特征的沉淀,并通过云端下发各业务安全体系,进一步提升整体风险防控等。

基于顶象防御云,顶象也于近期推出了第五代验证码。结合安全可信链路、快速风险对抗、丰富的验证方式,可有效拦截撞库扫号、批量注册等机器风险行为。

该产品集成了云端感知能力,升级了无感策略,结合了更多风险识别维度,具备更强的攻防对抗和用户体验,可覆盖 iOS、安卓、PC 浏览器、小程序等。应用在对于账号体系或者希望在人机验证环节做重点机器流量防控的各类企业。该产品具备业内最丰富的验证方式,通过验证魔方可实现快速攻防对抗 (10s 内完成配,60s 即可生效),有效拦截机器操作等风险行为。

具体来看,有以下几方面优势:

一、智能无感,极致用户体验

顶象智能风控大脑根据用户可疑程度,多级区分用户等级,为安全用户提供极致体验,安全用户无感知通过,高风险用户需二次验证。较上一代无感模式,强化了设备风险识别能力,增强了人机识别模型、行为特征等模型,为可信任的安全用户提供更好的体验。

77777777777.png

二、云端赋能,即时感知迭代

顶象防御云通过线上的全链路风险防控产品对互联网、金融等行业的作弊手段进行监控、黑产特征分析、业务风险识别形成风险情报,通过同行业、跨行业的风险情报信息共享,打通上下游防控链路,链接各行业的“信息孤岛 ",从而赋予了新一代验证码根据风险动态实现自我升级迭代的能力。更重要的是通过云端情报赋能企业业务人员,第一时间获取风险动态,提供防控思路,帮助企业提升风险防控能力,形成从风险感知到风控产品升级、风控能力提升的闭环流程。

8888888888.png

三、多维判断,快速攻防对抗

随着黑产手段的多样化,多维度的信息更加有力于风险判断,实时流计算及场景策略结合机器学习训练的人机模型、历史数据的关联分析,面对风险变化时可实现全面、即时、快速的风险分析对抗。

9999999999.png

在用户体验层面,智能风控识别与验证相结合,通过风控引擎多级区分用户请求,可实现安全用户无感知通过,提升用户使用体验,截止目前已经广泛应用于各个互联网和金融机构。

相关文章
|
2月前
|
安全 Android开发 iOS开发
Android vs. iOS:构建生态差异与技术较量的深度剖析###
本文深入探讨了Android与iOS两大移动操作系统在构建生态系统上的差异,揭示了它们各自的技术优势及面临的挑战。通过对比分析两者的开放性、用户体验、安全性及市场策略,本文旨在揭示这些差异如何塑造了当今智能手机市场的竞争格局,为开发者和用户提供决策参考。 ###
|
2月前
|
安全 Android开发 iOS开发
安卓与iOS的较量:技术深度对比
【10月更文挑战第18天】 在智能手机操作系统领域,安卓和iOS无疑是两大巨头。本文将深入探讨这两种系统的技术特点、优势以及它们之间的主要差异,帮助读者更好地理解这两个平台的独特之处。
59 0
|
1月前
|
安全 Swift iOS开发
Swift 与 UIKit 在 iOS 应用界面开发中的关键技术和实践方法
本文深入探讨了 Swift 与 UIKit 在 iOS 应用界面开发中的关键技术和实践方法。Swift 以其简洁、高效和类型安全的特点,结合 UIKit 丰富的组件和功能,为开发者提供了强大的工具。文章从 Swift 的语法优势、类型安全、编程模型以及与 UIKit 的集成,到 UIKit 的主要组件和功能,再到构建界面的实践技巧和实际案例分析,全面介绍了如何利用这些技术创建高质量的用户界面。
29 2
|
1月前
|
存储 安全 算法
深入探索iOS系统安全机制:保护用户隐私的前沿技术
本文旨在探讨苹果公司在其广受欢迎的iOS操作系统中实施的先进安全措施,这些措施如何共同作用以保护用户的隐私和数据安全。我们将深入了解iOS的安全架构,包括其硬件和软件层面的创新,以及苹果如何通过持续的软件更新来应对新兴的安全威胁。此外,我们还将讨论iOS系统中的一些关键安全功能,如Face ID、加密技术和沙箱环境,以及它们如何帮助防止未经授权的访问和数据泄露。
|
1月前
|
监控 iOS开发 开发者
iOS性能优化:深入函数调用栈与符号化技术
在iOS开发中,函数调用栈是理解程序执行流程和优化性能的关键。当应用出现性能问题或崩溃时,能够准确地读取和解析调用栈信息对于快速定位问题至关重要。本文将探讨iOS中的函数调用栈,以及如何通过符号化技术进行有效的性能调优。
33 3
|
1月前
|
安全 搜索推荐 Android开发
揭秘安卓与iOS系统的差异:技术深度对比
【10月更文挑战第27天】 本文深入探讨了安卓(Android)与iOS两大移动操作系统的技术特点和用户体验差异。通过对比两者的系统架构、应用生态、用户界面、安全性等方面,揭示了为何这两种系统能够在市场中各占一席之地,并为用户提供不同的选择。文章旨在为读者提供一个全面的视角,理解两种系统的优势与局限,从而更好地根据自己的需求做出选择。
100 2
|
1月前
|
存储 人工智能 安全
【通义】AI视界|苹果停止签署iOS 18.0.1,升级用户无法降级
本文由通义自动生成,涵盖24小时内精选的五条科技资讯:奥特曼谈OpenAI未来发展方向,ChatGPT新搜索功能上线遇故障,Perplexity AI选举搜索面临挑战,马斯克谈特斯拉造手机的可能性,以及苹果停止签署iOS 18.0.1。更多精彩内容,欢迎访问通通知道。
|
1月前
|
安全 搜索推荐 Android开发
揭秘iOS与安卓系统的差异:一场技术与哲学的较量
在智能手机的世界里,iOS和Android无疑是两大巨头,它们不仅定义了操作系统的标准,也深刻影响了全球数亿用户的日常生活。本文旨在探讨这两个平台在设计理念、用户体验、生态系统及安全性等方面的本质区别,揭示它们背后的技术哲学和市场策略。通过对比分析,我们将发现,选择iOS或Android,不仅仅是选择一个操作系统,更是选择了一种生活方式和技术信仰。
|
2月前
|
安全 Android开发 iOS开发
iOS与安卓:技术生态的双雄争霸
在当今数字化时代,智能手机操作系统的竞争愈发激烈。iOS和安卓作为两大主流平台,各自拥有独特的技术优势和市场地位。本文将从技术架构、用户体验、安全性以及开发者支持四个方面,深入探讨iOS与安卓之间的差异,并分析它们如何塑造了今天的移动技术生态。无论是追求极致体验的苹果用户,还是享受开放自由的安卓粉丝,了解这两大系统的内在逻辑对于把握未来趋势至关重要。
|
2月前
|
安全 搜索推荐 Android开发
揭秘iOS与Android系统的差异:一场技术与哲学的较量
在当今数字化时代,智能手机操作系统的选择成为了用户个性化表达和技术偏好的重要标志。iOS和Android,作为市场上两大主流操作系统,它们之间的竞争不仅仅是技术的比拼,更是设计理念、用户体验和生态系统构建的全面较量。本文将深入探讨iOS与Android在系统架构、应用生态、用户界面及安全性等方面的本质区别,揭示这两种系统背后的哲学思想和市场策略,帮助读者更全面地理解两者的优劣,从而做出更适合自己的选择。
下一篇
DataWorks