斯諾登事件已經(jīng)讓全球民眾對(duì)美國政府和各大商業(yè)公司的的秘密監(jiān)控個(gè)人隱私的行為極為敏感，而在很多國內(nèi)學(xué)者來說，國家機(jī)關(guān)的信息安全也格外值得擔(dān)憂。知名科技評(píng)論人方興東就在今天的《環(huán)球時(shí)報(bào)》撰文，呼吁公職人員禁用蘋果手機(jī)，換用國產(chǎn)手機(jī)。這一文章的背景是，蘋果iOS操作系統(tǒng)上周再曝重大安全隱患，國外黑客披露該系統(tǒng)3大“后門”，稱這些后門可以讓美國國家安全局和黑客在用戶不知情的情況下，通過WiFi秘密竊取電話、短信記錄等多達(dá)44種用戶信息。蘋果官方昨天對(duì)此作出回應(yīng)，承認(rèn)系統(tǒng)存在“安全漏洞”，但辯稱這些程序是只開放給開發(fā)維護(hù)人員的“診斷服務(wù)”。

黑客：6億臺(tái)iPhone和iPad存在后門

據(jù)科技博客網(wǎng)站appleinsider報(bào)道,知名iOS黑客喬納森·扎德爾斯基(Jonathan Zdziarski)披露蘋果的iOS系統(tǒng)存在若干后門,在特定的情況下可以獲取到用戶的個(gè)人隱私信息。

扎德爾斯基著重指出了三個(gè)隱患較大的后門程序,用戶的電話本、郵件、地理位置、網(wǎng)絡(luò)流量、Facebook隱私等信息均存在泄密的風(fēng)險(xiǎn)。這些程序會(huì)在用戶不知情,或者無需用戶同意的情況下工作,而蘋果公司此前從未對(duì)此做出過說明。

喬納森·扎德爾斯基曾經(jīng)是iOS越獄團(tuán)隊(duì)的一員,也出版過多部有關(guān)iOS開發(fā)的書籍。上周末,扎德爾斯基在Hope X黑客大會(huì)上公布了自己的發(fā)現(xiàn),對(duì)三個(gè)后門可能泄密的后臺(tái)程序作了詳細(xì)說明。

iOS黑客喬納森·扎德爾斯基

他首先對(duì)“com.apple.mobile.file_relay”程序提出了質(zhì)疑。該程序最早出現(xiàn)在iOS 2中,在后來的版本中不斷得到擴(kuò)充。他說,這一服務(wù)完全繞開了iOS的備份加密功能,能泄露“大量情報(bào)”,其中包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語音郵件、地理位置,以及用戶在Twitter、iCloud的數(shù)據(jù)等。

另外兩個(gè)后門程序“com.apple.pcapd”和“com.apple.mobile.house_arrest”可以被程序開發(fā)和維修人員合法調(diào)用,但也可能被政府的檢點(diǎn)甚至前戀人利用。比如Pcapd程序就可以通過無線監(jiān)控設(shè)備的所有網(wǎng)絡(luò)進(jìn)出流量,而且在非開發(fā)和維修模式下也可以實(shí)現(xiàn)這一點(diǎn)。而House_arrest程序,則可以從Twitter和Facebook等應(yīng)用程序上復(fù)制隱私文件。

扎德爾斯基披露的這三個(gè)后門存在于6億臺(tái)iPhone和iPad的操作系統(tǒng)內(nèi),通過這些后門可以獲取到大量的用戶個(gè)人信息,然后可以將這些信息傳輸?shù)皆谑謾C(jī)信任列表里的設(shè)備,例如不少用戶會(huì)將iPhone用數(shù)據(jù)線連接到電腦,而這些電腦就是“可信任設(shè)備”。盡管這些后門只有通過這些可信任設(shè)備來進(jìn)入,一定程度上降低了信息泄露的可能性,但手段高超的攻擊者依然可以通過這一信任機(jī)制來獲取到這些信息。

蘋果之前從來沒有對(duì)公眾提及這些iOS服務(wù)。扎德爾斯基表示,這些服務(wù)在獲取用戶個(gè)人信息時(shí)不會(huì)通知用戶,也不需要獲得用戶的許可,更無法被用戶關(guān)閉。對(duì)于iPhone用戶來說，他們不知道究竟有多少臺(tái)“授信”電腦可以進(jìn)入到自己的設(shè)備中，或者如何阻止這些連接。

“我找不到比‘后門’更好的詞匯來描述這些程序,我很樂意聽聽蘋果公司對(duì)此如何解釋。”扎德爾斯基還暗示,美國國家安全局可能使用蘋果的后門方便地訪問iPhone和iPad。此前的棱鏡門中,斯諾登就揭示了美國國家安全局(NSA)曾在iPhone,Android和黑莓手機(jī)使用后門。

專家：公職人員應(yīng)禁用蘋果手機(jī)

博客中國創(chuàng)始人、浙江傳媒學(xué)院互聯(lián)網(wǎng)與社會(huì)研究中心主任方興東今天在《環(huán)球時(shí)報(bào)》發(fā)表評(píng)論文章，就蘋果“后門”風(fēng)波談到，我國公職人員應(yīng)禁用蘋果手機(jī)，換用國產(chǎn)手機(jī)。

知名科技評(píng)論人方興東

以下為全文：

蘋果公司終于承認(rèn)，該公司員工可以通過一項(xiàng)未曾公開的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個(gè)人數(shù)據(jù)。這起事件引發(fā)的安全問題非同小可，目前還在進(jìn)一步發(fā)酵。

近幾年，圍繞蘋果iPhone安全問題的爭議從來沒平息過，但也從未給蘋果釀成大麻煩。這次事件從行業(yè)規(guī)范和法律角度，都存在嚴(yán)重問題。蘋果是不是依舊能輕描淡寫，還得拭目以待。

智能手機(jī)安全問題遠(yuǎn)比我們過去長期關(guān)注的傳統(tǒng)個(gè)人電腦更嚴(yán)重。iPhone和iPad等移動(dòng)智能設(shè)備所涉及的信息量不但比個(gè)人電腦更全面、豐富，而且由于具備動(dòng)態(tài)性、實(shí)時(shí)性和全息性，而更有多層次的價(jià)值。比如，通過竊聽工具“DropoutJeep”，用戶隱私和數(shù)據(jù)毫不設(shè)防，美國國家安全局可以獲取短信、通話、通訊錄、語音郵件、手機(jī)位置信息、手機(jī)錄音等幾乎所有形式的內(nèi)容。

當(dāng)然，由于普通用戶對(duì)隱私問題的警惕性不高，加上很多潛在的隱私問題用戶一般也難以察覺。蘋果可獲取用戶隱私的消息恐怕很難引發(fā)民眾大量關(guān)注。但是，對(duì)于已經(jīng)將網(wǎng)絡(luò)安全提升到國家戰(zhàn)略高度的中國來說，無論在用戶的隱私保護(hù)上，還是國家信息安全保護(hù)上。iPhone的安全問題都不能再像過去那樣“民不告官不究”。

政府不能再坐視不管，應(yīng)該讓蘋果給予最充分的說明和解釋，并且讓有公信力的第三方評(píng)估嚴(yán)重程度，找到妥善的解決辦法。政府重視才能根本改變蘋果輕描淡寫的回避政策，真正為“沉默的大多數(shù)”用戶的利益著想。

可以要求黨政軍以及重要關(guān)鍵基礎(chǔ)設(shè)施的人員，禁止使用蘋果。因?yàn)樘O果手機(jī)是硬件、軟件和云服務(wù)等完全一體化的封閉系統(tǒng)，外部企業(yè)和安全廠商無法插手，對(duì)于潛在的安全問題只有蘋果單方面的說辭，很難進(jìn)行公開透明的有效評(píng)估和改進(jìn)完善。其次，公職人員換用國產(chǎn)手機(jī)，而國產(chǎn)手機(jī)目前基本使用谷歌的安卓系統(tǒng)。安卓相對(duì)開放，提供大量源代碼，所以可以通過實(shí)施二次開發(fā)、安全“加固”等措施，一定程度上提升安全性。

最終，推進(jìn)中國自主可控的國產(chǎn)手機(jī)操作系統(tǒng)，才是長治久安的對(duì)策。這方面政府一定要制定戰(zhàn)略，出臺(tái)大力度的支持政策。但是，必須吸取過去十多年國產(chǎn)操作系統(tǒng)的慘痛教訓(xùn)，避免重蹈覆轍。必須市場化運(yùn)行，通過創(chuàng)新的模式，讓有戰(zhàn)略高度，有產(chǎn)業(yè)理想，也具有互聯(lián)網(wǎng)基因的國內(nèi)公司，脫穎而出。

蘋果在中國不僅僅關(guān)系到中美兩國的貿(mào)易與政治，而且關(guān)系到一個(gè)錯(cuò)綜復(fù)雜的巨大利益場，任何針對(duì)蘋果政策的風(fēng)吹草動(dòng)，都將引發(fā)多方面的效應(yīng)。但是，在如此重大的安全隱患面前，考驗(yàn)的將是整個(gè)國家對(duì)網(wǎng)絡(luò)安全的重視程度和戰(zhàn)略決心！

蘋果回應(yīng)：這些是診斷功能

昨天，美國蘋果公司承認(rèn)，該公司員工可以通過一項(xiàng)未曾公開的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個(gè)人數(shù)據(jù)。但蘋果同時(shí)聲稱，該功能僅向企業(yè)的IT部門、開發(fā)者和蘋果維修人員提供所需信息，在獲取這些受限制的診斷數(shù)據(jù)之前，需要用戶授權(quán)并解鎖設(shè)備。

蘋果也公布了這三個(gè)后門的一些詳情。

1. com.apple.mobile.pcapd

pcapd支持將iOS設(shè)備上獲取的診斷數(shù)據(jù)包傳輸?shù)揭慌_(tái)可信任設(shè)備上。這項(xiàng)服務(wù)可用戶檢測和診斷iOS設(shè)備上的應(yīng)用和企業(yè)VPN連接。

2. com.apple.mobile.file_relay

file_relay支持從設(shè)備內(nèi)有限制地復(fù)制診斷信息,這一服務(wù)獨(dú)立于用戶生成的備份之外,無法接觸到用戶設(shè)備上所有的數(shù)據(jù),同時(shí)由iOS數(shù)據(jù)保護(hù)措施所限制。蘋果工程部在內(nèi)部設(shè)備上使用file_relay來驗(yàn)證用戶設(shè)置,AppleCare在用戶的許可前提下也會(huì)使用這一服務(wù)從用戶的設(shè)備上手機(jī)相關(guān)的診斷數(shù)據(jù)。

3. com.apple.mobile.house_arrest

iTunes調(diào)用house_arrest進(jìn)行iOS設(shè)備與應(yīng)用之間的文檔發(fā)送和接收,Xcode也會(huì)調(diào)用這一服務(wù),在一個(gè)應(yīng)用的開發(fā)過程中幫助傳輸測試數(shù)據(jù)。

蘋果的這份聲明中還表示:正如扎德爾斯基發(fā)現(xiàn)的那樣,第三方確實(shí)可以通過Wifi訪問一臺(tái)可信任設(shè)備,從而調(diào)用這些程序。但蘋果方面既沒有確認(rèn)也沒有否認(rèn)最關(guān)鍵的一個(gè)問題:這些程序是否會(huì)在用戶不知情,或者無需用戶同意的情況下工作。

蘋果還特別強(qiáng)調(diào),file_relay能調(diào)用的只是很有限的一些數(shù)據(jù),但扎德爾斯基回應(yīng)說,該服務(wù)能夠獲取到iPhone的44種數(shù)據(jù)源,其中包括電話記錄、短信記錄、語音郵件、GPS數(shù)據(jù)等一些極度私密的信息。大部分情況下這些個(gè)人信息和診斷數(shù)據(jù)可以沒有任何交集。

蘋果曾多次因安全遭質(zhì)疑

實(shí)際上，蘋果公司已不止一次因類似問題遭到指責(zé)。2011年，韓國2.76萬用戶就曾對(duì)蘋果總部、蘋果韓國分公司發(fā)起訴訟，稱其通過手機(jī)周邊的無線網(wǎng)絡(luò)收集用戶位置信息。最后，因違反韓國《位置信息保護(hù)法》，蘋果公司被處以300萬韓元罰款。

2013年，斯諾登披露，蘋果手機(jī)故意設(shè)計(jì)電池拔不出，因此即使關(guān)機(jī)也照樣定位發(fā)情報(bào)，可以調(diào)閱手機(jī)里面的信息。

本月初，央視對(duì)蘋果手機(jī)可搜集記錄用戶位置的功能提出質(zhì)疑，認(rèn)為蘋果手機(jī)詳細(xì)記錄了用戶位置和移動(dòng)軌跡，并記錄在未加密數(shù)據(jù)庫中。該功能不僅記錄用戶常去的地點(diǎn)名稱，還詳細(xì)記錄用戶在這個(gè)地點(diǎn)停留的時(shí)刻及次數(shù)。