新華網北京7月28日新媒體電(新華社“中國網事”記者南婷)蘋果公司繼被曝收集用戶詳細行蹤后,又再次被曝故意留“后門”提取iPhone用戶的短信、通訊錄和照片等個人數據。蘋果iOS系統被業界視為最安全的移動終端操作系統,iPhone緣何深度獲取用戶隱私?指尖上的“安全事故”緣何高發?如何降低用戶數據泄露風險?新華社“中國網事”記者就此進行了調查。
蘋果公司首次承認手機留“后門”
iOS取證科學家、安全研究員喬納森·扎德爾斯基(Jonathan Zdziarski)近日發現,蘋果公司員工通過一項此前并未公開的技術,可提取iPhone中短信、通訊錄和照片等個人數據。
蘋果7月23日最新修訂過的一份聲明中承認了這一問題的存在。聲明中稱:“我們設計開發了iOS,其診斷功能不會對用戶隱私和安全帶來影響,但該功能向企業的IT部門、開發者和蘋果維修人員提供所需信息,在獲取這些受限制的診斷數據之前,需要用戶解鎖設備,以及獲得該解鎖電腦的授信。”這是蘋果首次公布這一“后門技術”的基本信息。
扎德爾斯基通過其個人網站詳細闡述了他的發現,并于當地時間7月25日對蘋果的回應進一步回應。他認為,這些后門服務可以突破加密的備份文件,并獲取用戶數據,而且,這些“后門”并非是開發者或運營商用來測試網絡或調試應用的。
扎德爾斯基的這一發現,引發業界關于蘋果公司是否與美國國家安全局(NSA)存在合作的猜測。國內知名網絡安全廠商一位不愿具名的專家說,從理論上講,只要iPhone用戶把手機與電腦相連,并授權電腦讀取手機中的數據,黑客或其他人員就可以利用該技術通過電腦繞開備份加密,獲取iPhone中的信息。
蘋果公司中國區公關部門相關負責人接受新華社“中國網事”記者采訪時表示,針對這一事件,蘋果公司目前沒有具體的細節公布。如果有進一步情況,會進行公開披露。
用戶不知情且無法禁用
事實上,用戶位置信息被收集等手機泄露隱私現象屢被曝出,并不新鮮。而此次問題的嚴重性在于,用戶的知情權并未得到尊重。
扎德爾斯基說,蘋果公司在說明中沒有提到這些“后門”,用戶對此不知情,且無法禁用這項功能。
北京市匯佳律師事務所主任邱寶昌說,手機用戶享有知情權、選擇權、信息安全權等,當合法權益被侵害時,可以通過法律訴訟等多種手段維護合法權益。
馮小剛電影《手機》里的一句經典臺詞成為現實:“當手機里藏滿鬼的時候,手機不再是手機,而是手雷。”有網友戲稱:“親,還敢用iPhone偷偷自拍艷照、發曖昧短信嗎?不用另一半查崗了,蘋果公司義務代勞了。”
一名網絡安全人士說,黑客在控制一臺電腦后,通過蘋果iOS系統中的幾個具有安全漏洞的程序,就可以獲取連接這臺電腦的iPhone手機上的數據,包括照片等。蘋果這份聲明中所指的“授信”非常容易被用戶所忽視,一般會直接點擊確認。
網絡安全界知名“白帽子”、知道創宇副總裁余弦等安全業界專家指出,盡管如此,仍不能否認蘋果未越獄iOS系統是安全性最高的。與此同時,必須意識到,安全性頂尖的操作系統尚且如此,其他智能終端廠商同樣無法給予用戶隱私百分之百的保障。
網絡安全專家徐云峰認為,用戶隱私數據被泄露的渠道可能是手機系統本身,也可能是手機上安裝的APP軟件,還可能是移動終端外的一系列環節。
誰來保障指尖上的信息安全?
專家指出,沒有信息安全,就沒有國家安全。事實上,為保護信息安全,多國都出臺了相應法律法規,中國更需加強移動互聯網時代的信息安全。
據了解,2011年,近3萬名韓國蘋果手機用戶起訴蘋果公司未經同意擅自收集用戶位置信息,幾個月后一名用戶勝訴。不僅如此,韓國還向蘋果公司開出了罰單。
互聯網實驗室創始人方興東也建議,可要求黨、政、軍以及重要關鍵崗位的人員不得使用蘋果手機,而使用經國內安全部門安全加固過的手機。
方興東解釋說,從國家安全角度,政府部門應讓蘋果公司給予充分的說明和解釋,促使有公信力的第三方進行評估,并找到妥善的解決辦法。“政府的重視才能根本改變蘋果公司輕描淡寫的回避政策,真正為‘沉默的大多數’利益著想。”此外,中國手機操作系統的國產化進程應該提上日程,有步驟、有策略地開始實施。
“漏洞的發現永無止境,黑客的偷襲攻擊也源源不斷。相比從技術上進行防御和發現,更需從法律法規上加強監管預防。”徐云峰說,這類問題技術無法完全解決,只有靠法律、管理和倫理,安全評估和網絡安全審查制度是基礎,法律認定方面也需要有資質的權威第三方進行評估和審定。
余弦說,凡是上網的信息沒有絕對的安全,每一條留下的信息都可能成為黑客攻擊的線索。烏云聯合創始人孟卓也認為,對用戶而言,秘密留在心底才是最好的保護,一些很隱秘的信息建議不要聯網。
就此次發現的蘋果“后門”,專家建議,iPhone用戶不要將手機連接到不安全的電腦。此外,有關部門和iPhone用戶應共同敦促蘋果公司盡快關閉這一功能,降低隱私被泄露的風險。