石河子坡医金融服务有限公司

資訊

危險的蘋果:設計電池拔不出被指為跟蹤留后門

發布時間: 2014-08-22 08:05:22    來源: 新民周刊
字體:

[摘要]如果人們早點了解iPhone的定位功能,也許以調查婚姻忠誠度為生的私家偵探就會失業了。

  蘋果牌“跟蹤器”

  如果人們早點了解iPhone的定位功能,也許以調查婚姻忠誠度為生的私家偵探就會失業了。

  就像豪車的車主不會去使用80%的附加功能,普通人甚至不了解一部智能手機80%的功能。央視最近做了一些科普教育。7月11日,央視曝光蘋果手機有一項大眾知之甚少的定位服務,打開設置中的“常去地點”,機主每天去過哪里,停留多長時間,去過幾次都被記錄在案,數據之詳盡,完全可能達到引發家庭矛盾的級別。難怪路人看著央視記者操作自己手機,脫口而出:這可不能被男朋友看到!

  蘋果的“定位服務”始于2010年,搭載iOS操作系統的iPhone4手機可以追蹤用戶每分鐘的行蹤,記錄用戶在任何一個地方停留的時間,并且將用戶資料上傳至蘋果公司服務器上。此后,蘋果手機的換代產品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。

  在央視采訪中,專業人士在計算機上調出深藏在6層目錄下的定位數據包,機主停留地點的經度、維度、高度、速度等值,精確到了小數點后8位。而用戶在留下這些軌跡時,根本無需開啟手機的定位功能。也就是說,你可能只是在有WiFi 的咖啡館旁邊走過,甚至沒有蹭一下網,或者只是打開了一款和定位無關的新聞或游戲App,你的行蹤就暴露了。

  這款隨身攜帶的“手機形狀追蹤器”讓人感覺芒刺在背。如果關閉定位服務會怎么樣?首先,關閉后可能讓 iPhone 的地圖、導航等一些功能失效。更讓人抓狂的是,即使用戶將定位功能關掉,在你使用看似無關緊要的App時,后臺系統還是能默默地將你所在地點、時間等信息完整記錄下來。

  針對央視的曝光,蘋果公司很快發出聲明,這項功能是為了更好地為用戶提供服務,強調不會將手機用戶的詳細資料透露給任何第三方,但是并未對傳送用戶數據至數據庫進行否認。

  很快有人拿起法律武器對準蘋果。7月24日,一位名為馬晨(Chen Ma 音譯)的華人女性在美國加州圣何塞法院向蘋果公司提起集體訴訟,代表個人及其他iPhone用戶起訴蘋果手機利用定位信息獲取用戶資料,侵犯用戶隱私。原告訴求最重要的一條是,在蘋果公司不對消費者進行有效通知、在傳輸數據前未經用戶明確同意前提下,永久性禁止蘋果繼續搜集由定位服務產生的高度敏感隱私的用戶數據。

  事實上,蘋果的定位服務惹上官司,這已不是第一次。2011年,韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發起訴訟,稱其通過手機周邊的無線網絡收集用戶位置信息。最后,因違反韓國《位置信息保護法》,蘋果公司被處以300萬韓元(約合人民幣18200元)罰款。

  當時美國、法國、德國也對蘋果公司進行了類似的疑惑調查,韓國最先做出違法裁決以及處罰決定,一時間備受關注,只是過輕的處罰力度讓這個官司更像是對蘋果的一種保護。

  2013年,美國一名法官也審理了類似的侵權訴訟,原告表示在使用任何蘋果手機時,沒有收到蘋果公司追蹤、記錄以及傳送用戶信息的通知。但法官最終裁定原告在購買 iPhone 前沒有閱讀蘋果的隱私條款。

  后門鑰匙在誰手中?

  就在iPhone“定位服務”鬧得沸沸揚揚之際,美國安全專家喬納森·扎德爾斯基又為蘋果補上一刀——你以為手機泄露的只是你的行蹤,那就年輕又天真了。

  7月18日,在每年一度的HOPE/X黑客和開發會議上,老牌iOS黑客扎德爾斯基演講時抖出猛料,iOS存在多個后門,用來攫取iPhone 和iPad中用戶短信、通訊錄和照片等個人數據。

  扎德爾斯基曾出版《iOS應用安全攻防》(Hacking and Securing iOS Applications)一書,在黑客界算得上大神級人物,他的這一曝光讓人們意識到,一臺iPhone在手,不止是自己的行蹤盡在蘋果掌握,其他個人信息也不是秘密,蘋果公司唾手可得。

  比如一款名為com.apple.pcapd的服務,通過libpcap網絡數據包捕獲流入和流出iOS設備的HTTP數據。據扎德爾斯基稱,這一服務在所有iOS設備上都是默認激活的,在用戶不知情的情況下,能通過WiFi網絡監測用戶的信息。

  而一款名為com.apple.mobile.file_relay的服務讓用戶為個人信息上的安全鎖形同虛設。這一服務完全繞開了iOS的備份加密功能,泄露的情報包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語音郵件等。這一服務最早出現在iOS 2中,在后來的版本中不斷得到擴充。

  扎德爾斯基指出,黑客甚至能利用這一服務從推特內容中竊取用戶最近的照片、最近的時光軸內容、用戶的DM數據庫、認證令牌等,認證令牌能用于“遠程竊取未來所有的推特信息”。

  專業人士的指控讓蘋果難以淡定,7月23日,蘋果公司在回應中首次提到“后門程序”基本信息,稱這是為iOS診斷功能服務,向企業的IT部門、開發者和蘋果維修人員提供所需信息。

  “不管用戶有沒有開啟‘向蘋果公司發送診斷數據’選項,這些服務都在傳送數據。如果這些服務是為了診斷功能服務的,那應該在用戶啟用診斷模式時才工作。不幸的是,用戶根本沒辦法關閉這些服務。事實就是,每臺手機上這些服務都是默認激活的,而且無法關閉。用戶也沒有收到任何關于是否將個人信息從手機上發出去的詢問。很難相信蘋果公司說的是實話。”扎德爾斯基認為。

  蘋果的辯解沒有讓內行的扎德爾斯基滿意,7月25日,扎德爾斯基在其個人網站上回應,稱這些“后門程序”可以突破加密的備份文件,獲取用戶數據,并非是開發者或運營商用來測試網絡或調試應用。

  “我從不認為這些服務僅僅是為了診斷功能設計的。這些泄露的信息完全是個人性質的。而且蘋果獲取這些信息時完全沒有知會過用戶。一款真正的診斷工具在設計時會尊重用戶,在它需要獲取某些數據時告知用戶,并且遵守備份加密協議。告訴我,為什么蘋果向用戶保證手機上所有備份的文件信息是加密的,卻又設計一個后門去繞過加密?”

  既然遠超診斷維修的必須性,蘋果收集這么多個人信息數據流到了哪里?扎德爾斯基的研究一經公開,各國媒體的箭頭都指向了美國國家安全局(NSA)。

  “我沒有指控蘋果和NSA合作,不過就現有的資料來看,我懷疑蘋果的某些服務可能被NSA用來收集潛在目標的信息。我并沒有推測蘋果和NSA之間存在某種巨大的陰謀,但是iOS上運行的某些服務確實不應該存在,這些服務是被蘋果公司有意強加的,用來突破備份加密,獲取用戶那些本不應該被獲取的個人信息。”

更多推薦

專家專欄

企業專題

熱門文章

展會沙龍

󰀗返回頂端