苹果"后门"事件敲响警钟 专家建议公职人员弃用iPhone

      在全球安全专家乔纳森·扎德尔斯基对iPhone手机“后门”提出质疑后，近日苹果公司首次承认，公司员工可以通过一项此前未曾公开的技术来提取iPhone中的短信、通讯录和照片等个人数据。这意味着，大约6亿部苹果iOS设备上，都可能发生信息泄露。
　　
　　市场研究机构ComTech的第三方数据显示，2014年苹果手机在中国智能手机市场的占有率超过16%，“后门”事件令用户震惊。在苹果一次又一次暧昧的声明中，依然还有诸多疑点未清：第一，苹果故意留“后门”意欲何为？第二，此事的影响面究竟有多大？此外，我们也有必要重新思考，应该如何防患于未然？
　　
　 　质疑一：瞒而不报意欲何为？
　　
　　7月21日，乔纳森·扎德尔斯基在纽约举办的骇客大会上，指出苹果系统存在人为预先设置的“系统后门”，危害用户的信息安全。他展示了如何利用存在于iOS后台的“后门”服务来提取数据，这意味着，执法或其他人员可以利用这一技术通过“授信”电脑绕开备份加密，轻松进入已联网的用户手机中。
　　
　　随后，苹果公司承认了这个事实，但是回应称，这种避开硬件保护的系统设计是为了系统“诊断”使用，强调“并没有为任何情报部门创建‘后门技术’”。不过，这种解释并没有让扎德尔斯基信服，相反，他认为苹果拿到的数据都是非常隐私的。
　　
　　苹果故意“留后门”，究竟有什么意图？中国工程院院士、北京邮电大学原校长、国家计算机网络与信息安全管理中心名誉主任方滨兴教授认为，在系统上“留后门”可以分为善意与恶意两种情况。善意的情况可以称作信息挖掘，比如通过通讯录挖掘人际关系网、在照片上嵌入地理定位来分析人与场景，以此创造商业价值。“善意的利用一般不带号码，只留内容，也就是今天所说的‘大数据’。”
　　
　　方滨兴院士查阅了苹果官方的所有声明后提出质疑：“如果只是善意利用，聪明如苹果公司一定会在声明中做出类似的承诺，但可惜没有。”这让他不得不考虑最坏的情况，即“带号码与内容”的恶意“后门”，并且苹果能拿到十分隐私的内容，用于不得而知的目的。
　　
　　德国《明镜》周刊曾在去年12月报道，美国国家安全局就曾开发过一个名为“出轨吉普”（Dropout Jeep）的软件，专门用于苹果手机，可以实现远程推拉文件、短信检索、打开摄像头等。方滨兴指出，如果苹果自己留有“后门”，似乎更为简单直接。截至记者发稿时，苹果公司始终没有公开回应这些数据的真正使用途径。
　　
　　质疑二：影响面究竟有多大？
　　
　　“中国博客之父”、互联网实验室总裁方兴东在接受记者采访时表示，从技术角度讲，所有联网设备都会留有一条通道，也就是“后门”，用于打补丁、故障检修、系统升级等。但是一般的“后门”都需要告知用户，并让他们知情选择。然而，根据目前披露的信息，苹果公司可以收集的用户信息远远超过了业务所需范围，让此事的影响变得难以估量。
　　
　　“从普通用户层面讲，绝大多数用户并不知道这些功能的存在。就算知道，也没有能力保护自己的信息，更没有能力搜集证据控告苹果，就像任宰的羔羊一般看着自己的隐私受到侵害。”易观智库分析师王健说，苹果手机在中国拥有千万级别的用户规模，根据ComTech发布的2014年1月至5月的报告，苹果在中国智能手机市场上的份额为16%。王健预计，此次“后门”事件可能会让用户对苹果的信任感大大降低。
　　
　　方兴东则认为，这种影响可能不仅于此，“iPhone等移动智能设备所涉及的信息量，不但比个人电脑更全面、更丰富，而且由于具备动态性、实时性和全息性，更有着多层次的价值。比如在商业层面，通过定位企业掌门人，或许就能获悉商业机密。如果上升到国家信息安全层面，公务人员、涉密人员使用留有‘后门’的智能手机，则更为不妥。”他认为，对于已经将网络安全提升到国家战略高度的中国来说，无论是用户的隐私保护，还是国家层面的信息安全保护，都应该有一道“防火墙”。
　　
　 　思考：采取什么措施防范？
　　
　　如今，无论苹果公司是否主观故意，苹果手机存有“后门”已是摆在众多用户面前的严峻现实。面对留有“后门”的苹果手机，我们能采取什么有效措施进行防范呢？方兴东认为，首先苹果公司需要对公众有个交代。苹果公司若是想要使公众信服，就必须拿出最充分的证据以力证清白，并且由具有公信力的第三方机构评估其严重程度，找到妥善的解决办法。
　　
　　“从保护信息安全的层面，国家也应该有所作为。”方滨兴建议，国际巨头在国内经营的业务应该明确告知会收集什么数据，数据如何使用，会传到何方。国家也完全可以要求跨国企业将国内用户的手机信息存放在境内，而不能传到境外，这是完全有能力做到的。
　　
　　方兴东认为，由于苹果手机是硬件、软件和云服务等完全一体化的封闭系统，外部企业和安全厂商无法插手，因此建议禁止公职人员使用，改用安全可靠的国产手机，“国产手机目前基本使用谷歌的安卓系统。安卓相对开放，提供大量源代码，可以通过实施二次开发、安全加固等措施，一定程度上提升安全性。”他认为，这只是过渡的方式，最终我国需要自主开发自有操作系统，通过自身科技实力的提升来保证信息安全。
　　
　　最后，在法律层面上，也需要及早布局。王健指出，目前我国在信息安全保护的立法上相对滞后、有所缺位。比如智能手机拥有实时动态收集信息的能力，但是什么信息可以使用，能使用到什么程度，什么信息需要受到保护被禁用，法律都没有一个明确的界定。这不仅会让一些跨国企业钻空子，也不利于事后有关部门的执法行动，“在信息安全方面的立法，迫在眉睫。”