苹果"后门"事件敲响警钟 专家建议公职人员弃用iPhone

03.08.2014  10:30

  在全球安全专家乔纳森·扎德尔斯基对iPhone手机“后门”提出质疑后,近日苹果公司首次承认,公司员工可以通过一项此前未曾公开的技术来提取iPhone中的短信、通讯录和照片等个人数据。这意味着,大约6亿部苹果iOS设备上,都可能发生信息泄露。

  市场研究机构ComTech的第三方数据显示,2014年苹果手机在中国智能手机市场的占有率超过16%,“后门”事件令用户震惊。在苹果一次又一次暧昧的声明中,依然还有诸多疑点未清:第一,苹果故意留“后门”意欲何为?第二,此事的影响面究竟有多大?此外,我们也有必要重新思考,应该如何防患于未然?

   质疑一:瞒而不报意欲何为?

  7月21日,乔纳森·扎德尔斯基在纽约举办的骇客大会上,指出苹果系统存在人为预先设置的“系统后门”,危害用户的信息安全。他展示了如何利用存在于iOS后台的“后门”服务来提取数据,这意味着,执法或其他人员可以利用这一技术通过“授信”电脑绕开备份加密,轻松进入已联网的用户手机中。

  随后,苹果公司承认了这个事实,但是回应称,这种避开硬件保护的系统设计是为了系统“诊断”使用,强调“并没有为任何情报部门创建‘后门技术’”。不过,这种解释并没有让扎德尔斯基信服,相反,他认为苹果拿到的数据都是非常隐私的。

  苹果故意“留后门”,究竟有什么意图?中国工程院院士、北京邮电大学原校长、国家计算机网络与信息安全管理中心名誉主任方滨兴教授认为,在系统上“留后门”可以分为善意与恶意两种情况。善意的情况可以称作信息挖掘,比如通过通讯录挖掘人际关系网、在照片上嵌入地理定位来分析人与场景,以此创造商业价值。“善意的利用一般不带号码,只留内容,也就是今天所说的‘大数据’。

  方滨兴院士查阅了苹果官方的所有声明后提出质疑:“如果只是善意利用,聪明如苹果公司一定会在声明中做出类似的承诺,但可惜没有。”这让他不得不考虑最坏的情况,即“带号码与内容”的恶意“后门”,并且苹果能拿到十分隐私的内容,用于不得而知的目的。

  德国《明镜》周刊曾在去年12月报道,美国国家安全局就曾开发过一个名为“出轨吉普”(Dropout Jeep)的软件,专门用于苹果手机,可以实现远程推拉文件、短信检索、打开摄像头等。方滨兴指出,如果苹果自己留有“后门”,似乎更为简单直接。截至记者发稿时,苹果公司始终没有公开回应这些数据的真正使用途径。

   质疑二:影响面究竟有多大?

  “中国博客之父”、互联网实验室总裁方兴东在接受记者采访时表示,从技术角度讲,所有联网设备都会留有一条通道,也就是“后门”,用于打补丁、故障检修、系统升级等。但是一般的“后门”都需要告知用户,并让他们知情选择。然而,根据目前披露的信息,苹果公司可以收集的用户信息远远超过了业务所需范围,让此事的影响变得难以估量。

  “从普通用户层面讲,绝大多数用户并不知道这些功能的存在。就算知道,也没有能力保护自己的信息,更没有能力搜集证据控告苹果,就像任宰的羔羊一般看着自己的隐私受到侵害。”易观智库分析师王健说,苹果手机在中国拥有千万级别的用户规模,根据ComTech发布的2014年1月至5月的报告,苹果在中国智能手机市场上的份额为16%。王健预计,此次“后门”事件可能会让用户对苹果的信任感大大降低。

  方兴东则认为,这种影响可能不仅于此,“iPhone等移动智能设备所涉及的信息量,不但比个人电脑更全面、更丰富,而且由于具备动态性、实时性和全息性,更有着多层次的价值。比如在商业层面,通过定位企业掌门人,或许就能获悉商业机密。如果上升到国家信息安全层面,公务人员、涉密人员使用留有‘后门’的智能手机,则更为不妥。”他认为,对于已经将网络安全提升到国家战略高度的中国来说,无论是用户的隐私保护,还是国家层面的信息安全保护,都应该有一道“防火墙”。

   思考:采取什么措施防范?

  如今,无论苹果公司是否主观故意,苹果手机存有“后门”已是摆在众多用户面前的严峻现实。面对留有“后门”的苹果手机,我们能采取什么有效措施进行防范呢?方兴东认为,首先苹果公司需要对公众有个交代。苹果公司若是想要使公众信服,就必须拿出最充分的证据以力证清白,并且由具有公信力的第三方机构评估其严重程度,找到妥善的解决办法。

  “从保护信息安全的层面,国家也应该有所作为。”方滨兴建议,国际巨头在国内经营的业务应该明确告知会收集什么数据,数据如何使用,会传到何方。国家也完全可以要求跨国企业将国内用户的手机信息存放在境内,而不能传到境外,这是完全有能力做到的。

  方兴东认为,由于苹果手机是硬件、软件和云服务等完全一体化的封闭系统,外部企业和安全厂商无法插手,因此建议禁止公职人员使用,改用安全可靠的国产手机,“国产手机目前基本使用谷歌的安卓系统。安卓相对开放,提供大量源代码,可以通过实施二次开发、安全加固等措施,一定程度上提升安全性。”他认为,这只是过渡的方式,最终我国需要自主开发自有操作系统,通过自身科技实力的提升来保证信息安全。

  最后,在法律层面上,也需要及早布局。王健指出,目前我国在信息安全保护的立法上相对滞后、有所缺位。比如智能手机拥有实时动态收集信息的能力,但是什么信息可以使用,能使用到什么程度,什么信息需要受到保护被禁用,法律都没有一个明确的界定。这不仅会让一些跨国企业钻空子,也不利于事后有关部门的执法行动,“在信息安全方面的立法,迫在眉睫。