斯諾登事件已經(jīng)讓全球民眾對美國政府和各大商業(yè)公司的的秘密監(jiān)控個人隱私的行為極為敏感，而在很多國內學者來說，國家機關的信息安全也格外值得擔憂。知名科技評論人方興東就在今天的《環(huán)球時報》撰文，呼吁公職人員禁用蘋果手機，換用國產(chǎn)手機。這一文章的背景是，蘋果iOS操作系統(tǒng)上周再曝重大安全隱患，國外黑客披露該系統(tǒng)3大“后門”，稱這些后門可以讓美國國家安全局和黑客在用戶不知情的情況下，通過WiFi秘密竊取電話、短信記錄等多達44種用戶信息。蘋果官方昨天對此作出回應，承認系統(tǒng)存在“安全漏洞”，但辯稱這些程序是只開放給開發(fā)維護人員的“診斷服務”。

黑客：6億臺iPhone和iPad存在后門

據(jù)科技博客網(wǎng)站appleinsider報道,知名iOS黑客喬納森·扎德爾斯基(Jonathan Zdziarski)披露蘋果的iOS系統(tǒng)存在若干后門,在特定的情況下可以獲取到用戶的個人隱私信息。

扎德爾斯基著重指出了三個隱患較大的后門程序,用戶的電話本、郵件、地理位置、網(wǎng)絡流量、Facebook隱私等信息均存在泄密的風險。這些程序會在用戶不知情,或者無需用戶同意的情況下工作,而蘋果公司此前從未對此做出過說明。

喬納森·扎德爾斯基曾經(jīng)是iOS越獄團隊的一員,也出版過多部有關iOS開發(fā)的書籍。上周末,扎德爾斯基在Hope X黑客大會上公布了自己的發(fā)現(xiàn),對三個后門可能泄密的后臺程序作了詳細說明。

iOS黑客喬納森·扎德爾斯基

他首先對“com.apple.mobile.file_relay”程序提出了質疑。該程序最早出現(xiàn)在iOS 2中,在后來的版本中不斷得到擴充。他說,這一服務完全繞開了iOS的備份加密功能,能泄露“大量情報”,其中包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語音郵件、地理位置,以及用戶在Twitter、iCloud的數(shù)據(jù)等。

另外兩個后門程序“com.apple.pcapd”和“com.apple.mobile.house_arrest”可以被程序開發(fā)和維修人員合法調用,但也可能被政府的檢點甚至前戀人利用。比如Pcapd程序就可以通過無線監(jiān)控設備的所有網(wǎng)絡進出流量,而且在非開發(fā)和維修模式下也可以實現(xiàn)這一點。而House_arrest程序,則可以從Twitter和Facebook等應用程序上復制隱私文件。

扎德爾斯基披露的這三個后門存在于6億臺iPhone和iPad的操作系統(tǒng)內,通過這些后門可以獲取到大量的用戶個人信息,然后可以將這些信息傳輸?shù)皆谑謾C信任列表里的設備,例如不少用戶會將iPhone用數(shù)據(jù)線連接到電腦,而這些電腦就是“可信任設備”。盡管這些后門只有通過這些可信任設備來進入,一定程度上降低了信息泄露的可能性,但手段高超的攻擊者依然可以通過這一信任機制來獲取到這些信息。

蘋果之前從來沒有對公眾提及這些iOS服務。扎德爾斯基表示,這些服務在獲取用戶個人信息時不會通知用戶,也不需要獲得用戶的許可,更無法被用戶關閉。對于iPhone用戶來說，他們不知道究竟有多少臺“授信”電腦可以進入到自己的設備中，或者如何阻止這些連接。

“我找不到比‘后門’更好的詞匯來描述這些程序,我很樂意聽聽蘋果公司對此如何解釋。”扎德爾斯基還暗示,美國國家安全局可能使用蘋果的后門方便地訪問iPhone和iPad。此前的棱鏡門中,斯諾登就揭示了美國國家安全局(NSA)曾在iPhone,Android和黑莓手機使用后門。

專家：公職人員應禁用蘋果手機

博客中國創(chuàng)始人、浙江傳媒學院互聯(lián)網(wǎng)與社會研究中心主任方興東今天在《環(huán)球時報》發(fā)表評論文章，就蘋果“后門”風波談到，我國公職人員應禁用蘋果手機，換用國產(chǎn)手機。

知名科技評論人方興東

以下為全文：

蘋果公司終于承認，該公司員工可以通過一項未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數(shù)據(jù)。這起事件引發(fā)的安全問題非同小可，目前還在進一步發(fā)酵。

近幾年，圍繞蘋果iPhone安全問題的爭議從來沒平息過，但也從未給蘋果釀成大麻煩。這次事件從行業(yè)規(guī)范和法律角度，都存在嚴重問題。蘋果是不是依舊能輕描淡寫，還得拭目以待。

智能手機安全問題遠比我們過去長期關注的傳統(tǒng)個人電腦更嚴重。iPhone和iPad等移動智能設備所涉及的信息量不但比個人電腦更全面、豐富，而且由于具備動態(tài)性、實時性和全息性，而更有多層次的價值。比如，通過竊聽工具“DropoutJeep”，用戶隱私和數(shù)據(jù)毫不設防，美國國家安全局可以獲取短信、通話、通訊錄、語音郵件、手機位置信息、手機錄音等幾乎所有形式的內容。

當然，由于普通用戶對隱私問題的警惕性不高，加上很多潛在的隱私問題用戶一般也難以察覺。蘋果可獲取用戶隱私的消息恐怕很難引發(fā)民眾大量關注。但是，對于已經(jīng)將網(wǎng)絡安全提升到國家戰(zhàn)略高度的中國來說，無論在用戶的隱私保護上，還是國家信息安全保護上。iPhone的安全問題都不能再像過去那樣“民不告官不究”。

政府不能再坐視不管，應該讓蘋果給予最充分的說明和解釋，并且讓有公信力的第三方評估嚴重程度，找到妥善的解決辦法。政府重視才能根本改變蘋果輕描淡寫的回避政策，真正為“沉默的大多數(shù)”用戶的利益著想。

可以要求黨政軍以及重要關鍵基礎設施的人員，禁止使用蘋果。因為蘋果手機是硬件、軟件和云服務等完全一體化的封閉系統(tǒng)，外部企業(yè)和安全廠商無法插手，對于潛在的安全問題只有蘋果單方面的說辭，很難進行公開透明的有效評估和改進完善。其次，公職人員換用國產(chǎn)手機，而國產(chǎn)手機目前基本使用谷歌的安卓系統(tǒng)。安卓相對開放，提供大量源代碼，所以可以通過實施二次開發(fā)、安全“加固”等措施，一定程度上提升安全性。

最終，推進中國自主可控的國產(chǎn)手機操作系統(tǒng)，才是長治久安的對策。這方面政府一定要制定戰(zhàn)略，出臺大力度的支持政策。但是，必須吸取過去十多年國產(chǎn)操作系統(tǒng)的慘痛教訓，避免重蹈覆轍。必須市場化運行，通過創(chuàng)新的模式，讓有戰(zhàn)略高度，有產(chǎn)業(yè)理想，也具有互聯(lián)網(wǎng)基因的國內公司，脫穎而出。

蘋果在中國不僅僅關系到中美兩國的貿易與政治，而且關系到一個錯綜復雜的巨大利益場，任何針對蘋果政策的風吹草動，都將引發(fā)多方面的效應。但是，在如此重大的安全隱患面前，考驗的將是整個國家對網(wǎng)絡安全的重視程度和戰(zhàn)略決心！

蘋果回應：這些是診斷功能

昨天，美國蘋果公司承認，該公司員工可以通過一項未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數(shù)據(jù)。但蘋果同時聲稱，該功能僅向企業(yè)的IT部門、開發(fā)者和蘋果維修人員提供所需信息，在獲取這些受限制的診斷數(shù)據(jù)之前，需要用戶授權并解鎖設備。

蘋果也公布了這三個后門的一些詳情。

1. com.apple.mobile.pcapd

pcapd支持將iOS設備上獲取的診斷數(shù)據(jù)包傳輸?shù)揭慌_可信任設備上。這項服務可用戶檢測和診斷iOS設備上的應用和企業(yè)VPN連接。

2. com.apple.mobile.file_relay

file_relay支持從設備內有限制地復制診斷信息,這一服務獨立于用戶生成的備份之外,無法接觸到用戶設備上所有的數(shù)據(jù),同時由iOS數(shù)據(jù)保護措施所限制。蘋果工程部在內部設備上使用file_relay來驗證用戶設置,AppleCare在用戶的許可前提下也會使用這一服務從用戶的設備上手機相關的診斷數(shù)據(jù)。

3. com.apple.mobile.house_arrest

iTunes調用house_arrest進行iOS設備與應用之間的文檔發(fā)送和接收,Xcode也會調用這一服務,在一個應用的開發(fā)過程中幫助傳輸測試數(shù)據(jù)。

蘋果的這份聲明中還表示:正如扎德爾斯基發(fā)現(xiàn)的那樣,第三方確實可以通過Wifi訪問一臺可信任設備,從而調用這些程序。但蘋果方面既沒有確認也沒有否認最關鍵的一個問題:這些程序是否會在用戶不知情,或者無需用戶同意的情況下工作。

蘋果還特別強調,file_relay能調用的只是很有限的一些數(shù)據(jù),但扎德爾斯基回應說,該服務能夠獲取到iPhone的44種數(shù)據(jù)源,其中包括電話記錄、短信記錄、語音郵件、GPS數(shù)據(jù)等一些極度私密的信息。大部分情況下這些個人信息和診斷數(shù)據(jù)可以沒有任何交集。

蘋果曾多次因安全遭質疑

實際上，蘋果公司已不止一次因類似問題遭到指責。2011年，韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發(fā)起訴訟，稱其通過手機周邊的無線網(wǎng)絡收集用戶位置信息。最后，因違反韓國《位置信息保護法》，蘋果公司被處以300萬韓元罰款。

2013年，斯諾登披露，蘋果手機故意設計電池拔不出，因此即使關機也照樣定位發(fā)情報，可以調閱手機里面的信息。

本月初，央視對蘋果手機可搜集記錄用戶位置的功能提出質疑，認為蘋果手機詳細記錄了用戶位置和移動軌跡，并記錄在未加密數(shù)據(jù)庫中。該功能不僅記錄用戶常去的地點名稱，還詳細記錄用戶在這個地點停留的時刻及次數(shù)。