蘋果設計電池拔不出被指為跟蹤留后門
責編:admin |2014-08-22 15:00:23如果人們早點了解iPhone的定位功能,也許以調查婚姻忠誠度為生的私家偵探就會失業了。
就像豪車的車主不會去使用80%的附加功能,普通人甚至不了解一部智能手機80%的功能。央視最近做了一些科普教育。7月11日,央視曝光蘋果手機有一項大眾知之甚少的定位服務,打開設置中的“常去地點”,機主每天去過哪里,停留多長時間,去過幾次都被記錄在案,數據之詳盡,完全可能達到引發家庭矛盾的級別。難怪路人看著央視記者操作自己手機,脫口而出:這可不能被男朋友看到!
蘋果的“定位服務”始于2010年,搭載iOS操作系統的iPhone4手機可以追蹤用戶每分鐘的行蹤,記錄用戶在任何一個地方停留的時間,并且將用戶資料上傳至蘋果公司服務器上。此后,蘋果手機的換代產品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。
在央視采訪中,專業人士在計算機上調出深藏在6層目錄下的定位數據包,機主停留地點的經度、維度、高度、速度等值,精確到了小數點后8位。而用戶在留下這些軌跡時,根本無需開啟手機的定位功能。也就是說,你可能只是在有WiFi 的咖啡館旁邊走過,甚至沒有蹭一下網,或者只是打開了一款和定位無關的新聞或游戲App,你的行蹤就暴露了。
這款隨身攜帶的“手機形狀追蹤器”讓人感覺芒刺在背。如果關閉定位服務會怎么樣?首先,關閉后可能讓 iPhone 的地圖、導航等一些功能失效。更讓人抓狂的是,即使用戶將定位功能關掉,在你使用看似無關緊要的App時,后臺系統還是能默默地將你所在地點、時間等信息完整記錄下來。
針對央視的曝光,蘋果公司很快發出聲明,這項功能是為了更好地為用戶提供服務,強調不會將手機用戶的詳細資料透露給任何第三方,但是并未對傳送用戶數據至數據庫進行否認。
很快有人拿起法律武器對準蘋果。7月24日,一位名為馬晨(Chen Ma 音譯)的華人女性在美國加州圣何塞法院向蘋果公司提起集體訴訟,代表個人及其他iPhone用戶起訴蘋果手機利用定位信息獲取用戶資料,侵犯用戶隱私。原告訴求最重要的一條是,在蘋果公司不對消費者進行有效通知、在傳輸數據前未經用戶明確同意前提下,永久性禁止蘋果繼續搜集由定位服務產生的高度敏感隱私的用戶數據。
事實上,蘋果的定位服務惹上官司,這已不是第一次。2011年,韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發起訴訟,稱其通過手機周邊的無線網絡收集用戶位置信息。最后,因違反韓國《位置信息保護法》,蘋果公司被處以300萬韓元(約合人民幣(6.1515, 0.0105, 0.17%)18200元)罰款。
當時美國、法國、德國也對蘋果公司進行了類似的疑惑調查,韓國最先做出違法裁決以及處罰決定,一時間備受關注,只是過輕的處罰力度讓這個官司更像是對蘋果的一種保護。
2013年,美國一名法官也審理了類似的侵權訴訟,原告表示在使用任何蘋果手機時,沒有收到蘋果公司追蹤、記錄以及傳送用戶信息的通知。但法官最終裁定原告在購買 iPhone 前沒有閱讀蘋果的隱私條款。
后門鑰匙在誰手中?
就在iPhone“定位服務”鬧得沸沸揚揚之際,美國安全專家喬納森·扎德爾斯基又為蘋果補上一刀——你以為手機泄露的只是你的行蹤,那就年輕又天真了。
7月18日,在每年一度的HOPE/X黑客和開發會議上,老牌iOS黑客扎德爾斯基演講時抖出猛料,iOS存在多個后門,用來攫取iPhone 和iPad中用戶短信、通訊錄和照片等個人數據。
扎德爾斯基曾出版《iOS應用安全攻防》(Hacking and Securing iOS Applications)一書,在黑客界算得上大神級人物,他的這一曝光讓人們意識到,一臺iPhone在手,不止是自己的行蹤盡在蘋果掌握,其他個人信息也不是秘密,蘋果公司唾手可得。
比如一款名為com.apple.pcapd的服務,通過libpcap網絡數據包捕獲流入和流出iOS設備的HTTP數據。據扎德爾斯基稱,這一服務在所有iOS設備上都是默認激活的,在用戶不知情的情況下,能通過WiFi網絡監測用戶的信息。
而一款名為com.apple.mobile.file_relay的服務讓用戶為個人信息上的安全鎖形同虛設。這一服務完全繞開了iOS的備份加密功能,泄露的情報包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語音郵件等。這一服務最早出現在iOS 2中,在后來的版本中不斷得到擴充。
扎德爾斯基指出,黑客甚至能利用這一服務從推特內容中竊取用戶最近的照片、最近的時光軸內容、用戶的DM數據庫、認證令牌等,認證令牌能用于“遠程竊取未來所有的推特信息”。
專業人士的指控讓蘋果難以淡定,7月23日,蘋果公司在回應中首次提到“后門程序”基本信息,稱這是為iOS診斷功能服務,向企業的IT部門、開發者和蘋果維修人員提供所需信息。
“不管用戶有沒有開啟‘向蘋果公司發送診斷數據’選項,這些服務都在傳送數據。如果這些服務是為了診斷功能服務的,那應該在用戶啟用診斷模式時才工作。不幸的是,用戶根本沒辦法關閉這些服務。事實就是,每臺手機上這些服務都是默認激活的,而且無法關閉。用戶也沒有收到任何關于是否將個人信息從手機上發出去的詢問。很難相信蘋果公司說的是實話。”扎德爾斯基認為。
蘋果的辯解沒有讓內行的扎德爾斯基滿意,7月25日,扎德爾斯基在其個人網站上回應,稱這些“后門程序”可以突破加密的備份文件,獲取用戶數據,并非是開發者或運營商用來測試網絡或調試應用。
“我從不認為這些服務僅僅是為了診斷功能設計的。這些泄露的信息完全是個人性質的。而且蘋果獲取這些信息時完全沒有知會過用戶。一款真正的診斷工具在設計時會尊重用戶,在它需要獲取某些數據時告知用戶,并且遵守備份加密協議。告訴我,為什么蘋果向用戶保證手機上所有備份的文件信息是加密的,卻又設計一個后門去繞過加密?”
既然遠超診斷維修的必須性,蘋果收集這么多個人信息數據流到了哪里?扎德爾斯基的研究一經公開,各國媒體的箭頭都指向了美國國家安全局(NSA)。
“我沒有指控蘋果和NSA合作,不過就現有的資料來看,我懷疑蘋果的某些服務可能被NSA用來收集潛在目標的信息。我并沒有推測蘋果和NSA之間存在某種巨大的陰謀,但是iOS上運行的某些服務確實不應該存在,這些服務是被蘋果公司有意強加的,用來突破備份加密,獲取用戶那些本不應該被獲取的個人信息。”
竊聽風云
在美國電影《鷹眼》中,美國五角大樓地下藏著一臺超級計算機,監聽全美國人上網、電話通訊。只要你拿著手機,就算關機,只要不拆卸電池,超級計算機都能監聽到你說的話。
不幸的是,這不僅發生在電影中。
早在去年9月,《明鏡》周刊就曾披露過美國國家安全局(NSA)的竊密行為。該媒體披露了一份NSA內部文件,顯示NSA已經破解了iPhone、黑莓[微博]和安卓設備內的數據保護措施。文章的作者之一是美國電影制作人勞拉·波伊特拉斯,她與美國中情局前情報人員斯諾登關系密切。
根據《明鏡》周刊展示的文件,NSA和英國政府通信總部(GCHQ)聯合收集情報。每個工作小組分別承擔破解一個智能手機系統的任務。在情報人員破解密碼之后,他們就可以讀取用戶智能手機的許多信息,包括電話簿、通話記錄等。比如NSA對一款iPhone設備進行電腦同步跟蹤后,其腳本程序至少可以代理訪問iPhone手機的38項功能。
即便是安全性有口皆碑的黑莓,也沒擋住NSA的專業黑客。谷歌[微博]董事長施密特(Eric Schmidt)曾被發現隨身攜帶黑莓手機——連施密特都對Android的保密能力缺乏信心,要靠黑莓來保護搜索引擎龍頭的商業機密。黑莓于2009年5月開始使用新方法壓縮數據。美聯社說,此后大約1年之內,情報部門無法讀取黑莓通信的部分信息。但英國的GCHQ解決了這個問題,分析人員慶功時高呼“香檳”。最難的堡壘也被突破了,用戶拿iPhone或“谷歌眼鏡”拍下的照片、記錄下來的資料,在NSA更不是什么秘密。
去年底,《明鏡》周刊再一次將矛頭對準NSA和蘋果之間不清不楚的關系,披露NSA在全球范圍內入侵并監控蘋果公司的iPhone手機。
一份2008年的美國國家安全局圖表,描繪了當時正在開發的“Dropout Jeep”系統。“Dropout Jeep”項目是一個植入到iPhone的軟件,能夠利用模塊化任務應用程序來提供特定的SIGINT信號(signals intelligence,信號情報,指對無線電信號監聽、截獲和破譯獲得的情報),抓取來自設備的文件、短信、通話清單、語音郵件、地理位置、麥克風、攝像頭截圖、手機發射塔位置等數據信息。這款“后門”無疑是幫助黑客滲透受保護系統的“特洛伊木馬”。
蘋果公司隨即發布聲明,“從未與美國國家安全局合作,在任何產品中留有‘后門’,包括iPhone在內”。并且“對美國國家安全局計劃毫不知情”。而NSA沒有回應。
更嚴重的是,NSA被公開的內部資料顯示,不止是蘋果,韓國三星[微博]、美國思科及其競爭對手中國華為、美國電腦制造企業戴爾[微博]和硬盤制造企業希捷公司等,都變成了NSA的目標。
手機泄密的普遍程度讓各國政要都無法淡定。2013年,美國“棱鏡”情報監視項目曝光者、美國情報機構承包商前雇員斯諾登爆料稱,美國國家安全局每個月跟蹤德國公民在電信網絡的5億個聯系,其中可能包括默克爾。
斯諾登提供的信息促使德國政府懷疑默克爾的通信遭監視。去年10月,德國總理默克爾的發言人稱,德國政府已得到情報,美國或曾監控默克爾的手機,默克爾致電美國總統奧巴馬,要求其立即給予解釋。
美國的回應很巧妙地運用了時態,現在沒有監控,未來也不會。——只談現在和未來,不談過去。
默克爾并不是唯一一位私人通訊可能被美國監控的外國領導人。巴西總統羅塞夫曾因類似原因取消了對美國的國事訪問。法國《世界報》援引斯諾登披露的文件報道,2012年末至2013年初,美國國家安全局監視超過7000萬人次法國公民電話通信,不僅包括恐怖嫌疑人,也包括商界和政界重要人物。總統奧朗德與奧巴馬通電話予以譴責。在意大利,總理萊塔則要求到訪的美國國務卿克里就意大利公民通信遭監視的報道作出解釋。
德國鐵娘子的自衛措施只有換手機。默克爾使用的新手機是為其度身定做的黑莓Q10,可防止監聽。手機安裝Secusmart公司的密碼芯片,芯片價值2500歐元(約合人民幣2.1萬元),確保電話談話和收到的電子信息的保密。
拿什么拯救隱私?
普通人沒辦法讓黑莓專門為自己定制一部手機,拿什么保護自己的隱私?一些人從電影里學到一招,最好的方式是把電池取下來,但是,蘋果公司的手機設計成電池不可拆卸。名義上是為了讓蘋果手機更薄、更好看。
斯諾登曾表示,蘋果手機故意設計電池拔不出,因此即使關機也照樣定位發情報,別人可以調閱手機里的信息。斯諾登早前在香港與何俊仁等律師慶祝生日時,要求這些人先將手機放進冰箱屏蔽信號,否則美國一下子就可以追蹤定位到機主。
不過,真正熱衷捍衛自己的隱私權的只是少數人,大部分人對蘋果手機泄密的反應是“So what?”雖然人們對蘋果公司每天詳細記錄自己行蹤并上傳至數據庫的行為感到驚訝,但也不會因此把自己的蘋果牌“追蹤器”扔進河里。
在信息時代,人們已經習慣了讓渡一部分隱私,作為從傳統封閉生態邁入現代便利生活的代價。接受手機泄密,就像習慣各種封閉空間和開放空間無死角無盲點的監控探頭,只要有需要,隨時隨地能拼湊出一個人的行動軌跡。
大多數人對泄密漸漸無感,是因為不認為自己的個人數據重要到會被單獨提煉,這些只是大數據中的一粒塵埃。蘋果公司2010年時曾向美國國會解釋手機定位功能,稱用戶數據只會被匿名儲存,不會暴露用戶身份。
而對于商業機構而言,在大數據時代,成千上萬的記錄經過建模分析就是無價之寶。飯店會根據客戶的行動線路推送餐飲廣告,互聯網金融公司會根據用戶的消費記錄確定其經濟能力,決定授信額度。憑借收集的用戶個人資料、所在位置信息,蘋果、安卓能輕而易舉地向廣告主銷售個人化廣告。
隨著人們的生活越來越依賴智能手機,對隱私泄露的容忍度也越來越高,至少在這把劍真正落下來之前是這樣。
相關報道:
蘋果生蟲?
蘋果很炫,蘋果也一直很危險。從帕里斯的蘋果,伊甸園的蘋果,直到毒死圖靈的那一只……
如今,最炫的當然數喬布斯種出的蘋果。iPhone6的發布進入了倒計時,然而這一次,中國內地還將是蘋果公司的金礦嗎?
封閉的系統、無法拔掉的電池、沒有征得用戶同意的“后門”……隨著一系列質疑被提出,忠實果粉會不會心生疑慮?
是的,黑客說了,無論蘋果還是安卓,甚至看似戒備森嚴的黑莓,黑掉一切只是時間問題。如果你是獵物,人家就能探囊取物。于是,我們漸漸麻木,漸漸無感,讓自己相信自己手機上的數據不過是大數據中的一粒小小塵埃,不值得成為人家的獵物——姿色平平,即便裸奔也沒多少人關注。
但是,當問題上升到國家安全層面,我們就很難用這種邏輯說服自己了。認為陰謀論無處不在當然是一種病態,但如果患上了相信世上沒有陰謀的天真,同樣不能放棄治療。這兩種病哪一種更接近真實的世界呢?斯諾登肯定會告訴你答案。