iOS安全專家:仍能繞過iOS設備密碼獲取敏感數據
責編:admin |2014-09-20 19:11:43鑒于前段時間發生的好萊塢女星iCloud賬戶“艷照泄漏”事件,蘋果公司于近日對隱私政策進行更新,并宣稱其“保護用戶隱私的承諾,不會因來自政府的信息請求而動搖”,蘋果CEO蒂姆·庫克(Tim Cook)也親自撰寫公開信表示“我們尊重你的隱私,并使用強大的加密技術來保護它們,更以嚴格的政策來管理所有數據的處理方式”。
蘋果稱公司未來將不會配合執法和情報機構來通過破解用戶的密碼而獲取后者的電郵、照片和其它數據,同時還在其官方網站上針對“來自政府的信息請求”做出了單獨說明:“在運行iOS 8的設備上,諸如照片、信息(包括附件)、電子郵件、通訊錄、通話歷史記錄、iTunes內容、備忘錄和提醒事項等個人數據,均受到密碼保護。與我們的競爭對手不同,蘋果無法繞過你的密碼,所以也無法訪問相關數據。因此,如果一個設備運行的是iOS 8,即便政府已經掌握了這個設備,并下令要求我們從中提取數據,我們也無法在技術上實現這樣的要求。”
多家媒體和個人隱私支持者針對蘋果敢于向政府的信息請求說“不”的態度表示肯定,但知名iOS安全專家喬納森·扎德爾斯基(Jonathan Zdziarski)表示,即便沒有蘋果的幫助,即便設備運行的是iOS 8操作系統,警方也仍然能夠對加密iPhone進行破解,進而獲得其中的敏感數據,他們所需要的就是iPhone和一臺與該iPhone發生過數據交互的電腦。“我對庫克先生的公開信非常認可,這確實需要一定的勇氣,”扎德爾斯基在一篇博文中說道,“但是,這并不意味著執法部門一定無法獲得用戶的數據。”
就在蘋果發布聲明后不久,扎德爾斯基就確認應通過自己的取證軟件成功從一臺iOS 8設備中獲得了所有第三方應用的數據,其中包括Twitter、Facebook、Instagram、瀏覽器以及照片和視頻等,具體做法就是將自己偽裝成曾經與該iOS設備有過數據交互的電腦,隨后即可在無需設備密碼的情況下通過iTunes或iPhoto等軟件獲取用戶的敏感數據。
“既然我都能做到這一點,那么相信政府機構也能做到,”扎德爾斯基說道,“同時我敢肯定目前市面上至少還有三四種商業破解工具也能實現。”同時,扎德爾斯基還指出,實際上iOS 8的安全性已經得到大幅提升,蘋果已經修復了多個安全漏洞,但是此次可能是忽略了iOS設備在與iTunes和iPhoto進行數據交互時也是存在安全漏洞的。
蘋果方面暫時未對扎德爾斯基的說法進行回應。
客觀地講,蘋果并沒有在更新后的隱私政策中承諾iOS設備一定不會被政府機構破解,只是明確表示不會再配合政府機構去破解用戶的iOS設備,單單這一立場就要比谷歌來得更加大膽和強硬,后者曾表示將會積極配合執法部門對指定的Android設備進行破解。“很明顯蘋果正在致力于提升對用戶隱私的保護力度,相比之下Android的安全性越發令人擔心,”美國公民自由聯盟(ACLU)的技術專家克里斯·索霍安(Chris Soghoian)說道,“而蘋果已經向大家宣布了自己的底線。”
不過,扎德爾斯基仍警告稱蘋果用戶不應因此而掉以輕心,“用戶往往會在這種情況下誤以為任何第三方都不能在未經其許可的情況下獲得設備上的數據,”他說道,“至少在目前看來,盡管iOS 8在安全方面做出了較大改進,但用戶的隱私數據仍然有可能會被別人獲取到,所以加強防范意識還是非常有必要的。”