@ 2014.07.26 , 23:02

iOS“后门”:苹果公司承认从iPhone上获取用户私密信息

本周,苹果公司承认:利用此前未公开的技术,苹果公司员工能够从所有iPhone手机中用大量掘取并上传类似短信,通讯录,照片这样的私人信息。而用户并未被告知这一行为的存在。

本周, 苹果设备研究者Jonathan Zdziarski展示了苹果公司用来从苹果设备掘取大量的数据的进程。被攫取的信息数量之多令人惊讶。Zdziarski称,用户并没有被告知这样的进程的存在,更无法禁止这些进程。

[-]
Jonathan Zdziarski

而苹果公司对此的回应并无新意:

“我们在设计iOS时,加入了设备诊断功能。这一功能的目的是向(用户所在的)公司的IT维护部门,程序设计者及苹果公司提供信息,以诊断设备。我们确保了这一“设备诊断”功能不会危害用户的隐私和信息安全。任何苹果设备都只有在解锁并连接至可信任的电脑后,苹果才会获取这些有限的诊断信息。如果用户没有同意分享这些信息,我们不会传输任何数据。

我们再次声明。苹果从没有和任何国家的任何政府机关合作,也没有在任何产品和服务中设置后门。”

[-]

对于此声明,Jonathan Zdziarski在他的博客中写到:

“(实际的测试表明)无论用户是否选择了‘将设备诊断数据上传给苹果’这一选项,或者这些设备是否是由(用户所在的)公司IT部门维护的,上传数据的进程都会运行。

一般认为,只有由第三方维护的设备,或者用户已同意上传数据的设备才会将设备内的数据向外发送。但事实不是这样,更加不好的是,这些进程无法停止。

换句话说,任何一台苹果设备,只要有这一‘诊断数据上传功能’,都会将数据上传给苹果,无论用户是否勾选了‘将设备诊断数据上传给苹果’这一选项。

这一进程无法停止,用户也完全没有被告知他们的(除设备诊断信息之外的)私人信息将被从设备中发送出去,更不会被提问是否同意。据此,我们无法相信苹果的声明是将所有的事实都讲明了。”

面对这些质疑,苹果在其网站上发布了关于运行上述争议进程的软件工具的描述。而和其他与苹果公司交涉的研究人员希望苹果对这一行为作出改进。

Jonathan Zdziarski在他的博客也写道:

“尽管苹果声称这些后门是为了正当目的而使用的,但却严重影响了用户的信息隐私。

根据斯诺登的爆料,美国国家安全局(NSA)已经有能力破解所有带桌面系统电脑,并由此连接iPhone,获取其内部资料。我们也知道,执法机关办案时,常常会没收带有桌面系统的电脑。所以,就算有备份加密,他们仍然有能力获取手机中的信息。

此外,在很多情况下,(苹果设备的)配对记录可能被盗取。比如在咖啡店的公用电脑上,你前任的电脑上,或者苹果公司的销售点。所有这些配对行为都能给黑客通过USB或者WIFI连接入侵你手机的途径。而在你恢复出厂设置之前,这些途径永远存在。

苹果只有在最近才会提示‘是否信任电脑’,在此之前,苹果设备会自动和所有连接的电脑配对。

Zdziarski 认为,这些进程的确不是为了建政府间谍行为而设。但是他强调,苹果公司确实从用户手中掘取了过多的信息。并且没有告知用户。

[-]

信息安全分析员Rich Mogull称Zdziarski的研究有些过于耸人听闻。但是,从技术角度来看,后者所称完全没有错误。他也赞同Zdziarski有关政府执法机关会利用这一工具掘取私人信息。

多方人士询问苹果是否曾利用这一工具为执法机关服务,苹果公司没有回应。

值得一提的是,尽管有这些有关“后门”的质疑和其他的问题。苹果设备的曾被公认比其竞争者,安卓设备,更加安全。因为Google是一个不存在的公司并没有能力直接向使用安卓系统的设备推送软件更新和维护包。本文译自 reuters and Jonathan Zdziarski Blog,由 萝卜君 编辑发布。

赞一个 (3)