iOS“后门”:Apple承认从iPhone上盜取用户私密信息

上周,苹果公司承认:利用此前未公开的技术,苹果公司员工能够从所有iPhone手机中用大量掘取并上传类似短信,通讯录,照片这样的私人信息。而用户并未被告知这一行为的存在。

本周, 苹果设备研究者Jonathan Zdziarski展示了苹果公司用来从苹果设备掘取大量的数据的进程。被攫取的信息数量之多令人惊讶。Zdziarski称,用户并没有被告知这样的进程的存在,更无法禁止这些进程。

19627-Apple承认从iPhone上盜取用户私密信息-3
Jonathan Zdziarski

而苹果公司对此的回应并无新意:

“我们在设计iOS时,加入了设备诊断功能。这一功能的目的是向(用户所在的)公司的IT维护部门,程序设计者及苹果公司提供信息,以诊断设备。我们确保了这一“设备诊断”功能不会危害用户的隐私和信息安全。任何苹果设备都只有在解锁并连接至可信任的电脑后,苹果才会获取这些有限的诊断信息。如果用户没有同意分享这些信息,我们不会传输任何数据。

我们再次声明。苹果从没有和任何国家的任何政府机关合作,也没有在任何产品和服务中设置后门。”

19627-Apple承认从iPhone上盜取用户私密信息-2

对于此声明,Jonathan Zdziarski在他的博客中写到:

“(实际的测试表明)无论用户是否选择了‘将设备诊断数据上传给苹果’这一选项,或者这些设备是否是由(用户所在的)公司IT部门维护的,上传数据的进程都会运行。

一般认为,只有由第三方维护的设备,或者用户已同意上传数据的设备才会将设备内的数据向外发送。但事实不是这样,更加不好的是,这些进程无法停止。

换句话说,任何一台苹果设备,只要有这一‘诊断数据上传功能’,都会将数据上传给苹果,无论用户是否勾选了‘将设备诊断数据上传给苹果’这一选项。

这一进程无法停止,用户也完全没有被告知他们的(除设备诊断信息之外的)私人信息将被从设备中发送出去,更不会被提问是否同意。据此,我们无法相信苹果的声明是将所有的事实都讲明了。”

面对这些质疑,苹果在其网站上发布了关于运行上述争议进程的软件工具的描述。而和其他与苹果公司交涉的研究人员希望苹果对这一行为作出改进。

Jonathan Zdziarski在他的博客也写道:

“尽管苹果声称这些后门是为了正当目的而使用的,但却严重影响了用户的信息隐私。

根据斯诺登的爆料,美国国家安全局(NSA)已经有能力破解所有带桌面系统电脑,并由此连接iPhone,获取其内部资料。我们也知道,执法机关办案时,常常会没收带有桌面系统的电脑。所以,就算有备份加密,他们仍然有能力获取手机中的信息。

此外,在很多情况下,(苹果设备的)配对记录可能被盗取。比如在咖啡店的公用电脑上,你前任的电脑上,或者苹果公司的销售点。所有这些配对行为都能给黑客通过USB或者WIFI连接入侵你手机的途径。而在你恢复出厂设置之前,这些途径永远存在。

苹果只有在最近才会提示‘是否信任电脑’,在此之前,苹果设备会自动和所有连接的电脑配对。

Zdziarski 认为,这些进程的确不是为了建政府间谍行为而设。但是他强调,苹果公司确实从用户手中掘取了过多的信息。并且没有告知用户。

19627-Apple承认从iPhone上盜取用户私密信息-4

信息安全分析员Rich Mogull称Zdziarski的研究有些过于耸人听闻。但是,从技术角度来看,后者所称完全没有错误。他也赞同Zdziarski有关政府执法机关会利用这一工具掘取私人信息。

多方人士询问苹果是否曾利用这一工具为执法机关服务,苹果公司没有回应。

值得一提的是,尽管有这些有关“后门”的质疑和其他的问题。苹果设备的曾被公认比其竞争者,安卓设备,更加安全。因为Google(是一个不存在的公司)并没有能力直接向使用安卓系统的设备推送软件更新和维护包。