苹果公司称是特有的诊断功能
近日,iPhone系统iOS被爆出有多个“后门”,据称可以帮助执法机构、美国国家安全局(NSA)或其他恶意分子绕开iOS的加密功能,窃取用户的通讯录、剪贴板、语音信箱、日历、笔记本等私人信息。
据appleinsider网站报道,在纽约举行的年度HOPE/X会议上,法国科学家兼iOS黑客乔纳森·扎德尔斯基(Jonathan Zdziarski)表示,他在苹果手机操作系统iOS中发现多个未经披露的“后门”。
对此,苹果声称他所发现的“后门”实际是iOS系统特有的“诊断功能”,可以帮助企业IT部门、开发者和AppleCare检测故障。随即,苹果公布了这三个后门的基本信息。但苹果强调,那些在受信任PC上开启iTunesWiFiSync服务的用户,该PC能够通过无线访问这些iOS设备。不过任何iOS设备间或受信任PC间的数据传输都经过了加密,而且这些内容并不会直接同苹果进行分享。
iPhone诊断功能编辑本段回目录
7月25日,路透社报道了苹果公司(以下简称苹果)iPhone可被通过“未公开”的技术获取用户个人信息。之后苹果发声明称这只是iPhone的“诊断功能”,而苹果官网“关于诊断功能的说明”早已刊登,并非“未公开”。
大多数成熟的操作系统也离不开诊断功能。苹果为iOS设计诊断功能使其诊断功能不会侵犯用户隐私和安全,同时为企业IT部门、开发者及苹果提供解决技术问题所需的信息。
那么到底什么情况下个人信息才会通过诊断功能被读取?经过新浪手机的深入调查,发现隐私信息被其它人员读取的难度极大,并且受到层层保护。
首先,iPhone需连接到一个用户信任的电脑。所谓“信任”是说iPhone在连接一台新的电脑时,需要输入密码解锁,并且在弹出的对话框里选择“信任”(iOS7以及以上)此电脑,才可以继续使用iTunes、照片拷贝、以及诊断等需要传输数据的功能。
可见平时大家可能都忽视的“密码”和“信任”两个条件已经为个人隐私筑起了两道高墙,尤其是前者,因为iPhone的密码只有用户自己知道,苹果和黑客都不知道,获取密码是获取用户信息的第一步,因此我们强烈建议每个iPhone用户都设置指纹或密码。
其次,需要在电脑或手机上安装诊断工具,注意诊断工具不会自动向外发送iPhone里的信息、不能从远程启动,只能在有限的情景下使用。
那么诊断工具到底有哪些,都会做什么?经过调查我们得出了结果,下面我们以两种苹果开发的诊断工具为例:
1.com.apple.mobile.pcapd
com.apple.mobile.pcapd是用来诊断网络数据传输的工具,假如一个大企业里某个用户的iPhone突然不能连接VPN网络,公司IT会通过装了诊断工具的电脑连接他的iPhone,来确认到底是用户的iPhone的网络功能出了问题,还是公司的网络设备或者是网络提供商的问题。整个诊断过程的任何数据都不会发回给苹果的。
2.com.apple.mobile.file_relay
com.apple.mobile.file_relay是一个文件传送类的诊断功能,其独立于用户生成备份,供检测问题时使用。例如用户的iPhone拍完照片在相册里没有显示,那么到底是摄像头出现问题,还是拍完照片存储的问题,抑或是屏幕的问题?
这时,用户联系Apple Care,工程师会安装或者远程推送诊断工具给用户的iPhone,用户下载安装运行后,程序会复制有需要的诊断信息,然后询问用户的许可,如用户同意,这些诊断信息会发给工程师,会有有限的员工能访问到并严格处理,并且诊断完成后,无论解决问题与否,这些诊断信息都会被删除。
通过上述内容,大家也能发现假如你的iPhone设置过了密码,并且未被连接信任电脑后,不会通过诊断功能泄露隐私信息。诊断功能只有在iPhone出现问题时,可以由用户授权给可信任的工程师或苹果工程师有限提取用来解决问题。并且其中经过了“密码-信任-安装诊断工具-用户同意发送-处理完毕删除”这一系列严密的环节。
也许还有网友注意到了iPhone里的“诊断和用量”工具,这里面是没有任何用户个人隐私信息的,并且随时可以由用户自己访问,并且收集前需要用户的同意。
作为一家以销售硬件获取利润的公司,苹果是通过消费者购买自己的产品而非通过获取用户信息来获利。据了解,苹果公司在用户隐私上有四个原则:1.收集数据最小化;2.有限制的使用用户信息;3.使用前获得用户的同意;4.严格保障整个过程的安全。
至于更多网友担心的苹果与各国政府之间是否存在合作的疑问,苹果已经在官方网站上声明“从未与任何国家的任何政府机构就任何产品或服务建立过所谓的‘后门’。也从未开放过服务器,并且永远不会。”
一知名黑客曝光iPhone操作系统的“诊断功能”编辑本段回目录
在美国旧金山一家零售店拍摄的苹果公司标志。 新华社/路透
继iPhone搜集用户位置隐私遭质疑后,一位知名黑客最近又曝光这款手机操作系统iOS此前未公布过的系统“诊断功能”,通过它可从中获取大量涉及用户隐私的数据。一次又一次的曝光警醒各国——是时候明确个人信息安全保护的法规,统一行业标准。
曝光这个“后门”的是iOS系统数据恢复专家乔纳森·兹齐亚尔斯基,他经常在美国司法机关处理重大案件过程中,帮助他们获取目标人物的手机数据,他在个人主页上还自称是个黑客。
用过iPhone的用户都知道,手机每次与一部新电脑连接时,都要求用户解锁手机并授权电脑,才能实施相应的备份和同步功能。
兹齐亚尔斯基此前在“地球黑客大会”上展示了如何从一台曾获用户授权的电脑来获取iPhone中的隐私数据,包括短信、联系人信息和图片等。
他说,用户根本无从知道这一功能在后台运行,也无法停止它。“没法‘解除配对’,除非把你的iPhone数据全部抹除。”
苹果公司在随后的声明中称,这是iOS的“诊断功能”,不会泄露用户个人隐私和安全,只会向企业IT部门、开发人员和苹果提供必要信息,解决技术问题。该公司同时也首次在网站上公布了有关这些功能的详情。
苹果说,用户需开启他们的设备并授权另一台计算机,这样计算机才能访问这类受限制的诊断数据。用户需同意分享这些信息,未经同意之前任何数据都不会被传输。
但兹齐亚尔斯基说,尽管他也不相信iOS系统中设置“诊断功能”是监视用户,但是它们在运行过程中获取了过多的敏感数据,并且没有及时公开相关信息。“iOS系统中一些可疑的设计缺陷让数据收集变得非常容易”。
他还说,自己和其他人曾与苹果公司沟通过,预计该公司未来至少会对这些程序工具做出一定修改。
安全专家里奇·莫格尔也同意扎德尔斯基的观点,他说,苹果在获取所谓诊断数据的过程中,不可避免地会触及隐私安全的问题。他说,执法人员完全可以利用这些数据来进行调查,只需获取目标人物使用过的电脑。
对于是否曾这么做,苹果并没有给出相关回应。
事实上,智能手机中涉及个人隐私的信息安全问题已被多次曝光。比如,细心的用户会发现,如今每在iPhone上安装一个移动应用,上面都会跳出一个指令框询问你是否允许这款应用使用你的位置信息等敏感数据,这也是苹果在遭受多次质疑后,作出的系统改变之一。
但连iOS这个封闭的系统都存在信息泄露隐患,更不用说开源的安卓系统。问题是各国现在对于如何保护个人信息还没有统一的标准。发达国家如美国和欧盟已经在修订相关法律,加强这方面的保护。
在今年早些时候,美国最高法院作出一项重要决定——禁止司法机构在没有搜捕令的情况下,搜查个人用户手机中的信息。此前,美国警方可以在没有任何搜捕令和授权的情况下搜查嫌疑人的手机信息。这也凸显了个人隐私信息的安全已逐渐获得关注。
但正如许多用户仍然把手机密码设成“12345”一样,信息这种无形资产的价值还没有获得社会各界足够的重视,iPhone被曝光相关问题或许能有助提高人们的隐私保护意识。
正如美国高院首席大法官约翰·罗伯茨所说:“科技让每一个人都能将信息随时握在手中,但这不代表这些信息的价值低于我们的建国者当初努力保护的任何事物。”
(据新华社北京7月30日电)