【文匯網訊】近日,蘋果公司承認非法搜集用戶信息,並存在嚴重洩密漏洞,立刻引起軒然大波。俄羅斯政府已經要求蘋果提供源代碼,中國學者呼籲公職人員禁用蘋果……但讓人們感到疑惑的是,在這個大數據時代,搜集用戶信息是許多網絡公司的常用作法,「谷歌」、「微軟」,以及國內不少網絡公司都在搜集用戶信息,那麼,為何蘋果這次的事件如此嚴重?
據觀察者網報道,IT業觀察員指出,蘋果公司的iOS系統是一個封閉系統,且與iCLOUD雲服務緊密綁定,用戶的所有數據,包括圖片、通訊錄等都會以「備份」為名被上傳到蘋果的服務器,這意味著,一旦出現洩密漏洞,用戶的全部重要信息都面臨洩露危險。
第二,由於其封閉架構,第三方安全公司無法參與提高安全性的工作,蘋果自身存在的漏洞很可能長期存在並被利用。
第三,蘋果公司至今自詡「高貴冷艷」,不肯向中國、俄羅斯等國政府提供iOS系統源代碼,官方也就無從對其進行審查,結果就是其代碼中的「後門」很可能為美國情報機關利用。相比之下,同樣採用封閉系統的微軟公司在這方面就比「蘋果」積極得多。
正是因為上述三點原因,蘋果公司的iOS系統「洩密門」事件要比其他IT公司的搜集用戶信息和洩密事件嚴重得多。以下文章詳細介紹了如何通過蘋果iOS系統竊取用戶機密的技術細節,值得一讀:
不管你是否越獄,蘋果都能掌握你的機密
長期以來,蘋果公司的iOS系統由於其封閉性,被認為是世界上安全性最好的消費級操作系統之一。然而,從引入應用商店,並賦予開發者更多的權利和控制權之後,每一代iOS系統的版本更新便迎來一次「越獄」狂潮。由於安全原因,iOS系統中所有應用程序都被限制在一定的權限中,不能進行高於系統級別的操作。同時,用戶只能通過蘋果官方的應用商店,安裝經過蘋果公司審核過的軟件。所謂越獄,便是黑客通過iOS的系統漏洞,植入特定的後門軟件,從而獲得對系統底層的讀寫權限。可以說,如果把iOS比作一個自視「十分安全」的監獄,一旦被「越獄」,並被植入後台軟件,蘋果手機便可以成為任黑客擺佈的工具,用戶的幾乎所有個人信息將會毫無保留地暴露。
雖然蘋果公司不斷通過強制升級系統版本,力圖封堵漏洞,但遺憾的是,隨著iOS系統越來越龐大與複雜,漏洞反而越來越多。以最新版本的iOS7為例,在其正式版公佈的同時,便有黑客組織已經利用其漏洞開發出「越獄」工具,令蘋果公司十分尷尬。
隨著蘋果手機用戶群體的不斷擴大,iOS漏洞的交易已經逐漸成為一個龐大的地下市場。中國知名「越獄」組織「盤古團隊」的成員此前曾撰文透露,有天賦的黑客發現漏洞,再將其高價販賣給一些公司和機構, 後者會將其用於手機取證、獲取數據等項目。
事實上,蘋果公司曾多次因涉嫌暴露用戶個人隱私而捲入麻煩。上月初,中國中央電視台曾曝光蘋果手機可搜集記錄用戶位置。報道中揭示,蘋果手機可詳細記錄用戶位置和移動軌跡,並記錄在未加密數據庫中。
NSA與蘋果說不清道不明的關係
去年底,德國《明鏡》週刊曝光了一份美國國家安全局(NSA)的文檔,這份DROPOUT JEEP的項目稱,NSA開發出可以植入蘋果所有產品的後台軟件,用以攔截短消息,獲取聯繫人列表,使用基站數據定位手機,甚至激活手機的麥克風和攝像頭。根據被曝光的文檔,NSA表示,在向iOS設備植入間諜軟件的操作中,成功率為100%。文檔顯示,NSA需要實際獲得設備,隨後才能安裝間諜軟件。通過將在線購買的設備首先發貨至某個特定地點,NSA能做到這一點。不過,一個遠程安裝的版本也在開發中。
洩密NSA大量內部資料的前僱員愛德華·斯諾登還披露,蘋果手機故意設計成電池拔不出,因此即使關機也照樣定位發情報,可以調閱手機裡面的信息。
安全問題如何解決?
中國知名IT人方興東此前撰文,呼籲國家公務員棄用蘋果手機。隨後他在接受東方早報獨家採訪時表示,對國民社會生活有重大影響的行業,比如民航、交通、能源、廣電的關鍵人員都應該禁用蘋果手機,「目的不是封閉,也不是走極端」。在安全性要求比較高的崗位,需要個人做出一定捨棄。
自去年斯諾登事件曝光美國無孔不入的竊密手段以來,世界上許多國家在信息安全領域都向美國IT公司亮起「紅燈」。不過被「亮燈」的美國公司作出的回應卻有很大區別。
谷歌公司在搜集用戶信息方面走得最遠,該公司和美國政府關係也極為緊密,在撤出中國後還推出了針對「網絡封鎖」的「翻牆」服務。幾乎就成了美國政府進行意識形態滲透的馬前卒和竊密的公開工具。谷歌的安卓系統是目前另一種流行的手機系統,該系統採用開放式架構,儘管有專家認為安卓安全性或許更好,但谷歌的態度實際上仍應該引起警惕和懷疑。只有經過認真「除蟲」和審查的訂製安卓系統才能說安全性比iOS高。
微軟作為世界上最大的軟件公司,也遇到了類似的麻煩,中國今年宣佈政府機關禁用windows8系統。據觀察者網IT觀察員的消息,中國有關部門不久前剛剛完成對windows7系統源代碼的全面檢驗,此後才允許該系統在中國政府機關內使用。然而windows8系統的源代碼又必須重新經過檢驗審核,而且該系統內搜集用戶習慣信息的功能也令人擔憂。微軟當時就做出積極回應,表示願意配合中國政府進行審查工作,同時表示將繼續向中國政府提供windows7系統的服務。這種積極接受審查,尤其是積極向審查方提供源代碼的行動至少證明了該公司積極面對問題的態度。
而相比之下,專注於個人消費領域的蘋果總是強調自己「非政治化」,也沒有如谷歌一般公開與中俄政府進行「對抗」,它對於自己軟件源代碼的保密,更多是出於商業考慮,目的更多是以此保證蘋果的智能手機和電腦系統只能使用蘋果認證過的第三方程序。此次俄羅斯已經向蘋果提出了提交iOS源代碼的要求,或許這對於蘋果來說,是一個改善這方面形象的機會。觀察者網IT評論員認為,俄羅斯的這一做法,更值得中國政府借鑒。
當然,對於中國來說,最根本的解決信息安全問題的辦法還是加強自己的軟件開發,減少對外國操作系統的依賴。今年8月1日,戴爾公司宣佈,與中國自主研發操作系統品牌中標軟件有限公司簽署戰略合作協議,今後戴爾計劃在商用電腦系列產品預裝中標基於Linux的麒麟軟件操作系統。中標麒麟操作系統由民用的「中標Linux」操作系統和解放軍研製的「銀河麒麟」操作系統合併而成。它採用了強化的Linux內核,分成桌面版、通用版、高級版和安全版等,目前已經應用在能源、金融、交通、政府、央企等行業領域。
|