2014-08-03 10:05:00
近日,苹果公司承认非法搜集用户信息,并存在严重泄密漏洞,立刻引起轩然大波。俄罗斯政府已经要求苹果提供源代码,中国学者呼吁公职人员禁用苹果……但让人们感到疑惑的是,在这个大数据时代,搜集用户信息是许多网络公司的常用作法,“谷歌”、“微软”,以及国内不少网络公司都在搜集用户信息,那么,为何苹果这次的事件如此严重?
苹果的安全性问题有多严重?
观察者网IT业观察员指出,苹果公司的iOS系统是一个封闭系统,且与iCLOUD云服务紧密绑定,用户的所有数据,包括图片、通讯录等都会以“备份”为名被上传到苹果的服务器,这意味着,一旦出现泄密漏洞,用户的全部重要信息都面临泄露危险。
第二,由于其封闭架构,第三方安全公司无法参与提高安全性的工作,苹果自身存在的漏洞很可能长期存在并被利用。
第三,苹果公司至今自诩“高贵冷艳”,不肯向中国、俄罗斯等国政府提供iOS系统源代码,官方也就无从对其进行审查,结果就是其代码中的“后门”很可能为美国情报机关利用。相比之下,同样采用封闭系统的微软公司在这方面就比“苹果”积极得多。
正是因为上述三点原因,苹果公司的iOS系统“泄密门”事件要比其他IT公司的搜集用户信息和泄密事件严重得多。以下文章详细介绍了如何通过苹果iOS系统窃取用户机密的技术细节,值得一读:
不管你是否越狱,苹果都能掌握你的机密
长期以来,苹果公司的iOS系统由于其封闭性,被认为是世界上安全性最好的消费级操作系统之一。然而,从引入应用商店,并赋予开发者更多的权利和控制权之后,每一代iOS系统的版本更新便迎来一次“越狱”狂潮。由于安全原因,iOS系统中所有应用程序都被限制在一定的权限中,不能进行高于系统级别的操作。同时,用户只能通过苹果官方的应用商店,安装经过苹果公司审核过的软件。所谓越狱,便是黑客通过iOS的系统漏洞,植入特定的后门软件,从而获得对系统底层的读写权限。可以说,如果把iOS比作一个自视“十分安全”的监狱,一旦被“越狱”,并被植入后台软件,苹果手机便可以成为任黑客摆布的工具,用户的几乎所有个人信息将会毫无保留地暴露。
虽然苹果公司不断通过强制升级系统版本,力图封堵漏洞,但遗憾的是,随着iOS系统越来越庞大与复杂,漏洞反而越来越多。以最新版本的iOS7为例,在其正式版公布的同时,便有黑客组织已经利用其漏洞开发出“越狱”工具,令苹果公司十分尴尬。
随着苹果手机用户群体的不断扩大,iOS漏洞的交易已经逐渐成为一个庞大的地下市场。中国知名“越狱”组织“盘古团队”的成员此前曾撰文透露,有天赋的黑客发现漏洞,再将其高价贩卖给一些公司和机构, 后者会将其用于手机取证、获取数据等项目。
事实上,苹果公司曾多次因涉嫌暴露用户个人隐私而卷入麻烦。上月初,中国中央电视台曾曝光苹果手机可搜集记录用户位置。报道中揭示,苹果手机可详细记录用户位置和移动轨迹,并记录在未加密数据库中。
NSA与苹果说不清道不明的关系
去年底,德国《明镜》周刊曝光了一份美国国家安全局(NSA)的文档,这份DROPOUT JEEP的项目称,NSA开发出可以植入苹果所有产品的后台软件,用以拦截短消息,获取联系人列表,使用基站数据定位手机,甚至激活手机的麦克风和摄像头。根据被曝光的文档,NSA表示,在向iOS设备植入间谍软件的操作中,成功率为100%。文档显示,NSA需要实际获得设备,随后才能安装间谍软件。通过将在线购买的设备首先发货至某个特定地点,NSA能做到这一点。不过,一个远程安装的版本也在开发中。
泄密NSA大量内部资料的前雇员爱德华·斯诺登还披露,苹果手机故意设计成电池拔不出,因此即使关机也照样定位发情报,可以调阅手机里面的信息。
安全问题如何解决?
中国知名IT人方兴东此前撰文,呼吁国家公务员弃用苹果手机。随后他在接受东方早报独家采访时表示,对国民社会生活有重大影响的行业,比如民航、交通、能源、广电的关键人员都应该禁用苹果手机,“目的不是封闭,也不是走极端”。在安全性要求比较高的岗位,需要个人做出一定舍弃。
自去年斯诺登事件曝光美国无孔不入的窃密手段以来,世界上许多国家在信息安全领域都向美国IT公司亮起“红灯”。不过被“亮灯”的美国公司作出的回应却有很大区别。
谷歌公司在搜集用户信息方面走得最远,该公司和美国政府关系也极为紧密,在撤出中国后还推出了针对“网络封锁”的“翻墙”服务。几乎就成了美国政府进行意识形态渗透的马前卒和窃密的公开工具。谷歌的安卓系统是目前另一种流行的手机系统,该系统采用开放式架构,尽管有专家认为安卓安全性或许更好,但谷歌的态度实际上仍应该引起警惕和怀疑。只有经过认真“除虫”和审查的订制安卓系统才能说安全性比iOS高。
微软作为世界上最大的软件公司,也遇到了类似的麻烦,中国今年宣布政府机关禁用windows8系统。据观察者网IT观察员的消息,中国有关部门不久前刚刚完成对windows7系统源代码的全面检验,此后才允许该系统在中国政府机关内使用。然而windows8系统的源代码又必须重新经过检验审核,而且该系统内搜集用户习惯信息的功能也令人担忧。微软当时就做出积极回应,表示愿意配合中国政府进行审查工作,同时表示将继续向中国政府提供windows7系统的服务。这种积极接受审查,尤其是积极向审查方提供源代码的行动至少证明了该公司积极面对问题的态度。
而相比之下,专注于个人消费领域的苹果总是强调自己“非政治化”,也没有如谷歌一般公开与中俄政府进行“对抗”,它对于自己软件源代码的保密,更多是出于商业考虑,目的更多是以此保证苹果的智能手机和电脑系统只能使用苹果认证过的第三方程序。此次俄罗斯已经向苹果提出了提交iOS源代码的要求,或许这对于苹果来说,是一个改善这方面形象的机会。观察者网IT评论员认为,俄罗斯的这一做法,更值得中国政府借鉴。
当然,对于中国来说,最根本的解决信息安全问题的办法还是加强自己的软件开发,减少对外国操作系统的依赖。今年8月1日,戴尔公司宣布,与中国自主研发操作系统品牌中标软件有限公司签署战略合作协议,今后戴尔计划在商用电脑系列产品预装中标基于Linux的麒麟软件操作系统。中标麒麟操作系统由民用的“中标Linux”操作系统和解放军研制的“银河麒麟”操作系统合并而成。它采用了强化的Linux内核,分成桌面版、通用版、高级版和安全版等,目前已经应用在能源、金融、交通、政府、央企等行业领域。
请支持独立网站,转发请注明本文链接:http://www.guancha.cn/Industry/2014_08_03_252793.shtml
来源:观察者网 | 责任编辑:堵开源