APP下载

危险的苹果

2014-09-04任蕙兰

新民周刊 2014年33期
关键词:扎德美国国家安全局尔斯

任蕙兰

苹果牌“跟踪器”

如果人们早点了解iPhone的定位功能,也许以调查婚姻忠诚度为生的私家侦探就会失业了。

就像豪车的车主不会去使用80%的附加功能,普通人甚至不了解一部智能手机80%的功能。央视最近做了一些科普教育。7月11日,央视曝光苹果手机有一项大众知之甚少的定位服务,打开设置中的“常去地点”,机主每天去过哪里,停留多长时间,去过几次都被记录在案,数据之详尽,完全可能达到引发家庭矛盾的级别。难怪路人看着央视记者操作自己手机,脱口而出:这可不能被男朋友看到!

苹果的“定位服务”始于2010年,搭载iOS操作系统的iPhone4手机可以追踪用户每分钟的行踪,记录用户在任何一个地方停留的时间,并且将用户资料上传至苹果公司服务器上。此后,苹果手机的换代产品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。

在央视采访中,专业人士在计算机上调出深藏在6层目录下的定位数据包,机主停留地点的经度、维度、高度、速度等值,精确到了小数点后8位。而用户在留下这些轨迹时,根本无需开启手机的定位功能。也就是说,你可能只是在有WiFi 的咖啡馆旁边走过,甚至没有蹭一下网,或者只是打开了一款和定位无关的新闻或游戏App,你的行踪就暴露了。

这款随身携带的“手机形状追踪器”让人感觉芒刺在背。如果关闭定位服务会怎么样?首先,关闭后可能让 iPhone 的地图、导航等一些功能失效。更让人抓狂的是,即使用户将定位功能关掉,在你使用看似无关紧要的App时,后台系统还是能默默地将你所在地点、时间等信息完整记录下来。

针对央视的曝光,苹果公司很快发出声明,这项功能是为了更好地为用户提供服务,强调不会将手机用户的详细资料透露给任何第三方,但是并未对传送用户数据至数据库进行否认。

很快有人拿起法律武器对准苹果。7月24日,一位名为马晨(Chen Ma 音译)的华人女性在美国加州圣何塞法院向苹果公司提起集体诉讼,代表个人及其他iPhone用户起诉苹果手机利用定位信息获取用户资料,侵犯用户隐私。原告诉求最重要的一条是,在苹果公司不对消费者进行有效通知、在传输数据前未经用户明确同意前提下,永久性禁止苹果继续搜集由定位服务产生的高度敏感隐私的用户数据。

事实上,苹果的定位服务惹上官司,这已不是第一次。2011年,韩国2.76万用户就曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络收集用户位置信息。最后,因违反韩国《位置信息保护法》,苹果公司被处以300万韩元(约合人民币18200元)罚款。

当时美国、法国、德国也对苹果公司进行了类似的疑惑调查,韩国最先做出违法裁决以及处罚决定,一时间备受关注,只是过轻的处罚力度让这个官司更像是对苹果的一种保护。

2013年,美国一名法官也审理了类似的侵权诉讼,原告表示在使用任何苹果手机时,没有收到苹果公司追踪、记录以及传送用户信息的通知。但法官最终裁定原告在购买 iPhone 前没有阅读苹果的隐私条款。

后门钥匙在谁手中?

就在iPhone“定位服务”闹得沸沸扬扬之际,美国安全专家乔纳森·扎德尔斯基又为苹果补上一刀——你以为手机泄露的只是你的行踪,那就年轻又天真了。

7月18日,在每年一度的HOPE/X黑客和开发会议上,老牌iOS黑客扎德尔斯基演讲时抖出猛料,iOS存在多个后门,用来攫取iPhone 和iPad中用户短信、通讯录和照片等个人数据。

扎德尔斯基曾出版《iOS应用安全攻防》(Hacking and Securing iOS Applications)一书,在黑客界算得上大神级人物,他的这一曝光让人们意识到,一台iPhone在手,不止是自己的行踪尽在苹果掌握,其他个人信息也不是秘密,苹果公司唾手可得。

比如一款名为com.apple.pcapd的服务,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据。据扎德尔斯基称,这一服务在所有iOS设备上都是默认激活的,在用户不知情的情况下,能通过WiFi网络监测用户的信息。

而一款名为com.apple.mobile.file_relay的服务让用户为个人信息上的安全锁形同虚设。这一服务完全绕开了iOS的备份加密功能,泄露的情报包括用户的地址簿、CoreLocation日志、剪贴板、日程表、语音邮件等。这一服务最早出现在iOS 2中,在后来的版本中不断得到扩充。

扎德尔斯基指出,黑客甚至能利用这一服务从推特内容中窃取用户最近的照片、最近的时光轴内容、用户的DM数据库、认证令牌等,认证令牌能用于“远程窃取未来所有的推特信息”。

专业人士的指控让苹果难以淡定,7月23日,苹果公司在回应中首次提到“后门程序”基本信息,称这是为iOS诊断功能服务,向企业的IT部门、开发者和苹果维修人员提供所需信息。

“不管用户有没有开启‘向苹果公司发送诊断数据选项,这些服务都在传送数据。如果这些服务是为了诊断功能服务的,那应该在用户启用诊断模式时才工作。不幸的是,用户根本没办法关闭这些服务。事实就是,每台手机上这些服务都是默认激活的,而且无法关闭。用户也没有收到任何关于是否将个人信息从手机上发出去的询问。很难相信苹果公司说的是实话。”扎德尔斯基认为。

苹果的辩解没有让内行的扎德尔斯基满意,7月25日,扎德尔斯基在其个人网站上回应,称这些“后门程序”可以突破加密的备份文件,获取用户数据,并非是开发者或运营商用来测试网络或调试应用。

“我从不认为这些服务仅仅是为了诊断功能设计的。这些泄露的信息完全是个人性质的。而且苹果获取这些信息时完全没有知会过用户。一款真正的诊断工具在设计时会尊重用户,在它需要获取某些数据时告知用户,并且遵守备份加密协议。告诉我,为什么苹果向用户保证手机上所有备份的文件信息是加密的,却又设计一个后门去绕过加密?”endprint

既然远超诊断维修的必须性,苹果收集这么多个人信息数据流到了哪里?扎德尔斯基的研究一经公开,各国媒体的箭头都指向了美国国家安全局(NSA)。

“我没有指控苹果和NSA合作,不过就现有的资料来看,我怀疑苹果的某些服务可能被NSA用来收集潜在目标的信息。我并没有推测苹果和NSA之间存在某种巨大的阴谋,但是iOS上运行的某些服务确实不应该存在,这些服务是被苹果公司有意强加的,用来突破备份加密,获取用户那些本不应该被获取的个人信息。”

窃听风云

在美国电影《鹰眼》中,美国五角大楼地下藏着一台超级计算机,监听全美国人上网、电话通讯。只要你拿着手机,就算关机,只要不拆卸电池,超级计算机都能监听到你说的话。

不幸的是,这不仅发生在电影中。

早在去年9月,《明镜》周刊就曾披露过美国国家安全局(NSA)的窃密行为。该媒体披露了一份NSA内部文件,显示NSA已经破解了iPhone、黑莓和安卓设备内的数据保护措施。文章的作者之一是美国电影制作人劳拉·波伊特拉斯,她与美国中情局前情报人员斯诺登关系密切。

根据《明镜》周刊展示的文件,NSA和英国政府通信总部(GCHQ)联合收集情报。每个工作小组分别承担破解一个智能手机系统的任务。在情报人员破解密码之后,他们就可以读取用户智能手机的许多信息,包括电话簿、通话记录等。比如NSA对一款iPhone设备进行电脑同步跟踪后,其脚本程序至少可以代理访问iPhone手机的38项功能。

即便是安全性有口皆碑的黑莓,也没挡住NSA的专业黑客。谷歌董事长施密特(Eric Schmidt)曾被发现随身携带黑莓手机——连施密特都对Android的保密能力缺乏信心,要靠黑莓来保护搜索引擎龙头的商业机密。黑莓于2009年5月开始使用新方法压缩数据。美联社说,此后大约1年之内,情报部门无法读取黑莓通信的部分信息。但英国的GCHQ解决了这个问题,分析人员庆功时高呼“香槟”。最难的堡垒也被突破了,用户拿iPhone或“谷歌眼镜”拍下的照片、记录下来的资料,在NSA更不是什么秘密。

去年底,《明镜》周刊再一次将矛头对准NSA和苹果之间不清不楚的关系,披露NSA在全球范围内入侵并监控苹果公司的iPhone手机。

一份2008年的美国国家安全局图表,描绘了当时正在开发的“Dropout Jeep”系统。“Dropout Jeep”项目是一个植入到iPhone的软件,能够利用模块化任务应用程序来提供特定的SIGINT信号(signals intelligence,信号情报,指对无线电信号监听、截获和破译获得的情报),抓取来自设备的文件、短信、通话清单、语音邮件、地理位置、麦克风、摄像头截图、手机发射塔位置等数据信息。这款“后门”无疑是帮助黑客渗透受保护系统的“特洛伊木马”。

苹果公司随即发布声明,“从未与美国国家安全局合作,在任何产品中留有‘后门,包括iPhone在内”。并且“对美国国家安全局计划毫不知情”。而NSA没有回应。

更严重的是,NSA被公开的内部资料显示,不止是苹果,韩国三星、美国思科及其竞争对手中国华为、美国电脑制造企业戴尔和硬盘制造企业希捷公司等,都变成了NSA的目标。

手机泄密的普遍程度让各国政要都无法淡定。2013年,美国“棱镜”情报监视项目曝光者、美国情报机构承包商前雇员斯诺登爆料称,美国国家安全局每个月跟踪德国公民在电信网络的5亿个联系,其中可能包括默克尔。

斯诺登提供的信息促使德国政府怀疑默克尔的通信遭监视。去年10月,德国总理默克尔的发言人称,德国政府已得到情报,美国或曾监控默克尔的手机,默克尔致电美国总统奥巴马,要求其立即给予解释。

美国的回应很巧妙地运用了时态,现在没有监控,未来也不会。——只谈现在和未来,不谈过去。

默克尔并不是唯一一位私人通讯可能被美国监控的外国领导人。巴西总统罗塞夫曾因类似原因取消了对美国的国事访问。法国《世界报》援引斯诺登披露的文件报道,2012年末至2013年初,美国国家安全局监视超过7000万人次法国公民电话通信,不仅包括恐怖嫌疑人,也包括商界和政界重要人物。总统奥朗德与奥巴马通电话予以谴责。在意大利,总理莱塔则要求到访的美国国务卿克里就意大利公民通信遭监视的报道作出解释。

德国铁娘子的自卫措施只有换手机。默克尔使用的新手机是为其度身定做的黑莓Q10,可防止监听。手机安装Secusmart公司的密码芯片,芯片价值2500欧元(约合人民币2.1万元),确保电话谈话和收到的电子信息的保密。

拿什么拯救隐私?

普通人没办法让黑莓专门为自己定制一部手机,拿什么保护自己的隐私?一些人从电影里学到一招,最好的方式是把电池取下来,但是,苹果公司的手机设计成电池不可拆卸。名义上是为了让苹果手机更薄、更好看。

斯诺登曾表示,苹果手机故意设计电池拔不出,因此即使关机也照样定位发情报,别人可以调阅手机里的信息。斯诺登早前在香港与何俊仁等律师庆祝生日时,要求这些人先将手机放进冰箱屏蔽信号,否则美国一下子就可以追踪定位到机主。

不过,真正热衷捍卫自己的隐私权的只是少数人,大部分人对苹果手机泄密的反应是“So what?”虽然人们对苹果公司每天详细记录自己行踪并上传至数据库的行为感到惊讶,但也不会因此把自己的苹果牌“追踪器”扔进河里。

在信息时代,人们已经习惯了让渡一部分隐私,作为从传统封闭生态迈入现代便利生活的代价。接受手机泄密,就像习惯各种封闭空间和开放空间无死角无盲点的监控探头,只要有需要,随时随地能拼凑出一个人的行动轨迹。

大多数人对泄密渐渐无感,是因为不认为自己的个人数据重要到会被单独提炼,这些只是大数据中的一粒尘埃。苹果公司2010年时曾向美国国会解释手机定位功能,称用户数据只会被匿名储存,不会暴露用户身份。

而对于商业机构而言,在大数据时代,成千上万的记录经过建模分析就是无价之宝。饭店会根据客户的行动线路推送餐饮广告,互联网金融公司会根据用户的消费记录确定其经济能力,决定授信额度。凭借收集的用户个人资料、所在位置信息,苹果、安卓能轻而易举地向广告主销售个人化广告。

随着人们的生活越来越依赖智能手机,对隐私泄露的容忍度也越来越高,至少在这把剑真正落下来之前是这样。endprint

猜你喜欢

扎德美国国家安全局尔斯
伊朗的穆赫辛·法赫里扎德为何会遭到暗杀?
詹姆斯·李·拜尔斯:完美时刻
库尔斯克会战
图片新闻
一切
幽默漫画