能随时提取用户短信息、通讯录或者照片,随时知晓用户的位置信息,即使手机关机也无济于事,甚至还可能被暗中变成窃听器或跟踪仪……
近日,国内外媒体均有报道美国苹果手机通过一种未公开的方法,可提取私人信息。iPhone的泄密“后门”掀起一场轩然大波。
用户数据“一览无余”破解成本较低
苹果手机对内置的GPS、麦克风、摄像头、短信等产生私人信息的设备管理,都是通过操作系统。与笔记本电脑和传统手机相比,这种数据模式更容易被“一览无余”,且破解成本较低。
打个比方,就像是智能手机把海量数据先分门别类,再打包装箱,只要看一下箱子外面贴的标签,就基本能看穿箱子里的一切。
此外,苹果手机开创了“手机商店”的应用生态,愤怒小鸟、乐动力等五花八门的手机软件,都要先对接操作系统,才能调用所需的手机设备完成服务。例如,很多年轻人都喜欢装着手机去跑步,因为手机里的运动软件能记录下跑动路线、跑步速度、消耗热量,甚至还能自拍分享,或缴费升级软件。
实际上,用户享受这些新奇服务的同时,软件在后台已经接通了操作系统开放出来的位置、摄像头、通讯录等端口,个人信息也就不知不觉从手机里流向了各种软件开发商。
“即使是关机了,有些后台的数据通信依然在运行。”华东师范大学计算机应用研究所所长顾君忠教授告诉记者,关机只是手机呈现给用户的状态是关掉了,内部部分模块依然在转。比如手机时钟,SIM卡与基站间握手通信等一直在运行。
“除非拔掉手机电池,彻底断电,手机才真正无用。各款智能手机中,只有苹果电池是内置,无法拔除。”顾君忠坦言,到底是有意而为,还是设计独到,苹果自己不公开说明,用户很难搞得清。
苹果应自证与美国联邦调查局有无关系
“我们设计了iOS,使其诊断功能不会侵犯用户隐私和安全,同时为企业IT部门、开发者及Apple提供解决技术问题所需的信息。用户必须先解锁其设备,并在其他电脑访问此有限的诊断数据之前同意信任该电脑。用户必须同意分享此信息,而且数据绝不会在未经用户同意的情况下被传输”——对于本轮“后门”事件,苹果在发给本报的声明中这样表述。
对此,国内多位业内人士并不完全信任。复旦大学计算机科学技术学院副教授杨珉指出,苹果手机提供的云服务,定期备份用户通讯录和照片,万一手机丢失,云端数据就会自动下载到新手机。这一功能的实现某种程度上说明,苹果手机将用户信息抓取到了其服务器上。苹果服务器又都是在美国,它如何处置和使用这些数据,我国是无法监管到的。
飞象网总裁项立刚认为,苹果具有非常强大的收集数据的能力,如果它一直坚持自身清白,那就必须拿出证据,自证未与美国联邦调查局合作过。特别是去年针对“棱镜门”事件,斯诺登就曾披露过美国情报机构可以直接进入苹果、微软、亚马逊、facebook等多家美国互联网公司的服务器获取用户数据,对特定目标加以监视。
“苹果手机是硬件、软件和云服务等完全一体化的封闭系统,外部企业和安全厂商无法插手;而国产手机常用的安卓系统相对开放,可以通过实施二次开发、安全‘加固’一定程度上提高安全性。”互联网实验室创始人方兴东强调。
对此,杨珉教授指出,苹果手机IOS操作系统相对比较封闭,对其系统测试投入巨大,目前国内针对该系统的科学研究还比较少。
解决“泄密手机”隐患亟待第三方监管
智能手机的类似安全隐患一直都在,亟需有关部门制定监管规则,加强有效管理。
“整合你智能手机里的软件信息,他能知道你的朋友圈、常去的位置,由此可以知道你的职业、爱好、生活轨迹。”据一份报告统计显示:九成以上的应用要求读取已安装应用列表和设备号相关权限,五成以上应用要求读取位置信息权限,24.2%的应用要求发短信权限。打开摄像头、读取联系人、读通话记录权限的应用也均占到两成以上。此外,还有15%以上的应用要求拥有录音权限、窃听功能、读短信记录和打电话权限。
青橙手机CEO王讯表示,随着越来越多手机“后门”的揭开,手机安全将是用户在选择智能手机时考量的主要原因之一,目前国内市场还没有一款以信息安全为卖点或主打方向的手机。“根据特定消费者的特定需求,设计加入指纹传感器、人脸记录等生物识别技术的C2B信息安全功能。”
在方兴东看来,现在只有由政府出面制定战略,推进中国自主可控的国产手机操作系统,才是应对全球智能手机“大佬”们“猫腻”的好办法。未来,类似“隐私手机”或有望率先在国产手机中诞生。
“随着移动互联网技术的不断发展,用户在享用各种智能终端创新应用的同时,不可避免地也将许多个人数据交了出去。不过,手机或网络企业在使用公民数据信息的同时,也有义务妥善保管。如果因为泄露或者未经用户授权转交第三方而给用户造成损失,理应追究相应的责任。”杨珉建议,尽快开发针对手机操作系统的数据检测工具,由专业的第三方检测机构提供客观权威的检测报告,才能真正实现手机数据安全的有效监管。
