设为首页收藏本站

保钓论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 2049|回复: 0

专家呼吁公职人员禁用苹果手机

[复制链接]
发表于 2014-7-29 13:41:59 | 显示全部楼层 |阅读模式
苹果系统被曝3大“后门” 专家呼吁公职人员禁用苹果手机
2014-07-2813:56
http://news.m4.cn/tech/2014-07/1239234.shtml
专家:公职人员应禁用苹果手机
斯诺登事件已经让全球民众对美国政府和各大商业公司的的秘密监控个人隐私的行为极为敏感,而在很多国内学者来说,国家机关的信息安全也格外值得担忧。知名科技评论人方兴东就在今天的《环球时报》撰文,呼吁公职人员禁用苹果手机,换用国产手机。这一文章的背景是,苹果iOS操作系统上周再曝重大安全隐患,国外黑客披露该系统3大“后门”,称这些后门可以让美国国家安全局和黑客在用户不知情的情况下,通过WiFi秘密窃取电话、短信记录等多达44种用户信息。苹果官方昨天对此作出回应,承认系统存在“安全漏洞”,但辩称这些程序是只开放给开发维护人员的“诊断服务”。
黑客:6亿台iPhoneiPad存在后门
据科技博客网站appleinsider报道,知名iOS黑客乔纳森·扎德尔斯基(Jonathan Zdziarski)披露苹果的iOS系统存在若干后门,在特定的情况下可以获取到用户的个人隐私信息。
扎德尔斯基着重指出了三个隐患较大的后门程序,用户的电话本、邮件、地理位置、网络流量、Facebook隐私等信息均存在泄密的风险。这些程序会在用户不知情,或者无需用户同意的情况下工作,而苹果公司此前从未对此做出过说明。
乔纳森·扎德尔斯基曾经是iOS越狱团队的一员,也出版过多部有关iOS开发的书籍。上周末,扎德尔斯基在Hope X黑客大会上公布了自己的发现,对三个后门可能泄密的后台程序作了详细说明。
file:///C:/DOCUME~1/MENGME~1/LOCALS~1/Temp/msoclip1/01/clip_image001.jpg
iOS黑客乔纳森·扎德尔斯基
他首先对“com.apple.mobile.file_relay”程序提出了质疑。该程序最早出现在iOS 2中,在后来的版本中不断得到扩充。他说,这一服务完全绕开了iOS的备份加密功能,能泄露“大量情报”,其中包括用户的地址簿、CoreLocation日志、剪贴板、日程表、语音邮件、地理位置,以及用户在Twitter、iCloud的数据等。
另外两个后门程序“com.apple.pcapd”和“com.apple.mobile.house_arrest”可以被程序开发和维修人员合法调用,但也可能被政府的检点甚至前恋人利用。比如Pcapd程序就可以通过无线监控设备的所有网络进出流量,而且在非开发和维修模式下也可以实现这一点。而House_arrest程序,则可以从Twitter和Facebook等应用程序上复制隐私文件。
扎德尔斯基披露的这三个后门存在于6亿台iPhone和iPad的操作系统内,通过这些后门可以获取到大量的用户个人信息,然后可以将这些信息传输到在手机信任列表里的设备,例如不少用户会将iPhone用数据线连接到电脑,而这些电脑就是“可信任设备”。尽管这些后门只有通过这些可信任设备来进入,一定程度上降低了信息泄露的可能性,但手段高超的攻击者依然可以通过这一信任机制来获取到这些信息。
苹果之前从来没有对公众提及这些iOS服务。扎德尔斯基表示,这些服务在获取用户个人信息时不会通知用户,也不需要获得用户的许可,更无法被用户关闭。对于iPhone用户来说,他们不知道究竟有多少台“授信”电脑可以进入到自己的设备中,或者如何阻止这些连接。
“我找不到比‘后门’更好的词汇来描述这些程序,我很乐意听听苹果公司对此如何解释。”扎德尔斯基还暗示,美国国家安全局可能使用苹果的后门方便地访问iPhone和iPad。此前的棱镜门中,斯诺登就揭示了美国国家安全局(NSA)曾在iPhone,Android和黑莓手机使用后门。
专家:公职人员应禁用苹果手机
博客中国创始人、浙江传媒学院互联网与社会研究中心主任方兴东今天在《环球时报》发表评论文章,就苹果“后门”风波谈到,我国公职人员应禁用苹果手机,换用国产手机。
file:///C:/DOCUME~1/MENGME~1/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg
知名科技评论人方兴东
以下为全文:
苹果公司终于承认,该公司员工可以通过一项未曾公开的技术获取iPhone用户的短信、通讯录和照片等个人数据。这起事件引发的安全问题非同小可,目前还在进一步发酵。
近几年,围绕苹果iPhone安全问题的争议从来没平息过,但也从未给苹果酿成大麻烦。这次事件从行业规范和法律角度,都存在严重问题。苹果是不是依旧能轻描淡写,还得拭目以待。
智能手机安全问题远比我们过去长期关注的传统个人电脑更严重。iPhone和iPad等移动智能设备所涉及的信息量不但比个人电脑更全面、丰富,而且由于具备动态性、实时性和全息性,而更有多层次的价值。比如,通过窃听工具“DropoutJeep”,用户隐私和数据毫不设防,美国国家安全局可以获取短信、通话、通讯录、语音邮件、手机位置信息、手机录音等几乎所有形式的内容。
当然,由于普通用户对隐私问题的警惕性不高,加上很多潜在的隐私问题用户一般也难以察觉。苹果可获取用户隐私的消息恐怕很难引发民众大量关注。但是,对于已经将网络安全提升到国家战略高度的中国来说,无论在用户的隐私保护上,还是国家信息安全保护上。iPhone的安全问题都不能再像过去那样“民不告官不究”。
政府不能再坐视不管,应该让苹果给予最充分的说明和解释,并且让有公信力的第三方评估严重程度,找到妥善的解决办法。政府重视才能根本改变苹果轻描淡写的回避政策,真正为“沉默的大多数”用户的利益着想。
可以要求党政军以及重要关键基础设施的人员,禁止使用苹果。因为苹果手机是硬件、软件和云服务等完全一体化的封闭系统,外部企业和安全厂商无法插手,对于潜在的安全问题只有苹果单方面的说辞,很难进行公开透明的有效评估和改进完善。其次,公职人员换用国产手机,而国产手机目前基本使用谷歌的安卓系统。安卓相对开放,提供大量源代码,所以可以通过实施二次开发、安全“加固”等措施,一定程度上提升安全性。
最终,推进中国自主可控的国产手机操作系统,才是长治久安的对策。这方面政府一定要制定战略,出台大力度的支持政策。但是,必须吸取过去十多年国产操作系统的惨痛教训,避免重蹈覆辙。必须市场化运行,通过创新的模式,让有战略高度,有产业理想,也具有互联网基因的国内公司,脱颖而出。
苹果在中国不仅仅关系到中美两国的贸易与政治,而且关系到一个错综复杂的巨大利益场,任何针对苹果政策的风吹草动,都将引发多方面的效应。但是,在如此重大的安全隐患面前,考验的将是整个国家对网络安全的重视程度和战略决心!
苹果回应:这些是诊断功能
昨天,美国苹果公司承认,该公司员工可以通过一项未曾公开的技术获取iPhone用户的短信、通讯录和照片等个人数据。但苹果同时声称,该功能仅向企业的IT部门、开发者和苹果维修人员提供所需信息,在获取这些受限制的诊断数据之前,需要用户授权并解锁设备。
苹果也公布了这三个后门的一些详情。
1. com.apple.mobile.pcapd
pcapd支持将iOS设备上获取的诊断数据包传输到一台可信任设备上。这项服务可用户检测和诊断iOS设备上的应用和企业VPN连接。
2. com.apple.mobile.file_relay
file_relay支持从设备内有限制地复制诊断信息,这一服务独立于用户生成的备份之外,无法接触到用户设备上所有的数据,同时由iOS数据保护措施所限制。苹果工程部在内部设备上使用file_relay来验证用户设置,AppleCare在用户的许可前提下也会使用这一服务从用户的设备上手机相关的诊断数据。
3. com.apple.mobile.house_arrest
iTunes调用house_arrest进行iOS设备与应用之间的文档发送和接收,Xcode也会调用这一服务,在一个应用的开发过程中帮助传输测试数据。
苹果的这份声明中还表示:正如扎德尔斯基发现的那样,第三方确实可以通过Wifi访问一台可信任设备,从而调用这些程序。但苹果方面既没有确认也没有否认最关键的一个问题:这些程序是否会在用户不知情,或者无需用户同意的情况下工作。
苹果还特别强调,file_relay能调用的只是很有限的一些数据,但扎德尔斯基回应说,该服务能够获取到iPhone的44种数据源,其中包括电话记录、短信记录、语音邮件、GPS数据等一些极度私密的信息。大部分情况下这些个人信息和诊断数据可以没有任何交集。
苹果曾多次因安全遭质疑
实际上,苹果公司已不止一次因类似问题遭到指责。2011年,韩国2.76万用户就曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络收集用户位置信息。最后,因违反韩国《位置信息保护法》,苹果公司被处以300万韩元罚款。
2013年,斯诺登披露,苹果手机故意设计电池拔不出,因此即使关机也照样定位发情报,可以调阅手机里面的信息。
本月初,央视对苹果手机可搜集记录用户位置的功能提出质疑,认为苹果手机详细记录了用户位置和移动轨迹,并记录在未加密数据库中。该功能不仅记录用户常去的地点名称,还详细记录用户在这个地点停留的时刻及次数。
请支持独立网站,转载请注明本文链接:http://news.m4.cn/tech/2014-07/1239234_2.shtml

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|邮箱:diaoyudao9866@126.com|世保盟:13806045142|保钓论坛 ( 湘ICP备11011102号 )  

GMT+8, 2021-11-30 17:56 , Processed in 0.198230 second(s), 23 queries .

Powered by

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表