原標(biāo)題:杜絕蘋果后門,需“信息安全長(zhǎng)城”
近日,蘋果手機(jī)“后門”事件引起了我國(guó)信息安全界、法律界和蘋果手機(jī)用戶的廣泛關(guān)注。這些被知名黑客喬納森·扎德爾斯基曝光的iOS系統(tǒng)“后門”,把蘋果公司推到了風(fēng)口浪尖。為此,蘋果公司發(fā)表聲明,承認(rèn)該公司員工可以通過(guò)一項(xiàng)未曾公開的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個(gè)人數(shù)據(jù),但同時(shí)辯稱這是一種“診斷功能”,“不會(huì)對(duì)用戶隱私和安全帶來(lái)影響”。
事實(shí)真的如此嗎?記者就此采訪了上海相關(guān)領(lǐng)域的專家。
蘋果獲取用戶信息“很容易”
上海交通大學(xué)信息安全工程學(xué)院院長(zhǎng)李建華教授介紹,信息系統(tǒng)“后門”可分為四類。第一類是系統(tǒng)為后臺(tái)服務(wù)設(shè)置的接口,供后臺(tái)操作使用;第二類被稱作“特洛伊木馬”,是設(shè)計(jì)人員故意在系統(tǒng)中留下的隱患,如木馬或惡意程序;第三類是設(shè)計(jì)人員的認(rèn)知能力有限,導(dǎo)致系統(tǒng)存在缺陷,使黑客能利用這類缺陷進(jìn)入系統(tǒng);第四類則是指系統(tǒng)的脆弱點(diǎn),在黑客的強(qiáng)力攻擊下會(huì)被攻破。
對(duì)于此次曝光的iOS系統(tǒng) “后門”,蘋果公司發(fā)表聲明稱:“我們?cè)O(shè)計(jì)開發(fā)了iOS,其診斷功能不會(huì)對(duì)用戶隱私和安全帶來(lái)影響,但該功能向企業(yè)的信息技術(shù)部門、開發(fā)者和蘋果維修人員提供所需信息,在獲取這些受限制的診斷數(shù)據(jù)之前,需要用戶解鎖設(shè)備,以及獲得該解鎖電腦的授信。”如果這份聲明完全屬實(shí),那么它屬于第一類“后門”。然而,扎德爾斯基很快給予反駁,指出利用這些“后門”,美國(guó)執(zhí)法機(jī)構(gòu)或惡意組織完全能在用戶不知情的情況下,通過(guò)無(wú)線網(wǎng)絡(luò)監(jiān)測(cè)他們的信息,包括通訊錄、備忘錄、郵件等個(gè)人隱私信息。
李建華告訴記者,蘋果公司產(chǎn)品的軟件、硬件和網(wǎng)絡(luò)服務(wù)是個(gè)一體化封閉系統(tǒng),而且覆蓋全球,所以該公司通過(guò)iPhone終端獲取用戶的隱私信息,“從技術(shù)上來(lái)說(shuō)很容易”。因此,盡管蘋果公司發(fā)表了聲明,但無(wú)法消除人們的懷疑。而且,既然這些“后門”用于“診斷服務(wù)”,為什么該公司以前從未公開過(guò),直到被黑客曝光后才被動(dòng)承認(rèn)呢?
美安全機(jī)構(gòu)能進(jìn)入蘋果系統(tǒng)
蘋果手機(jī)“后門”是否還隱藏著什么秘密?李建華說(shuō),蘋果公司與美國(guó)國(guó)家安全局簽署過(guò)戰(zhàn)略合作框架協(xié)議,“美國(guó)大公司與政府安全機(jī)構(gòu)的合作是有法律程序保證的”。記者注意到,歐洲媒體就此事做過(guò)報(bào)道,但蘋果公司回應(yīng)稱:從未與美國(guó)國(guó)安局合作,對(duì)該局針對(duì)iPhone采取的行動(dòng)毫不知情。
李建華指出,美國(guó)安全機(jī)構(gòu)具有全球最強(qiáng)的網(wǎng)絡(luò)攻擊、追蹤和溯源能力,從斯諾登的“棱鏡門事件”中即可見一斑。(下轉(zhuǎn)5版)(上接第1版)因此,美國(guó)安全機(jī)構(gòu)具有突破蘋果用戶數(shù)據(jù)庫(kù)的安全設(shè)置,進(jìn)入這個(gè)全球一體化系統(tǒng)的能力,以獲取他們想要的用戶信息,包括:通訊錄、語(yǔ)音通話、短信、位置信息等。美國(guó)安全機(jī)構(gòu)獲取用戶信息的手段也是多元化的,“可以用陽(yáng)謀,也可以用陰謀”。
此前,據(jù)英國(guó)媒體報(bào)道,“棱鏡門”揭秘者斯諾登披露:iPhone電池?zé)o法拆卸的設(shè)計(jì)是有意為之,使美國(guó)國(guó)安局能在iPhone關(guān)機(jī)情況下通過(guò)麥克風(fēng)監(jiān)聽用戶。
泄露用戶信息應(yīng)納入違法犯罪
在法律界人士看來(lái),蘋果手機(jī)留有“后門”涉嫌侵犯用戶個(gè)人隱私。上海誠(chéng)達(dá)永華律師事務(wù)所合伙人馬勝浩律師表示:從民法角度說(shuō),蘋果公司通過(guò)未曾公開的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個(gè)人數(shù)據(jù),涉嫌侵犯公民的隱私權(quán)。從刑法角度說(shuō),根據(jù)《中華人民共和國(guó)刑法修正案(七)》第7條,蘋果公司涉嫌犯有非法獲取公民個(gè)人信息罪。如罪名成立,應(yīng)對(duì)該公司處以罰金,并對(duì)直接負(fù)責(zé)的主管人員處以3年以下有期徒刑。
據(jù)悉,蘋果公司在美國(guó)已被起訴。今年7月24日,華人女性馬晨(音譯)向加州圣何塞法院遞交訴訟書,代表1億iPhone用戶向蘋果公司提出集體訴訟,起訴iPhone利用定位信息獲取用戶資料,侵犯?jìng)€(gè)人隱私。
馬勝浩認(rèn)為,中國(guó)的iPhone用戶如掌握蘋果公司侵犯其隱私的證據(jù)鏈,也可以對(duì)蘋果公司提起訴訟。“但個(gè)人用戶掌握證據(jù)鏈還是比較困難的。”
馬勝浩還指出,隨著科技的發(fā)展,新型領(lǐng)域的侵權(quán)和刑事犯罪越來(lái)越多樣化,但在公民使用手機(jī)、電子軟件等過(guò)程中,我國(guó)還缺少專門的、系統(tǒng)的法律規(guī)定來(lái)約束相關(guān)單位和個(gè)人。他建議我國(guó)司法機(jī)構(gòu)對(duì)公民個(gè)人信息的范疇做進(jìn)一步解釋,把企業(yè)泄露用戶個(gè)人行蹤等行為納入違法犯罪領(lǐng)域。
以自主創(chuàng)新消除外來(lái)“后門”
談到如何應(yīng)對(duì) “蘋果后門事件”這一問題,李建華認(rèn)為,該事件對(duì)我國(guó)信息安全敲響了警鐘——在手機(jī)存儲(chǔ)大量信息的今天,我國(guó)黨政機(jī)關(guān)、國(guó)有企業(yè)、重要行業(yè)、基礎(chǔ)設(shè)施的要害部門工作人員如繼續(xù)不加防范地使用iPhone,無(wú)疑存在著巨大的安全隱患。
李建華建議,政府應(yīng)對(duì)蘋果公司產(chǎn)品及其服務(wù)系統(tǒng)在中國(guó)的應(yīng)用現(xiàn)狀進(jìn)行全面調(diào)查和分析,在此基礎(chǔ)上采取有針對(duì)性的措施。“我不主張各領(lǐng)域要害部門、重要崗位的工作人員使用蘋果手機(jī),我國(guó)應(yīng)出臺(tái)明確的規(guī)章制度加以禁止或限制。”
事實(shí)上,蘋果“后門”已引起一些公職人員的警覺。在本市政府部門工作的王先生是個(gè)“果粉”,常年使用iPhone。他告訴記者,他的手機(jī)里存有大量與工作有關(guān)的通訊錄、短信、微信、郵件等信息,其中不少內(nèi)容是比較重要的。“安全起見,我還是換個(gè)手機(jī)吧。”
在李建華看來(lái),這一事件也提醒國(guó)人:中國(guó)要打造“信息安全長(zhǎng)城”,就必須在信息技術(shù)產(chǎn)業(yè)鏈的各個(gè)重要環(huán)節(jié)實(shí)現(xiàn)自主創(chuàng)新,從而把控制權(quán)牢牢攥在自己手中。這些環(huán)節(jié)包括:集成電路芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器、路由器和交換機(jī)。與此同時(shí),政府部門應(yīng)支持具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)信息技術(shù)產(chǎn)品加快推廣應(yīng)用,這樣才能從根本上消除外來(lái)“后門”造成的安全隱患。