危害到底有多大?


  可能影响安全

  过去,信息往往是按照重要性划分安全级别。安全级别越高,防护措施越好。但是在大数据时代,泄密的往往不是哪些关键性的保密数据,而是一些普通的日常性信息。“一个手机能分析一个人的轨迹,从中获得他的喜好、工作等。上亿手机用户,这个能分析出一个人群的轨迹,这可能会涉及到整个行业、经济、民生状况。如果锁定了涉密人群,那甚至可能影响机密安全。”宋国徽说。

  美国苹果公司在2013年11月5日曾发表报告承认,苹果公司对美国提出的88%的涉及具体设备的请求提供了信息。于勇认为,苹果这份报告无异推翻了此前自己所宣称的“除非用户明确同意将当前的地理信息提交给第三方,不然会严格保密”这一说法。“尽管苹果公司始终宣扬为了大数据采集、为了未来技术创新,但我认为,即使这种行为本身基于善意的目的,对用户隐私及权利也是一种极大的侵犯。甚至,可能将公民个人信息集中后,提供给软件商、广告商甚至是情报机构。”

  俄罗斯媒体报道,俄罗斯向苹果公司和SAP公司提议,希望他们向俄政府开放源代码,以确保他们的产品不会成为监控俄罗斯机构的工具。“公民个人的信息安全不是小事情,从商业角度看可能只是用户行为的大数据收集与分析,但是如果放在安全的角度上看,这种信息泄露可能一不小心成了危害安全的‘不定时炸弹’”。

  “我发现,其实很多市民对自己信息保护意识都不强。”于勇说,现在智能手机中通常记录了机主的身份证信息、手机号码、邮件、银行卡号及密码、照片、通讯录、聊天记录、消费记录、账单、家庭信息、房屋信息、物理位置等等。“这些信息的珍贵程度不亚于钱包里的钱,丢信息比丢钱包往往能造成更大损失。”从警方侦破的很多诈骗案件中可以发现,不少电话和网络诈骗都源于个人信息外泄。

  “对于个体而言,这是一种隐私泄露。从更高层面说,甚至有可能危害到安全。”于勇说,他有几个公职人员朋友,供职于某涉密单位,他们都被要求不可使用苹果手机。“政府或者是与安全有密切关系人的行踪如果被实施追踪、窃取,这个问题会相对更加严重。”

  某手机界人士:


  短信照片指纹,苹果公司都能利用

  智能手机分析人士老杳说,苹果有“后门”不意外,因为苹果有能力做这件事。

  老杳举例说,比如此前的iPhone 5s,苹果推出指纹解锁,当时很多人担心指纹信息被泄露出去,对此苹果公司还特别声明:用户指纹扫描图只会存储在处理器内,被电话本身的沙盒所保护,绝不会上传到苹果的服务器或iCloud之类的云端,也不会让NSA之类的部门或者指纹信息; 同时也不会向第三方开发商合作,既不会有其他iOS 应用使用该功能。

  “但是苹果是有能力收集全球各地的指纹信息,至于用不用这种能力是另一回事。”老杳说。此前,安全领域专家Shu-man Ghosemajumder也曾此发表观点认为:建立指纹的云端数据存储中心及其危险,苹果在这方面应该是得到安全专家的建议。

  指纹扫描必须只基于硬件,扫描装置不能通过软件激活,或将指纹信息传送给软件,如果该装置能够被软件激活,则无法避免被恶意代码攻击的风险。庆幸的是,扫描的指纹只被本地存储,而不会上传云端。但关于这一点,全球的安全专家依然不放心,希望能在iOS7越狱后得到答案。

  无论是地理位置、短信、照片,还是指纹等个人信息,苹果公司都有能力进行存储利用,问题的关键是苹果是否会利用,以及如何利用。

  苹果泄密,你怎么看


  中国工程院院士方滨兴:苹果“后门”或是恶意

  “既然瞒而不露,那是‘后门’。”北京邮电大学原校长、中国工程院院士方滨兴说,实际上,“后门”也分善意还是恶意,善意的“后门”也会收集用户的各类信息,但这些信息多是“脱敏”,瞄准的是大数据生意。“这里的大数据,是通过对一群用户的数据信息进行推演,并不涉及某个具体的用户。”方滨兴说,“而恶意的“后门”,即用户并不知道自己的数据被收集起来有什么用,苹果在声明中并没有清晰的说明,从这点来看,苹果留下的“后门”或是恶意的。恶意的“后门”可能涉及到用户个人的隐私数据和信息安全。”

  现在对于苹果“后门”有各种说法,方滨兴说,苹果对用户数据收集进行隐瞒,而用户在这方面却显得很“无力”,无法采取任何措施进行制止。方滨兴认为,如果是普通用户,对个人隐私和数据公开并不介意,则使用iPhone问题不大,但如果是公职人员,“那用iPhone手机相当于在一个公开的环境说话,有时可能造成重要信息的泄漏,是很严重的问题,建议还是不要使用iPhone了。”

  信息中心信息安全研究与服务中副主任叶红也说,很多企业收集用户数据可能是用于产品升级或系统维护,但这些必须提前告知用户,如果一家企业留有“后门”,用户并不知情,“则这家企业是不负责任的,容易丧失用户对其产品的信任。用户会质疑,企业的数据收集行为是否会对自己的个人隐私造成危害,“后门”是否会被非法利用等。”

  乌云创始人、白帽黑客方小顿:


  苹果“后门”无法监督


  “苹果iOS系统是一个封闭的系统,一旦曝出问题,大众很难确定是“后门”还是漏洞。”乌云创始人方小顿对记者说。乌云是国内知名互联网漏洞平台,方小顿是白帽黑客。

  瑞星安全专家唐威也表示,任何软件包括操作系统、应用软件,都有可能存在不完善的地方,软件开发很难达到完美,这些不完美被称为“漏洞”。漏洞的出现是开发者无意识的、被动的。相反,开发者如果主动通过预留程序,以控制用户设备或传输用户设备上的信息,则是“后门”。漏洞与“后门”之间的区别是被动与主动。

  方小顿说:“苹果‘后门’究竟是干什么,除非查看苹果当时做这个项目的文件说明,否则很难确定这些‘后门’究竟用于什么。”唐威也认为,从技术上看,苹果留下一个“后门”并没有难度,iOS系统是苹果自己开发且是封闭的,苹果系统的代码不公开、看不到,也无法分析,没有办法对其监督,留下一些隐藏功能都很轻松。此前发现苹果iOS“后门”的法国科学家兼iOS黑客乔纳森·扎德尔斯基早期是iOS越狱团队的一员,曾出版《iOS应用安全攻防》,因此才发现苹果留下的“后门”。