蘋果牌“跟蹤器”
如果人們?cè)琰c(diǎn)了解iPhone的定位功能,也許以調(diào)查婚姻忠誠(chéng)度為生的私家偵探就會(huì)失業(yè)了。
就像豪車的車主不會(huì)去使用80%的附加功能,普通人甚至不了解一部智能手機(jī)80%的功能。央視最近做了一些科普教育。7月11日,央視曝光蘋果手機(jī)有一項(xiàng)大眾知之甚少的定位服務(wù),打開(kāi)設(shè)置中的“常去地點(diǎn)”,機(jī)主每天去過(guò)哪里,停留多長(zhǎng)時(shí)間,去過(guò)幾次都被記錄在案,數(shù)據(jù)之詳盡,完全可能達(dá)到引發(fā)家庭矛盾的級(jí)別。難怪路人看著央視記者操作自己手機(jī),脫口而出:這可不能被男朋友看到!
蘋果的“定位服務(wù)”始于2010年,搭載iOS操作系統(tǒng)的iPhone4手機(jī)可以追蹤用戶每分鐘的行蹤,記錄用戶在任何一個(gè)地方停留的時(shí)間,并且將用戶資料上傳至蘋果公司服務(wù)器上。此后,蘋果手機(jī)的換代產(chǎn)品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。
在央視采訪中,專業(yè)人士在計(jì)算機(jī)上調(diào)出深藏在6層目錄下的定位數(shù)據(jù)包,機(jī)主停留地點(diǎn)的經(jīng)度、維度、高度、速度等值,精確到了小數(shù)點(diǎn)后8位。而用戶在留下這些軌跡時(shí),根本無(wú)需開(kāi)啟手機(jī)的定位功能。也就是說(shuō),你可能只是在有WiFi 的咖啡館旁邊走過(guò),甚至沒(méi)有蹭一下網(wǎng),或者只是打開(kāi)了一款和定位無(wú)關(guān)的新聞或游戲App,你的行蹤就暴露了。
這款隨身攜帶的“手機(jī)形狀追蹤器”讓人感覺(jué)芒刺在背。如果關(guān)閉定位服務(wù)會(huì)怎么樣?首先,關(guān)閉后可能讓 iPhone 的地圖、導(dǎo)航等一些功能失效。更讓人抓狂的是,即使用戶將定位功能關(guān)掉,在你使用看似無(wú)關(guān)緊要的App時(shí),后臺(tái)系統(tǒng)還是能默默地將你所在地點(diǎn)、時(shí)間等信息完整記錄下來(lái)。
針對(duì)央視的曝光,蘋果公司很快發(fā)出聲明,這項(xiàng)功能是為了更好地為用戶提供服務(wù),強(qiáng)調(diào)不會(huì)將手機(jī)用戶的詳細(xì)資料透露給任何第三方,但是并未對(duì)傳送用戶數(shù)據(jù)至數(shù)據(jù)庫(kù)進(jìn)行否認(rèn)。
很快有人拿起法律武器對(duì)準(zhǔn)蘋果。7月24日,一位名為馬晨(Chen Ma 音譯)的華人女性在美國(guó)加州圣何塞法院向蘋果公司提起集體訴訟,代表個(gè)人及其他iPhone用戶起訴蘋果手機(jī)利用定位信息獲取用戶資料,侵犯用戶隱私。原告訴求最重要的一條是,在蘋果公司不對(duì)消費(fèi)者進(jìn)行有效通知、在傳輸數(shù)據(jù)前未經(jīng)用戶明確同意前提下,永久性禁止蘋果繼續(xù)搜集由定位服務(wù)產(chǎn)生的高度敏感隱私的用戶數(shù)據(jù)。
事實(shí)上,蘋果的定位服務(wù)惹上官司,這已不是第一次。2011年,韓國(guó)2.76萬(wàn)用戶就曾對(duì)蘋果總部、蘋果韓國(guó)分公司發(fā)起訴訟,稱其通過(guò)手機(jī)周邊的無(wú)線網(wǎng)絡(luò)收集用戶位置信息。最后,因違反韓國(guó)《位置信息保護(hù)法》,蘋果公司被處以300萬(wàn)韓元(約合人民幣18200元)罰款。
當(dāng)時(shí)美國(guó)、法國(guó)、德國(guó)也對(duì)蘋果公司進(jìn)行了類似的疑惑調(diào)查,韓國(guó)最先做出違法裁決以及處罰決定,一時(shí)間備受關(guān)注,只是過(guò)輕的處罰力度讓這個(gè)官司更像是對(duì)蘋果的一種保護(hù)。
2013年,美國(guó)一名法官也審理了類似的侵權(quán)訴訟,原告表示在使用任何蘋果手機(jī)時(shí),沒(méi)有收到蘋果公司追蹤、記錄以及傳送用戶信息的通知。但法官最終裁定原告在購(gòu)買 iPhone 前沒(méi)有閱讀蘋果的隱私條款。
后門鑰匙在誰(shuí)手中?
就在iPhone“定位服務(wù)”鬧得沸沸揚(yáng)揚(yáng)之際,美國(guó)安全專家喬納森·扎德?tīng)査够譃樘O果補(bǔ)上一刀——你以為手機(jī)泄露的只是你的行蹤,那就年輕又天真了。
7月18日,在每年一度的HOPE/X黑客和開(kāi)發(fā)會(huì)議上,老牌iOS黑客扎德?tīng)査够葜v時(shí)抖出猛料,iOS存在多個(gè)后門,用來(lái)攫取iPhone 和iPad中用戶短信、通訊錄和照片等個(gè)人數(shù)據(jù)。
扎德?tīng)査够霭妗秈OS應(yīng)用安全攻防》(Hacking and Securing iOS Applications)一書(shū),在黑客界算得上大神級(jí)人物,他的這一曝光讓人們意識(shí)到,一臺(tái)iPhone在手,不止是自己的行蹤盡在蘋果掌握,其他個(gè)人信息也不是秘密,蘋果公司唾手可得。
比如一款名為com.apple.pcapd的服務(wù),通過(guò)libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲流入和流出iOS設(shè)備的HTTP數(shù)據(jù)。據(jù)扎德?tīng)査够Q,這一服務(wù)在所有iOS設(shè)備上都是默認(rèn)激活的,在用戶不知情的情況下,能通過(guò)WiFi網(wǎng)絡(luò)監(jiān)測(cè)用戶的信息。
而一款名為com.apple.mobile.file_relay的服務(wù)讓用戶為個(gè)人信息上的安全鎖形同虛設(shè)。這一服務(wù)完全繞開(kāi)了iOS的備份加密功能,泄露的情報(bào)包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語(yǔ)音郵件等。這一服務(wù)最早出現(xiàn)在iOS 2中,在后來(lái)的版本中不斷得到擴(kuò)充。
扎德?tīng)査够赋觯诳蜕踔聊芾眠@一服務(wù)從推特內(nèi)容中竊取用戶最近的照片、最近的時(shí)光軸內(nèi)容、用戶的DM數(shù)據(jù)庫(kù)、認(rèn)證令牌等,認(rèn)證令牌能用于“遠(yuǎn)程竊取未來(lái)所有的推特信息”。
專業(yè)人士的指控讓蘋果難以淡定,7月23日,蘋果公司在回應(yīng)中首次提到“后門程序”基本信息,稱這是為iOS診斷功能服務(wù),向企業(yè)的IT部門、開(kāi)發(fā)者和蘋果維修人員提供所需信息。
“不管用戶有沒(méi)有開(kāi)啟‘向蘋果公司發(fā)送診斷數(shù)據(jù)’選項(xiàng),這些服務(wù)都在傳送數(shù)據(jù)。如果這些服務(wù)是為了診斷功能服務(wù)的,那應(yīng)該在用戶啟用診斷模式時(shí)才工作。不幸的是,用戶根本沒(méi)辦法關(guān)閉這些服務(wù)。事實(shí)就是,每臺(tái)手機(jī)上這些服務(wù)都是默認(rèn)激活的,而且無(wú)法關(guān)閉。用戶也沒(méi)有收到任何關(guān)于是否將個(gè)人信息從手機(jī)上發(fā)出去的詢問(wèn)。很難相信蘋果公司說(shuō)的是實(shí)話。”扎德?tīng)査够J(rèn)為。
蘋果的辯解沒(méi)有讓內(nèi)行的扎德?tīng)査够鶟M意,7月25日,扎德?tīng)査够谄鋫€(gè)人網(wǎng)站上回應(yīng),稱這些“后門程序”可以突破加密的備份文件,獲取用戶數(shù)據(jù),并非是開(kāi)發(fā)者或運(yùn)營(yíng)商用來(lái)測(cè)試網(wǎng)絡(luò)或調(diào)試應(yīng)用。
“我從不認(rèn)為這些服務(wù)僅僅是為了診斷功能設(shè)計(jì)的。這些泄露的信息完全是個(gè)人性質(zhì)的。而且蘋果獲取這些信息時(shí)完全沒(méi)有知會(huì)過(guò)用戶。一款真正的診斷工具在設(shè)計(jì)時(shí)會(huì)尊重用戶,在它需要獲取某些數(shù)據(jù)時(shí)告知用戶,并且遵守備份加密協(xié)議。告訴我,為什么蘋果向用戶保證手機(jī)上所有備份的文件信息是加密的,卻又設(shè)計(jì)一個(gè)后門去繞過(guò)加密?”
既然遠(yuǎn)超診斷維修的必須性,蘋果收集這么多個(gè)人信息數(shù)據(jù)流到了哪里?扎德?tīng)査够难芯恳唤?jīng)公開(kāi),各國(guó)媒體的箭頭都指向了美國(guó)國(guó)家安全局(NSA)。
“我沒(méi)有指控蘋果和NSA合作,不過(guò)就現(xiàn)有的資料來(lái)看,我懷疑蘋果的某些服務(wù)可能被NSA用來(lái)收集潛在目標(biāo)的信息。我并沒(méi)有推測(cè)蘋果和NSA之間存在某種巨大的陰謀,但是iOS上運(yùn)行的某些服務(wù)確實(shí)不應(yīng)該存在,這些服務(wù)是被蘋果公司有意強(qiáng)加的,用來(lái)突破備份加密,獲取用戶那些本不應(yīng)該被獲取的個(gè)人信息。”
