原標題:杜絕蘋果后門,需“信息安全長城”
近日,蘋果手機“后門”事件引起了我國信息安全界、法律界和蘋果手機用戶的廣泛關注。這些被知名黑客喬納森·扎德爾斯基曝光的iOS系統“后門”,把蘋果公司推到了風口浪尖。為此,蘋果公司發表聲明,承認該公司員工可以通過一項未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數據,但同時辯稱這是一種“診斷功能”,“不會對用戶隱私和安全帶來影響”。
事實真的如此嗎?記者就此采訪了上海相關領域的專家。
蘋果獲取用戶信息“很容易”
上海交通大學信息安全工程學院院長李建華教授介紹,信息系統“后門”可分為四類。第一類是系統為后臺服務設置的接口,供后臺操作使用;第二類被稱作“特洛伊木馬”,是設計人員故意在系統中留下的隱患,如木馬或惡意程序;第三類是設計人員的認知能力有限,導致系統存在缺陷,使黑客能利用這類缺陷進入系統;第四類則是指系統的脆弱點,在黑客的強力攻擊下會被攻破。
對于此次曝光的iOS系統 “后門”,蘋果公司發表聲明稱:“我們設計開發了iOS,其診斷功能不會對用戶隱私和安全帶來影響,但該功能向企業的信息技術部門、開發者和蘋果維修人員提供所需信息,在獲取這些受限制的診斷數據之前,需要用戶解鎖設備,以及獲得該解鎖電腦的授信。”如果這份聲明完全屬實,那么它屬于第一類“后門”。然而,扎德爾斯基很快給予反駁,指出利用這些“后門”,美國執法機構或惡意組織完全能在用戶不知情的情況下,通過無線網絡監測他們的信息,包括通訊錄、備忘錄、郵件等個人隱私信息。
李建華告訴記者,蘋果公司產品的軟件、硬件和網絡服務是個一體化封閉系統,而且覆蓋全球,所以該公司通過iPhone終端獲取用戶的隱私信息,“從技術上來說很容易”。因此,盡管蘋果公司發表了聲明,但無法消除人們的懷疑。而且,既然這些“后門”用于“診斷服務”,為什么該公司以前從未公開過,直到被黑客曝光后才被動承認呢?
美安全機構能進入蘋果系統
蘋果手機“后門”是否還隱藏著什么秘密?李建華說,蘋果公司與美國國家安全局簽署過戰略合作框架協議,“美國大公司與政府安全機構的合作是有法律程序保證的”。記者注意到,歐洲媒體就此事做過報道,但蘋果公司回應稱:從未與美國國安局合作,對該局針對iPhone采取的行動毫不知情。
李建華指出,美國安全機構具有全球最強的網絡攻擊、追蹤和溯源能力,從斯諾登的“棱鏡門事件”中即可見一斑。(下轉5版)(上接第1版)因此,美國安全機構具有突破蘋果用戶數據庫的安全設置,進入這個全球一體化系統的能力,以獲取他們想要的用戶信息,包括:通訊錄、語音通話、短信、位置信息等。美國安全機構獲取用戶信息的手段也是多元化的,“可以用陽謀,也可以用陰謀”。
此前,據英國媒體報道,“棱鏡門”揭秘者斯諾登披露:iPhone電池無法拆卸的設計是有意為之,使美國國安局能在iPhone關機情況下通過麥克風監聽用戶。
泄露用戶信息應納入違法犯罪
在法律界人士看來,蘋果手機留有“后門”涉嫌侵犯用戶個人隱私。上海誠達永華律師事務所合伙人馬勝浩律師表示:從民法角度說,蘋果公司通過未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數據,涉嫌侵犯公民的隱私權。從刑法角度說,根據《中華人民共和國刑法修正案(七)》第7條,蘋果公司涉嫌犯有非法獲取公民個人信息罪。如罪名成立,應對該公司處以罰金,并對直接負責的主管人員處以3年以下有期徒刑。
據悉,蘋果公司在美國已被起訴。今年7月24日,華人女性馬晨(音譯)向加州圣何塞法院遞交訴訟書,代表1億iPhone用戶向蘋果公司提出集體訴訟,起訴iPhone利用定位信息獲取用戶資料,侵犯個人隱私。
馬勝浩認為,中國的iPhone用戶如掌握蘋果公司侵犯其隱私的證據鏈,也可以對蘋果公司提起訴訟。“但個人用戶掌握證據鏈還是比較困難的。”
馬勝浩還指出,隨著科技的發展,新型領域的侵權和刑事犯罪越來越多樣化,但在公民使用手機、電子軟件等過程中,我國還缺少專門的、系統的法律規定來約束相關單位和個人。他建議我國司法機構對公民個人信息的范疇做進一步解釋,把企業泄露用戶個人行蹤等行為納入違法犯罪領域。
以自主創新消除外來“后門”
談到如何應對 “蘋果后門事件”這一問題,李建華認為,該事件對我國信息安全敲響了警鐘——在手機存儲大量信息的今天,我國黨政機關、國有企業、重要行業、基礎設施的要害部門工作人員如繼續不加防范地使用iPhone,無疑存在著巨大的安全隱患。
李建華建議,政府應對蘋果公司產品及其服務系統在中國的應用現狀進行全面調查和分析,在此基礎上采取有針對性的措施。“我不主張各領域要害部門、重要崗位的工作人員使用蘋果手機,我國應出臺明確的規章制度加以禁止或限制。”
事實上,蘋果“后門”已引起一些公職人員的警覺。在本市政府部門工作的王先生是個“果粉”,常年使用iPhone。他告訴記者,他的手機里存有大量與工作有關的通訊錄、短信、微信、郵件等信息,其中不少內容是比較重要的。“安全起見,我還是換個手機吧。”
在李建華看來,這一事件也提醒國人:中國要打造“信息安全長城”,就必須在信息技術產業鏈的各個重要環節實現自主創新,從而把控制權牢牢攥在自己手中。這些環節包括:集成電路芯片、操作系統、數據庫和服務器、路由器和交換機。與此同時,政府部門應支持具有自主知識產權的國產信息技術產品加快推廣應用,這樣才能從根本上消除外來“后門”造成的安全隱患。
京公網安備 11010502049343號