iOS安全專家:仍能繞過iOS設(shè)備密碼獲取敏感數(shù)據(jù)
據(jù)國外媒體的報(bào)道,鑒于前段時(shí)間發(fā)生的好萊塢女星iCloud賬戶“艷照泄漏”事件,蘋果公司于近日對隱私政策進(jìn)行更新,并宣稱其“保護(hù)用戶隱私的承諾,不會因來自政府的信息請求而動搖”,蘋果CEO蒂姆·庫克(Tim Cook)也親自撰寫公開信表示“我們尊重你的隱私,并使用強(qiáng)大的加密技術(shù)來保護(hù)它們,更以嚴(yán)格的政策來管理所有數(shù)據(jù)的處理方式”。
蘋果稱公司未來將不會配合執(zhí)法和情報(bào)機(jī)構(gòu)來通過破解用戶的密碼而獲取后者的電郵、照片和其它數(shù)據(jù),同時(shí)還在其官方網(wǎng)站上針對“來自政府的信息請求”做出了單獨(dú)說明:“在運(yùn)行iOS 8的設(shè)備上,諸如照片、信息(包括附件)、電子郵件、通訊錄、通話歷史記錄、iTunes內(nèi)容、備忘錄和提醒事項(xiàng)等個(gè)人數(shù)據(jù),均受到密碼保護(hù)。與我們的競爭對手不同,蘋果無法繞過你的密碼,所以也無法訪問相關(guān)數(shù)據(jù)。因此,如果一個(gè)設(shè)備運(yùn)行的是iOS 8,即便政府已經(jīng)掌握了這個(gè)設(shè)備,并下令要求我們從中提取數(shù)據(jù),我們也無法在技術(shù)上實(shí)現(xiàn)這樣的要求。”
多家媒體和個(gè)人隱私支持者針對蘋果敢于向政府的信息請求說“不”的態(tài)度表示肯定,但知名iOS安全專家喬納森·扎德爾斯基(Jonathan Zdziarski)表示,即便沒有蘋果的幫助,即便設(shè)備運(yùn)行的是iOS 8操作系統(tǒng),警方也仍然能夠?qū)用躨Phone進(jìn)行破解,進(jìn)而獲得其中的敏感數(shù)據(jù),他們所需要的就是iPhone和一臺與該iPhone發(fā)生過數(shù)據(jù)交互的電腦。“我對庫克先生的公開信非常認(rèn)可,這確實(shí)需要一定的勇氣,”扎德爾斯基在一篇博文中說道,“但是,這并不意味著執(zhí)法部門一定無法獲得用戶的數(shù)據(jù)。”
就在蘋果發(fā)布聲明后不久,扎德爾斯基就確認(rèn)應(yīng)通過自己的取證軟件成功從一臺iOS 8設(shè)備中獲得了所有第三方應(yīng)用的數(shù)據(jù),其中包括Twitter、Facebook、Instagram、瀏覽器以及照片和視頻等,具體做法就是將自己偽裝成曾經(jīng)與該iOS設(shè)備有過數(shù)據(jù)交互的電腦,隨后即可在無需設(shè)備密碼的情況下通過iTunes或iPhoto等軟件獲取用戶的敏感數(shù)據(jù)。
“既然我都能做到這一點(diǎn),那么相信政府機(jī)構(gòu)也能做到,”扎德爾斯基說道,“同時(shí)我敢肯定目前市面上至少還有三四種商業(yè)破解工具也能實(shí)現(xiàn)。”同時(shí),扎德爾斯基還指出,實(shí)際上iOS 8的安全性已經(jīng)得到大幅提升,蘋果已經(jīng)修復(fù)了多個(gè)安全漏洞,但是此次可能是忽略了iOS設(shè)備在與iTunes和iPhoto進(jìn)行數(shù)據(jù)交互時(shí)也是存在安全漏洞的。
蘋果方面暫時(shí)未對扎德爾斯基的說法進(jìn)行回應(yīng)。
客觀地講,蘋果并沒有在更新后的隱私政策中承諾iOS設(shè)備一定不會被政府機(jī)構(gòu)破解,只是明確表示不會再配合政府機(jī)構(gòu)去破解用戶的iOS設(shè)備,單單這一立場就要比谷歌來得更加大膽和強(qiáng)硬,后者曾表示將會積極配合執(zhí)法部門對指定的Android設(shè)備進(jìn)行破解。“很明顯蘋果正在致力于提升對用戶隱私的保護(hù)力度,相比之下Android的安全性越發(fā)令人擔(dān)心,”美國公民自由聯(lián)盟(ACLU)的技術(shù)專家克里斯·索霍安(Chris Soghoian)說道,“而蘋果已經(jīng)向大家宣布了自己的底線。”
不過,扎德爾斯基仍警告稱蘋果用戶不應(yīng)因此而掉以輕心,“用戶往往會在這種情況下誤以為任何第三方都不能在未經(jīng)其許可的情況下獲得設(shè)備上的數(shù)據(jù),”他說道,“至少在目前看來,盡管iOS 8在安全方面做出了較大改進(jìn),但用戶的隱私數(shù)據(jù)仍然有可能會被別人獲取到,所以加強(qiáng)防范意識還是非常有必要的。”