论文部分内容阅读
苹果牌“跟踪器”
如果人们早点了解iPhone的定位功能,也许以调查婚姻忠诚度为生的私家侦探就会失业了。
就像豪车的车主不会去使用80%的附加功能,普通人甚至不了解一部智能手机80%的功能。央视最近做了一些科普教育。7月11日,央视曝光苹果手机有一项大众知之甚少的定位服务,打开设置中的“常去地点”,机主每天去过哪里,停留多长时间,去过几次都被记录在案,数据之详尽,完全可能达到引发家庭矛盾的级别。难怪路人看着央视记者操作自己手机,脱口而出:这可不能被男朋友看到!
苹果的“定位服务”始于2010年,搭载iOS操作系统的iPhone4手机可以追踪用户每分钟的行踪,记录用户在任何一个地方停留的时间,并且将用户资料上传至苹果公司服务器上。此后,苹果手机的换代产品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。
在央视采访中,专业人士在计算机上调出深藏在6层目录下的定位数据包,机主停留地点的经度、维度、高度、速度等值,精确到了小数点后8位。而用户在留下这些轨迹时,根本无需开启手机的定位功能。也就是说,你可能只是在有WiFi 的咖啡馆旁边走过,甚至没有蹭一下网,或者只是打开了一款和定位无关的新闻或游戏App,你的行踪就暴露了。
这款随身携带的“手机形状追踪器”让人感觉芒刺在背。如果关闭定位服务会怎么样?首先,关闭后可能让 iPhone 的地图、导航等一些功能失效。更让人抓狂的是,即使用户将定位功能关掉,在你使用看似无关紧要的App时,后台系统还是能默默地将你所在地点、时间等信息完整记录下来。
针对央视的曝光,苹果公司很快发出声明,这项功能是为了更好地为用户提供服务,强调不会将手机用户的详细资料透露给任何第三方,但是并未对传送用户数据至数据库进行否认。
很快有人拿起法律武器对准苹果。7月24日,一位名为马晨(Chen Ma 音译)的华人女性在美国加州圣何塞法院向苹果公司提起集体诉讼,代表个人及其他iPhone用户起诉苹果手机利用定位信息获取用户资料,侵犯用户隐私。原告诉求最重要的一条是,在苹果公司不对消费者进行有效通知、在传输数据前未经用户明确同意前提下,永久性禁止苹果继续搜集由定位服务产生的高度敏感隐私的用户数据。
事实上,苹果的定位服务惹上官司,这已不是第一次。2011年,韩国2.76万用户就曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络收集用户位置信息。最后,因违反韩国《位置信息保护法》,苹果公司被处以300万韩元(约合人民币18200元)罚款。
当时美国、法国、德国也对苹果公司进行了类似的疑惑调查,韩国最先做出违法裁决以及处罚决定,一时间备受关注,只是过轻的处罚力度让这个官司更像是对苹果的一种保护。
2013年,美国一名法官也审理了类似的侵权诉讼,原告表示在使用任何苹果手机时,没有收到苹果公司追踪、记录以及传送用户信息的通知。但法官最终裁定原告在购买 iPhone 前没有阅读苹果的隐私条款。
后门钥匙在谁手中?
就在iPhone“定位服务”闹得沸沸扬扬之际,美国安全专家乔纳森·扎德尔斯基又为苹果补上一刀——你以为手机泄露的只是你的行踪,那就年轻又天真了。
7月18日,在每年一度的HOPE/X黑客和开发会议上,老牌iOS黑客扎德尔斯基演讲时抖出猛料,iOS存在多个后门,用来攫取iPhone 和iPad中用户短信、通讯录和照片等个人数据。
扎德尔斯基曾出版《iOS应用安全攻防》(Hacking and Securing iOS Applications)一书,在黑客界算得上大神级人物,他的这一曝光让人们意识到,一台iPhone在手,不止是自己的行踪尽在苹果掌握,其他个人信息也不是秘密,苹果公司唾手可得。
比如一款名为com.apple.pcapd的服务,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据。据扎德尔斯基称,这一服务在所有iOS设备上都是默认激活的,在用户不知情的情况下,能通过WiFi網络监测用户的信息。
而一款名为com.apple.mobile.file_relay的服务让用户为个人信息上的安全锁形同虚设。这一服务完全绕开了iOS的备份加密功能,泄露的情报包括用户的地址簿、CoreLocation日志、剪贴板、日程表、语音邮件等。这一服务最早出现在iOS 2中,在后来的版本中不断得到扩充。
扎德尔斯基指出,黑客甚至能利用这一服务从推特内容中窃取用户最近的照片、最近的时光轴内容、用户的DM数据库、认证令牌等,认证令牌能用于“远程窃取未来所有的推特信息”。
专业人士的指控让苹果难以淡定,7月23日,苹果公司在回应中首次提到“后门程序”基本信息,称这是为iOS诊断功能服务,向企业的IT部门、开发者和苹果维修人员提供所需信息。
“不管用户有没有开启‘向苹果公司发送诊断数据’选项,这些服务都在传送数据。如果这些服务是为了诊断功能服务的,那应该在用户启用诊断模式时才工作。不幸的是,用户根本没办法关闭这些服务。事实就是,每台手机上这些服务都是默认激活的,而且无法关闭。用户也没有收到任何关于是否将个人信息从手机上发出去的询问。很难相信苹果公司说的是实话。”扎德尔斯基认为。
苹果的辩解没有让内行的扎德尔斯基满意,7月25日,扎德尔斯基在其个人网站上回应,称这些“后门程序”可以突破加密的备份文件,获取用户数据,并非是开发者或运营商用来测试网络或调试应用。
“我从不认为这些服务仅仅是为了诊断功能设计的。这些泄露的信息完全是个人性质的。而且苹果获取这些信息时完全没有知会过用户。一款真正的诊断工具在设计时会尊重用户,在它需要获取某些数据时告知用户,并且遵守备份加密协议。告诉我,为什么苹果向用户保证手机上所有备份的文件信息是加密的,却又设计一个后门去绕过加密?”
如果人们早点了解iPhone的定位功能,也许以调查婚姻忠诚度为生的私家侦探就会失业了。
就像豪车的车主不会去使用80%的附加功能,普通人甚至不了解一部智能手机80%的功能。央视最近做了一些科普教育。7月11日,央视曝光苹果手机有一项大众知之甚少的定位服务,打开设置中的“常去地点”,机主每天去过哪里,停留多长时间,去过几次都被记录在案,数据之详尽,完全可能达到引发家庭矛盾的级别。难怪路人看着央视记者操作自己手机,脱口而出:这可不能被男朋友看到!
苹果的“定位服务”始于2010年,搭载iOS操作系统的iPhone4手机可以追踪用户每分钟的行踪,记录用户在任何一个地方停留的时间,并且将用户资料上传至苹果公司服务器上。此后,苹果手机的换代产品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。
在央视采访中,专业人士在计算机上调出深藏在6层目录下的定位数据包,机主停留地点的经度、维度、高度、速度等值,精确到了小数点后8位。而用户在留下这些轨迹时,根本无需开启手机的定位功能。也就是说,你可能只是在有WiFi 的咖啡馆旁边走过,甚至没有蹭一下网,或者只是打开了一款和定位无关的新闻或游戏App,你的行踪就暴露了。
这款随身携带的“手机形状追踪器”让人感觉芒刺在背。如果关闭定位服务会怎么样?首先,关闭后可能让 iPhone 的地图、导航等一些功能失效。更让人抓狂的是,即使用户将定位功能关掉,在你使用看似无关紧要的App时,后台系统还是能默默地将你所在地点、时间等信息完整记录下来。
针对央视的曝光,苹果公司很快发出声明,这项功能是为了更好地为用户提供服务,强调不会将手机用户的详细资料透露给任何第三方,但是并未对传送用户数据至数据库进行否认。
很快有人拿起法律武器对准苹果。7月24日,一位名为马晨(Chen Ma 音译)的华人女性在美国加州圣何塞法院向苹果公司提起集体诉讼,代表个人及其他iPhone用户起诉苹果手机利用定位信息获取用户资料,侵犯用户隐私。原告诉求最重要的一条是,在苹果公司不对消费者进行有效通知、在传输数据前未经用户明确同意前提下,永久性禁止苹果继续搜集由定位服务产生的高度敏感隐私的用户数据。
事实上,苹果的定位服务惹上官司,这已不是第一次。2011年,韩国2.76万用户就曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络收集用户位置信息。最后,因违反韩国《位置信息保护法》,苹果公司被处以300万韩元(约合人民币18200元)罚款。
当时美国、法国、德国也对苹果公司进行了类似的疑惑调查,韩国最先做出违法裁决以及处罚决定,一时间备受关注,只是过轻的处罚力度让这个官司更像是对苹果的一种保护。
2013年,美国一名法官也审理了类似的侵权诉讼,原告表示在使用任何苹果手机时,没有收到苹果公司追踪、记录以及传送用户信息的通知。但法官最终裁定原告在购买 iPhone 前没有阅读苹果的隐私条款。
后门钥匙在谁手中?
就在iPhone“定位服务”闹得沸沸扬扬之际,美国安全专家乔纳森·扎德尔斯基又为苹果补上一刀——你以为手机泄露的只是你的行踪,那就年轻又天真了。
7月18日,在每年一度的HOPE/X黑客和开发会议上,老牌iOS黑客扎德尔斯基演讲时抖出猛料,iOS存在多个后门,用来攫取iPhone 和iPad中用户短信、通讯录和照片等个人数据。
扎德尔斯基曾出版《iOS应用安全攻防》(Hacking and Securing iOS Applications)一书,在黑客界算得上大神级人物,他的这一曝光让人们意识到,一台iPhone在手,不止是自己的行踪尽在苹果掌握,其他个人信息也不是秘密,苹果公司唾手可得。
比如一款名为com.apple.pcapd的服务,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据。据扎德尔斯基称,这一服务在所有iOS设备上都是默认激活的,在用户不知情的情况下,能通过WiFi網络监测用户的信息。
而一款名为com.apple.mobile.file_relay的服务让用户为个人信息上的安全锁形同虚设。这一服务完全绕开了iOS的备份加密功能,泄露的情报包括用户的地址簿、CoreLocation日志、剪贴板、日程表、语音邮件等。这一服务最早出现在iOS 2中,在后来的版本中不断得到扩充。
扎德尔斯基指出,黑客甚至能利用这一服务从推特内容中窃取用户最近的照片、最近的时光轴内容、用户的DM数据库、认证令牌等,认证令牌能用于“远程窃取未来所有的推特信息”。
专业人士的指控让苹果难以淡定,7月23日,苹果公司在回应中首次提到“后门程序”基本信息,称这是为iOS诊断功能服务,向企业的IT部门、开发者和苹果维修人员提供所需信息。
“不管用户有没有开启‘向苹果公司发送诊断数据’选项,这些服务都在传送数据。如果这些服务是为了诊断功能服务的,那应该在用户启用诊断模式时才工作。不幸的是,用户根本没办法关闭这些服务。事实就是,每台手机上这些服务都是默认激活的,而且无法关闭。用户也没有收到任何关于是否将个人信息从手机上发出去的询问。很难相信苹果公司说的是实话。”扎德尔斯基认为。
苹果的辩解没有让内行的扎德尔斯基满意,7月25日,扎德尔斯基在其个人网站上回应,称这些“后门程序”可以突破加密的备份文件,获取用户数据,并非是开发者或运营商用来测试网络或调试应用。
“我从不认为这些服务仅仅是为了诊断功能设计的。这些泄露的信息完全是个人性质的。而且苹果获取这些信息时完全没有知会过用户。一款真正的诊断工具在设计时会尊重用户,在它需要获取某些数据时告知用户,并且遵守备份加密协议。告诉我,为什么苹果向用户保证手机上所有备份的文件信息是加密的,却又设计一个后门去绕过加密?”