手機看新聞
分享到人人
分享到QQ空間“盡管蘋果說是匿名,但其實回傳的數據中還包括了蘋果設備的唯一識別碼,這讓蘋果很容易就能關聯出用戶的真實信息。”
iPhone等設備通過三種方式收集用戶信息並發送給蘋果公司
三種方式搜集你的信息:
①通過App程序,即程序開發軟件向蘋果申請定位信息權限,蘋果自行定位后,再使用App時,系統就可知道你在哪裡使用了軟件﹔
②通過附近運營商基站﹔
③用戶手機所連接的WiFi設備也能記錄用戶的位置信息。
兩種方式存儲你的信息:
①生成cache_encryptedA.db文件,存放在 private/var/root/Library/Caches/locationd﹔
②蘋果手機將自己附近的WiFi熱點和小區發射塔信息打上地理標簽,並以匿名和加密格式發送給蘋果公司。
信息泄露可能帶來的危害:
①發給蘋果公司的數據中包括了蘋果設備的唯一識別碼,蘋果公司很容易就能關聯出用戶的真實信息﹔
②看起來毫無關聯的海量地理數據,經過分析,就可得知機主的職業、住址、賬單……
③若鎖定涉密人群,就可能影響國家機密安全。
被竊信息去哪兒呢?
iOS系統是蘋果公司自行開發的操作系統,也是目前世界上公認的最先進的操作系統。該獨立系統完全封閉,普通用戶很難了解其中門道。
在央視報道中,蘋果手機記錄用戶信息的方式主要有三種。國際開源應用安全組織上海負責人宋國徽也表示:“我們也發現,iPhone會基於WiFi、基站和GPS收集定位信息,這個定位的准確性可以說是非常高的,比單純的GPS定位精度要更高,偏差通常不會超過1-2個街道范圍。”
那麼,具體來說,蘋果手機究竟如何記錄你用戶信息呢?我們知道,蘋果可以通過手機內用戶安裝的App進行實時定位。“比如微博、微信,或者一些需要定位功能的打車軟件、導航等,一旦開啟,也會定位用戶的位置。”宋國徽說,盡管這部分功能是軟件根據需要設定的,但是用戶數據信息並非僅僅掌握在App軟件中,蘋果后台同樣可以獲得。“比如你在辦公室用手機打開一個App,蘋果后台就能通過這個App的數據知道你在哪裡,盡管你沒有開通‘常去地點’功能。”
如果安裝的App本身沒有定位功能呢?“比如某門戶新聞手機客戶端,它本身是新聞類App,沒有也無需開通定位功能。但是我們卻發現,下載了該App的用戶,每次使用App的位置依然被蘋果定位並保存了。”如此產生的數據直接放在系統后台的所謂的用戶信息加密文件中。而這一切,用戶和客戶端本身都不知情。
這些被悄悄記錄的數據,最終又去了哪裡呢?“我們目前還沒有追蹤到這個數據最后去了哪裡,但國外的工程師曾表示,這些數據最終都回傳到了蘋果總部。”蘋果公司曾表示:i-Phone利用含有WiFi熱點和小區發射塔數據的眾包數據庫(crowd-sourced database)進行實時計算,成千上萬的iPhone會將自己附近的WiFi熱點和小區發射塔信息打上地理標簽,並以匿名和加密格式發送給蘋果。
“盡管蘋果說是匿名,但其實回傳的數據中還包括了蘋果設備的唯一識別碼,這讓蘋果很容易就能關聯出用戶的真實信息。”宋國徽說。
關閉相關功能還能竊取嗎?
關手機也不見得行
如果將“常去地點”關閉,是否就能保証用戶信息不被記錄呢?宋國徽認為,關閉只是讓用戶和其他人無法通過手機查看定位信息,但蘋果公司后台數據依然在悄悄記錄。宋國徽稱,隻要是智能手機,連接過WiFi、有運營商網絡,打開過有位置記錄功能的App軟件,就都有可能被自動跟蹤。
記者試著關閉了“常去地點”功能,確實發現“歷史記錄”消失了。“但其實,這個只是你看不到數據,蘋果的后台數據沒有任何影響,他們仍然可以根據你使用的App或者系統定位功能進行數據記錄,根本就是‘掩耳盜鈴’。”
早在三年前,兩名英國的工程師就發現了蘋果手機暗藏的一個文件可以記錄蘋果手機用戶曾經去過的地理位置,並通過隱藏文件存儲這些信息。
中國信息安全測評中心是我國專門從事信息安全測試和風險評估的專業機構。測評中心工程師王嘉捷在接受記者採訪時演示,通過電腦數據線將一部開啟了“常去地點”功能的蘋果手機接入電腦。通過特殊工具,抓取到了一些普通用戶看不到的系統目錄。
在這些目錄中,有一個隱藏很深的目錄,而此處就是蘋果存放定位信息的位置。“從操作視頻中可以看到,這個文件名為cache_en-cryptedA的db文件被保存在private/var/root/Library/Caches/locationd 。按照我們行話來說,就是藏得很深,是一個6級目錄。”盡管文件名為“encrypted”(中文譯為‘加密’),但事實上這個文件並未加密。“打開文件的時候,完全無需再次解碼,說明這個只是一個虛假‘加密’。無需秘鑰就能打開,只是位置藏得很深。”宋國徽還發現。
“蘋果公司早在三年前就知道了這個問題存在,但至今,那個存儲用戶位置信息的文件卻依然未加密。事實上,從蘋果iOS4開始到iOS7,一直在記錄用戶位置信息,而這並未得到用戶同意及授權。”網絡隱私侵權與信息安全援助聯盟(PIPA)聯合創始人於勇說。
那如果用戶關機,蘋果手機是否還能得到位置信息?“這個目前還沒有一個定論,也是現在我們研究團隊也比較關心的問題。”宋國徽說。
還有沒有其他“后門”?
可進行遠程監聽
“蘋果在用戶不知情的情況下竊取用戶地理位置信息等隱私的事情,的確是有違設備廠商的常規做法。”宋國徽說,其實iPhone除了搜集用戶地理位置外,iCloud也會自動將用戶的通訊錄、短信、照片等數據同步到雲端,對於用戶來說可能比較方便,但是,由於iCloud作為互聯網軟件應用,多少會存在一些安全漏洞,這勢必也會導致用戶在不知情的情況下泄露隱私數據。
宋國徽舉例,自2013年以來,iCloud已經發現了多個重大的安全漏洞。例如,2013年10月份,俄羅斯的安全研究人員就通過分析iCloud的協議,發現它的協議在用戶認証上存在安全缺陷,並且發現了iCloud遠程備份協議上存在的安全漏洞,導致可以在用戶不知情的情況下,遠程下載用戶的iCloud數據。“還有因iCloud密碼修改頁面的一個簡單的密碼找回邏輯錯誤,導致用戶的iCloud中存儲的通訊錄、照片和800G的數據被盜竊。”
“我們最近還發現,由知名iOS黑客,早期iOS越獄開發團隊成員喬納森·扎德爾斯基發現了蘋果的一個未公開的api函數接口。”2014年7月21日,喬納森發現了蘋果i-Phone/iPad設備中隱藏的“后門”和一個未公開的api函數接口。“這個隱藏的“后門”程序是com.apple.pcapd,當“后門”被激活時,可以監聽所有的網絡流量和網站訪問數據,並且這個“后門”被激活后可以遠程對iPhone設備進行網絡監聽,這已經不僅僅是竊取用戶隱私這麼簡單了。”
除此以外,喬納森還發現了一個蘋果未公開的api函數接口(api函數一般是有操作系統提供的獲取特定數據的程序代碼),最終發現可以通過這個未公開的api函數接口,繞過iPhone的安全機制,獲取到用戶手機中完整的數據信息,包括:用戶賬戶、通訊錄、短信、語音備忘錄、鍵盤記錄、GPS數據等用戶隱私數據。
7月27日,蘋果公司承認存在“安全漏洞”。蘋果表示,公司員工可以通過一項未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數據。但蘋果同時強調,該功能僅向部分特定人員提供所需信息,在獲取這些受限制的診斷數據之前,需要用戶授權並解鎖設備。
危害到底有多大?
可能影響國家安全
過去,信息往往是按照重要性劃分安全級別。安全級別越高,防護措施越好。但是在大數據時代,泄密的往往不是哪些關鍵性的保密數據,而是一些普通的日常性信息。“一個手機能分析一個人的軌跡,從中獲得他的喜好、工作等。上億手機用戶,這個就能分析出一個人群的軌跡,這就可能會涉及到整個行業、經濟、民生狀況。如果鎖定了涉密人群,那甚至可能影響國家機密安全。”宋國徽說。
美國蘋果公司在2013年11月5日曾發表報告承認,蘋果公司對美國提出的88%的涉及具體設備的請求提供了信息。於勇認為,蘋果這份報告無異推翻了此前自己所宣稱的“除非用戶明確同意將當前的地理信息提交給第三方,不然會嚴格保密”這一說法。“盡管蘋果公司始終宣揚為了大數據採集、為了未來技術創新,但我認為,即使這種行為本身基於善意的目的,對用戶隱私及權利也是一種極大的侵犯。甚至,可能將公民個人信息集中后,提供給軟件商、廣告商甚至是國家情報機構。”
俄羅斯媒體報道,俄羅斯向蘋果公司和SAP公司提議,希望他們向俄政府開放源代碼,以確保他們的產品不會成為監控俄羅斯國家機構的工具。“公民個人的信息安全不是小事情,從商業角度看可能只是用戶行為的大數據收集與分析,但是如果放在國家安全的角度上看,這種信息泄露可能一不小心就成了危害國家安全的‘不定時炸彈’”。
“我發現,其實很多市民對自己信息保護意識都不強。”於勇說,現在智能手機中通常記錄了機主的身份証信息、手機號碼、郵件、銀行卡號及密碼、照片、通訊錄、聊天記錄、消費記錄、賬單、家庭信息、房屋信息、物理位置等等。“這些信息的珍貴程度不亞於錢包裡的錢,丟信息比丟錢包往往能造成更大損失。”從警方偵破的很多詐騙案件中可以發現,不少電話和網絡詐騙都源於個人信息外泄。
“對於個體而言,這是一種隱私泄露。從更高層面說,甚至有可能危害到國家安全。”於勇說,他有幾個公職人員朋友,供職於國家某涉密單位,他們都被要求不可使用蘋果手機。“國家政府或者是與國家安全有密切關系人的行蹤如果被實施追蹤、竊取,這個問題就會相對更加嚴重。”
恭喜你,發表成功!
!
