大多數人對泄密漸漸無感,是因為不認為自己的個人數據重要到會被單獨提煉,認為這些隻是大數據中的一粒塵埃。
蘋果牌“跟蹤器”
如果人們早點瞭解iPhone的定位功能,也許以調查婚姻忠誠度為生的私傢偵探就會失業瞭。
就像豪車的車主不會去使用80%的附加功能,普通人甚至不瞭解一部智能手機80%的功能。央視最近做瞭一些科普教育。7月11日,央視曝光蘋果手機有一項大眾知之甚少的定位服務,打開設置中的“常去地點”,機主每天去過哪裡,停留多長時間,去過幾次都被記錄在案,數據之詳盡,完全可能達到引發傢庭矛盾的級別。難怪路人看著央視記者操作自己手機,脫口而出:這可不能被男朋友看到!
蘋果的“定位服務”始於2010年,搭載iOS操作系統的iPhone4手機可以追蹤用戶每分鐘的行蹤,記錄用戶在任何一個地方停留的時間,並且將用戶資料上傳至蘋果公司服務器上。此後,蘋果手機的換代產品iPhone 4S、iPhone 5、iPhone 5C以及 iPhone 5S都有定位功能。
在央視采訪中,專業人士在計算機上調出深藏在6層目錄下的定位數據包,機主停留地點的經度、維度、高度、速度等值,精確到瞭小數點後8位。而用戶在留下這些軌跡時,根本無需開啟手機的定位功能。也就是說,你可能隻是在有WiFi 的咖啡館旁邊走過,甚至沒有蹭一下網,或者隻是打開瞭一款和定位無關的新聞或遊戲App,你的行蹤就暴露瞭。
這款隨身攜帶的“手機形狀追蹤器”讓人感覺芒刺在背。如果關閉定位服務會怎麼樣?首先,關閉後可能讓 iPhone 的地圖、導航等一些功能失效。更讓人抓狂的是,即使用戶將定位功能關掉,在你使用看似無關緊要的App時,後臺系統還是能默默地將你所在地點、時間等信息完整記錄下來。
針對央視的曝光,蘋果公司很快發出聲明,這項功能是為瞭更好地為用戶提供服務,強調不會將手機用戶的詳細資料透露給任何第三方,但是並未對傳送用戶數據至數據庫進行否認。
很快有人拿起法律武器對準蘋果。7月24日,一位名為馬晨(Chen Ma 音譯)的華人女性在美國加州聖何塞法院向蘋果公司提起集體訴訟,代表個人及其他iPhone用戶起訴蘋果手機利用定位信息獲取用戶資料,侵犯用戶隱私。原告訴求最重要的一條是,在蘋果公司不對消費者進行有效通知、在傳輸數據前未經用戶明確同意前提下,永久性禁止蘋果繼續搜集由定位服務產生的高度敏感隱私的用戶數據。
事實上,蘋果的定位服務惹上官司,這已不是第一次。2011年,韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發起訴訟,稱其通過手機周邊的無線網絡收集用戶位置信息。最後,因違反韓國《位置信息保護法》,蘋果公司被處以300萬韓元(約合人民幣(6.1515, 0.0105, 0.17%)18200元)罰款。
當時美國、法國、德國也對蘋果公司進行瞭類似的疑惑調查,韓國最先做出違法裁決以及處罰決定,一時間備受關註,隻是過輕的處罰力度讓這個官司更像是對蘋果的一種保護。
2013年,美國一名法官也審理瞭類似的侵權訴訟,原告表示在使用任何蘋果手機時,沒有收到蘋果公司追蹤、記錄以及傳送用戶信息的通知。但法官最終裁定原告在購買 iPhone 前沒有閱讀蘋果的隱私條款。
後門鑰匙在誰手中?
就在iPhone“定位服務”鬧得沸沸揚揚之際,美國安全專傢喬納森·紮德爾斯基又為蘋果補上一刀——你以為手機泄露的隻是你的行蹤,那就年輕又天真瞭。
7月18日,在每年一度的HOPE/X黑客和開發會議上,老牌iOS黑客紮德爾斯基演講時抖出猛料,iOS存在多個後門,用來攫取iPhone 和iPad中用戶短信、通訊錄和照片等個人數據。
紮德爾斯基曾出版《iOS應用安全攻防》(Hacking and Securing iOS Applications)一書,在黑客界算得上大神級人物,他的這一曝光讓人們意識到,一臺iPhone在手,不止是自己的行蹤盡在蘋果掌握,其他個人信息也不是秘密,蘋果公司唾手可得。
比如一款名為com.apple.pcapd的服務,通過libpcap網絡數據包捕獲流入和流出iOS設備的HTTP數據。據紮德爾斯基稱,這一服務在所有iOS設備上都是默認激活的,在用戶不知情的情況下,能通過WiFi網絡監測用戶的信息。
而一款名為com.apple.mobile.file_relay的服務讓用戶為個人信息上的安全鎖形同虛設。這一服務完全繞開瞭iOS的備份加密功能,泄露的情報包括用戶的地址簿、CoreLocation日志、剪貼板、日程表、語音郵件等。這一服務最早出現在iOS 2中,在後來的版本中不斷得到擴充。
紮德爾斯基指出,黑客甚至能利用這一服務從推特內容中竊取用戶最近的照片、最近的時光軸內容、用戶的DM數據庫、認證令牌等,認證令牌能用於“遠程竊取未來所有的推特信息”。
專業人士的指控讓蘋果難以淡定,7月23日,蘋果公司在回應中首次提到“後門程序”基本信息,稱這是為iOS診斷功能服務,向企業的IT部門、開發者和蘋果維修人員提供所需信息。
“不管用戶有沒有開啟‘向蘋果公司發送診斷數據’選項,這些服務都在傳送數據。如果這些服務是為瞭診斷功能服務的,那應該在用戶啟用診斷模式時才工作。不幸的是,用戶根本沒辦法關閉這些服務。事實就是,每臺手機上這些服務都是默認激活的,而且無法關閉。用戶也沒有收到任何關於是否將個人信息從手機上發出去的詢問。很難相信蘋果公司說的是實話。”紮德爾斯基認為。
蘋果的辯解沒有讓內行的紮德爾斯基滿意,7月25日,紮德爾斯基在其個人網站上回應,稱這些“後門程序”可以突破加密的備份文件,獲取用戶數據,並非是開發者或運營商用來測試網絡或調試應用。
“我從不認為這些服務僅僅是為瞭診斷功能設計的。這些泄露的信息完全是個人性質的。而且蘋果獲取這些信息時完全沒有知會過用戶。一款真正的診斷工具在設計時會尊重用戶,在它需要獲取某些數據時告知用戶,並且遵守備份加密協議。告訴我,為什麼蘋果向用戶保證手機上所有備份的文件信息是加密的,卻又設計一個後門去繞過加密?”
既然遠超診斷維修的必須性,蘋果收集這麼多個人信息數據流到瞭哪裡?紮德爾斯基的研究一經公開,各國媒體的箭頭都指向瞭美國國傢安全局(NSA)。
“我沒有指控蘋果和NSA合作,不過就現有的資料來看,我懷疑蘋果的某些服務可能被NSA用來收集潛在目標的信息。我並沒有推測蘋果和NSA之間存在某種巨大的陰謀,但是iOS上運行的某些服務確實不應該存在,這些服務是被蘋果公司有意強加的,用來突破備份加密,獲取用戶那些本不應該被獲取的個人信息。”