MyException - 我的异常网
当前位置:我的异常网» 互联网 » 苹果“窃密门”:小弟我们终将成为透明人

苹果“窃密门”:小弟我们终将成为透明人

www.MyException.Cn  网友分享于:2014-08-07  浏览:0次
苹果“窃密门”:我们终将成为透明人?
    据央视报道:苹果手机记录用户信息的方式主要有三种:iPhone会基于Wi-Fi、基站和GPS收集定位信息,这个定位的准确性可以说是非常高的,比单纯的GPS定位精度要更高,偏差通常不会超过1-2个街道范围。”

    究竟如何记录你用户信息呢?

    我们知道,苹果可以通过手机内用户安装的App进行实时定位。“比如微博、微信,或者一些需要定位功能的打车软件、导航等,一旦开启,也会定位用户的位置。”尽管这部分功能是软件根据需要设定的,但是用户数据信息并非仅仅掌握在App软件中,苹果后台同样可以获得。比如,你在办公室用手机打开一个App,苹果后台就能通过这个App的数据知道你在哪里,尽管
    你没有开通‘常去地点’功能。

    如果安装的App本身没有定位功能呢?

    像某门户新闻手机客户端,它本身是新闻类App,没有也无需开通定位功能。但是我们却发现,下载了该App的用户,每次使用App的位置依然被苹果定位并保存了。如此产生的数据直接放在系统后台的所谓的用户信息加密文件中。而这一切,用户和客户端本身都不知情。

    这些被悄悄记录的数据,最终归处?

    我们目前还没有追踪到这个数据最后去了哪里,但国外的工程师曾表示:“这些数据最终都回传到了苹果总部。”苹果公司曾表示:iPhone利用含有Wi-Fi热点和小区发射塔数据的众包数据库(crowd-sourced database)进行实时计算,成千上万的iPhone会将自己附近的Wi-Fi热点和小区发射塔信息打上地理标签,并以匿名和加密格式发送给苹果。

    尽管苹果说是匿名,但其实回传的数据中还包括了苹果设备的唯一识别码,这让苹果很容易就能关联出用户的真实信息。

    关闭相关功能还能窃取吗?关手机也不行?

    如果将“常去地点”关闭,是否就能保证用户信息不被泄漏呢?关闭只是让用户和其他人无法通过手机查看定位信息,但苹果公司后台数据依然在悄悄记录。只要是智能手机,连接过Wi-Fi、有运营商网络、打开过有位置记录功能的App软件,就都有可能被自动跟踪。

    记者试着关闭了“常去地点”功能,确实发现“历史记录”消失了。但其实,这个只是你看不到数据,苹果的后台数据没有任何影响,他们仍然可以根据你使用的App或者系统定位功能进行数据记录,根本就是‘掩耳盗铃’。

    早在三年前,两名英国的工程师就发现了苹果手机暗藏的一个文件可以记录苹果手机用户曾经去过的地理位置,并通过隐藏文件存储这些信息。

    中国信息安全测评中心是我国专门从事信息安全测试和风险评估的专业机构。测评中心工程师王嘉捷在接受记者采访时演示:通过电脑数据线将一部开启了“常去地点”功能的苹果手机接入电脑。通过特殊工具,抓取到了一些普通用户看不到的系统目录。

    在这些目录中,有一个隐藏很深的目录,而此处就是苹果存放定位信息的位置。从操作视频中可以看到,这个文件名为cache_en-cryptedA 的 db文件被保存在private/var/root/Library/Caches/locationd 。按照我们行话来说,就是藏得很深,是一个6级目录。尽管文件名为“encrypted”(中文译为‘加密’),但事实上这个文件并未加密。打开文件的时候,完全无需再次解码,说明这个只是一个虚假‘加密’。无需秘钥就能打开。

    “苹果公司早在三年前就知道了这个问题存在,但至今,那个存储用户位置信息的文件却依然未加密。事实上,从苹果iOS4开始到iOS7,一直在记录用户位置信息,而这并未得到用户同意及授权”。网络隐私侵权与信息安全援助联盟(PIPA)联合创始人于勇说:目前对于用户关机,苹果手机是否还能得到位置信息,还没有一个定论。

    还有没有其他“后门”可进行远程监听?

    苹果在用户不知情的情况下窃取用户地理位置信息等隐私的事情,是有违设备厂商的常规做法的。其实我们还发现iPhone除了搜集用户地理位置外,iCloud也会自动将用户的通讯录、短信、照片等数据同步到云端,对于用户来说可能比较方便,但是,由于iCloud作为互联网软件应用,多少会存在一些安全漏洞,这势必也会导致用户在不知情的情况下泄露隐私数据。

    自2013年以来,iCloud已经发现了多个重大的安全漏洞。例如,2013年10月份,俄罗斯的安全研究人员就通过分析iCloud的协议,发现它的协议在用户认证上存在安全缺陷,并且发现了iCloud远程备份协议上存在的安全漏洞,导致可以在用户不知情的情况下,远程下载用户的iCloud数据。还有因iCloud密码修改页面的一个简单的密码找回逻辑错误,导致用户的iCloud中存储的通讯录、照片和800G的数据被窃取。

    我们最近还发现,由知名iOS黑客,早期iOS越狱开发团队成员乔纳森·扎德尔斯基发现了苹果的一个未公开的api函数接口。 2014年7月21日,乔纳森发现了苹果iPhone/iPad设备中隐藏的“后门”和一个未公开的api函数接口。“这个隐藏的“后门”程序是com.apple.pcapd,当“后门”被激活时,可以监听所有的网络流量和网站访问数据,并且这个“后门”被激活后可以远程对iPhone设备进行网络监听,这已经不仅仅是窃取用户隐私这么简单了。”

    除此以外,乔纳森还发现了一个苹果未公开的api函数接口(api函数一般是有操作系统提供的获取特定数据的程序代码),最终发现可以通过这个未公开的api函数接口,绕过iPhone的安全机制,获取到用户手机中完整的数据信息,包括:用户账户、通讯录、短信、语音备忘录、键盘记录、GPS数据等用户隐私数据。

    7月27日,苹果公司承认存在“安全漏洞”。苹果表示,公司员工可以通过一项未曾公开的技术获取iPhone用户的短信、通讯录和照片等个人数据。但苹果同时强调,该功能仅向部分特定人员提供所需信息,在获取这些受限制的诊断数据之前,需要用户授权并解锁设备。

    危害到底有多大?可能影响国家安全!

    过去,信息往往是按照重要性划分安全级别。安全级别越高,防护措施越好。但是在大数据时代,泄密的往往不是哪些关键性的保密数据,而是一些普通的日常性信息。但看起来毫无关联的海量地理数据,经过分析,就可得知机主的职业、住址、账单……若锁定涉密人群,就可能影响国家机密安全。

    美国苹果公司在2013年11月5日曾发表报告承认,苹果公司对美国提出的88%的涉及具体设备的请求提供了信息。苹果这份报告无异推翻了此前自己所宣称的“除非用户明确同意将当前的地理信息提交给第三方,不然会严格保密”这一说法。“尽管苹果公司始终宣扬为了大数据采集、为了未来技术创新,但我认为,即使这种行为本身基于善意的目的,对用户隐私及权利也是一种极大的侵犯。甚至,可能将公民个人信息集中后,提供给软件商、广告商甚至是国家情报机构。”

    俄罗斯媒体报道,俄罗斯向苹果公司和SAP公司提议,希望他们向俄政府开放源代码,以确保他们的产品不会成为监控俄罗斯国家机构的工具。“公民个人的信息安全不是小事情,从商业角度看可能只是用户行为的大数据收集与分析,但是如果放在国家安全的角度上看,这种信息泄露可能一不小心就成了危害国家安全的‘不定时zha dan’”。

    其实很多市民对自己信息保护意识都不强,觉得自己又没什么隐私,没必要关注这些信息安全问题!”但是现在智能手机中通常都记录了机主的身份证信息、手机号码、邮件、银行卡号及密码、照片、通讯录、聊天记录、消费记录、账单、家庭信息、房屋信息、物理位置等等。“这些信息的珍贵程度不亚于钱包里的钱,丢信息比丢钱包往往能造成更大损失。”从警方侦破的很多zha pian 案件中可以发现,不少电话和网络zha pian都源于个人信息外泄。

    对于个体而言,这是一种隐私泄露,但上升到国家的角度来看,这些后门既然可以分析出一个人的轨迹,就能分析出上亿人群的轨迹,这就可能会涉及到整个行业、经济、民生状况。如果锁定了涉密人群,如供职于国家某涉密单位的公职官员们,都使用这个满是泄密后门的手机,这个问题的严重性可想而知……皮之不存,毛之焉附?我希望这篇文章可以敲响广大国人信息安全的警钟!要知道一个没有信息安全的国家,不用坚船利炮就能被瞬间摧毁!

    转自:联软科技企业新闻 http://www.leagsoft.com/news/p/1214

文章评论

如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
我是如何打败拖延症的
我是如何打败拖延症的
每天工作4小时的程序员
每天工作4小时的程序员
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
漫画:程序员的工作
漫画:程序员的工作
为什么程序员都是夜猫子
为什么程序员都是夜猫子
编程语言是女人
编程语言是女人
程序员的鄙视链
程序员的鄙视链
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
如何成为一名黑客
如何成为一名黑客
鲜为人知的编程真相
鲜为人知的编程真相
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
旅行,写作,编程
旅行,写作,编程
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
Java程序员必看电影
Java程序员必看电影
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
老程序员的下场
老程序员的下场
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
程序员应该关注的一些事儿
程序员应该关注的一些事儿
程序员和编码员之间的区别
程序员和编码员之间的区别
我的丈夫是个程序员
我的丈夫是个程序员
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
 程序员的样子
程序员的样子
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
代码女神横空出世
代码女神横空出世
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
那些争议最大的编程观点
那些争议最大的编程观点
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
10个调试和排错的小建议
10个调试和排错的小建议
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员都该阅读的书
程序员都该阅读的书
总结2014中国互联网十大段子
总结2014中国互联网十大段子
程序员必看的十大电影
程序员必看的十大电影
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有