美老牌黑客甩證據(jù) 蘋果被迫承認留有“后門”

　　●7月18日

　　知名iOS黑客、早期iOS越獄開發(fā)團隊成員喬納森·扎德爾斯基展示了如何通過一些此前并未公開的“后門程序”，攫取iPhone 和iPad中短信、通訊錄和照片等個人數(shù)據(jù)，震驚全世界。并引發(fā)業(yè)界關于 蘋果 公司是否與美國國家安全局存在合作的猜測。

　　●7月23日

　　蘋果公司在回應中首次提到“后門程序”基本信息，稱iOS診斷功能向企業(yè)的IT部門、開發(fā)者和蘋果維修人員提供所需信息。而在1月時，其還對沸沸揚揚的美國國家安全局通過“后門”侵入iPhone事件百般抵賴。

　　●7月24日

　　“后門”事件使蘋果公司再次面臨訴訟——華人女性馬晨在美法院提起訴訟，代表個人及其他1億iPhone用戶起訴蘋果手機利用定位信息獲取用戶資料，侵犯用戶隱私。案件將于2015年1月12日開庭審理。

　　●7月25日

　　扎德爾斯基在其個人網(wǎng)站上回應蘋果公司的辯解，稱這些“后門程序”可以突破加密的備份文件，并獲取用戶數(shù)據(jù)，而且這些“后門程序”并非是開發(fā)者或運營商用來測試網(wǎng)絡或調試應用的。

　　●7月30日

　　據(jù)路透社報道，俄羅斯通信部長尼古拉·尼基甫洛夫表示，蘋果公司應提交源代碼，以證明其產(chǎn)品不存在可用于對俄羅斯機構展開間諜活動的“未公開能力”。而公開源代碼相當于讓外界知道自家系統(tǒng)或程序的工作原理。

　　[新聞背景]

　　蘋果設備上如何“攫取數(shù)據(jù)”

　　晨報記者 俞潔

　　馮小剛電影《手機》里有一句經(jīng)典臺詞：“當手機里藏滿鬼的時候，手機不再是手機，而是手雷�！�

　　在7月舉行的全球“黑客大會”上，知名iOS黑客、早期iOS越獄開發(fā)團隊成員喬納森·扎德爾斯基展示了如何從蘋果設備上攫取數(shù)據(jù)，這位老牌黑客拉響的蘋果“手雷”震驚全世界。蘋果公司隨后不得不承認自家的產(chǎn)品留有“后門”，這引發(fā)業(yè)界關于蘋果公司是否與美國國家安全局(NSA)存在合作的猜測。

　　老牌黑客咬了蘋果一口

　　7月18日至20日，美國紐約。

　　全球頂尖黑客齊聚一堂，喬納森·扎德爾斯基在大會上通過幻燈片的方式，演示了蘋果公司“后門程序”的運作原理，通過這些此前并未公開的“后門程序”，可提取iPhone和iPad中短信、通訊錄和照片等個人數(shù)據(jù)，換句話說，可利用“后門程序”通過“授權”電腦繞開備份加密，進入已聯(lián)網(wǎng)的iPhone和iPad中。

　　扎德爾斯基著重指出了三個隱患較大的“后門程序”，首先是“file_relay”程序，其最早出現(xiàn)在iOS 2中，在后來的版本中不斷擴充。扎德爾斯基說，這一程序完全繞開了iOS的備份加密功能，能泄露大量隱私，包括用戶的地址簿、日志、剪貼板、日程表、語音郵件、地理位置以及用戶在 Twitter 、iCloud的數(shù)據(jù)等。

　　另外兩個“后門程序”“pcapd”和“house_arrest”可以被程序開發(fā)和維修人員合法調用，但也可能被其他機構利用。比如“pcapd”程序就可以通過無線監(jiān)控設備的所有網(wǎng)絡進出流量，而且在非開發(fā)和維修模式下也可以實現(xiàn)這一點；而“house_arrest”程序則可以從Twitter和 Facebook 等應用程序上復制隱私文件。扎德爾斯基說，這三個“后門程序”存在于6億臺iPhone和iPad 的操作系統(tǒng)內(nèi)，通過這些“后門”可以獲取大量的用戶個人信息。

　　蘋果iOS系統(tǒng)被業(yè)界視為最安全的移動終端操作系統(tǒng)，在被老牌黑客狠狠咬了一口后，蘋果公司不得不于7月23日通過一份聲明作出回應。聲明稱：“我們設計開發(fā)了iOS，其診斷功能不會對用戶隱私和安全帶來影響，該功能向企業(yè)的IT部門、開發(fā)者和蘋果維修人員提供所需信息，在獲取這些受限制的診斷數(shù)據(jù)之前，需要用戶解鎖設備，以及獲得該解鎖電腦的授信�！�

　　蘋果首提“后門程序”基本信息

　　這是蘋果公司首次提到“后門程序”的基本信息，而在今年1月時，蘋果公司還對當時沸沸揚揚的美國國家安全局(NSA)通過“后門”侵入iPhone事件百般抵賴。蘋果當時說：“我們從未與NSA合作，在包括iPhone在內(nèi)的任何產(chǎn)品中設置‘后門’。此外，我們并不知道這個所謂的NSA計劃以我們的產(chǎn)品為目標�！�

　　對于蘋果公司23日的辯解，扎德爾斯基25日在其個人網(wǎng)站上表示，這些“后門程序”可以突破加密的備份文件，并獲取用戶數(shù)據(jù)，而且這些“后門程序”并非是開發(fā)者或運營商用來測試網(wǎng)絡或調試應用的。

　　另一名不愿透露姓名的網(wǎng)絡安全人士說，黑客在控制一臺電腦后，通過蘋果iOS系統(tǒng)中的幾個具有安全漏洞的程序，就可以獲取連接這臺電腦的iPhone 手機上的數(shù)據(jù)，包括照片等。蘋果公司這份聲明中所指的“授信”非常容易被用戶所忽視，一般會直接點擊確認。

　　事實上，手機泄露隱私現(xiàn)象屢被曝光，并不新鮮，而此次問題的嚴重性在于，用戶的知情權并未得到尊重。蘋果公司之前從來沒有對公眾提及這些iOS程序，而且用戶根本無法關閉這些程序。對于iPhone和iPad用戶來說，他們不知道究竟有多少臺“授信”電腦可以進入到自己的設備中，以及如何阻止這些連接。

　　疑與美國國安局存在合作

　　扎德爾斯基的這一發(fā)現(xiàn)，引發(fā)業(yè)界關于蘋果公司是否與美國國家安全局(NSA)存在合作的猜測。分析人士認為，既然開發(fā)者可以使用，那么執(zhí)法機構和情報機構也能利用這些“后門”。

　　去年，美國“棱鏡門”揭秘者愛德華·斯諾登就曾表示，美國國安局可以在iPhone關機的情況下通過麥克風監(jiān)聽用戶。該說法隨后也得到專家證實。

　　美國洛杉磯硬件工程師埃里克·麥克唐納表示，當手機關機時，雖然看似電源已切斷，但實際上手機進入了低能耗模式，只有關鍵的通訊芯片仍處于活躍狀態(tài)。這種“假死”狀態(tài)使得手機仍可接收指令，包括激活麥克風的指令。

　　“屏幕仍是黑屏狀態(tài)，你按下按鈕也不會有任何反應，但基帶(移動電話功能)仍在運行，或者定期打開，”麥克唐納說，“很難判斷手機是否已經(jīng)被侵入。”

　　此外，斯諾登披露iPhone故意設計電池拔不出，也是安全漏洞之一。

　　“后門”事件使蘋果公司再次面臨訴訟。據(jù)美國媒體報道，一位名叫馬晨的華人女性已在美國加州圣何塞法院向蘋果公司提起訴訟，代表個人及其他1億iPhone用戶起訴蘋果手機利用定位信息獲取用戶資料，侵犯用戶隱私。馬晨已于當?shù)貢r間7月24日遞交訴訟書。案件將于2015年1月12日開庭審理。

　　原告在訴訟書中提到，iOS系統(tǒng)沒有向用戶提供“有效”的方法來關閉定位服務，還稱蘋果公司已經(jīng)向包括美國政府在內(nèi)的第三方機構提供了用戶的相關信息。美國政府已經(jīng)向蘋果公司發(fā)送超過1000次獲取信息的請求。

　　“蘋果之前希望大家淡忘這件事情，這次自己承認了，而且收集的信息源遠超過所需要的，消費者個人因為法律不完善起訴很麻煩，那么政府就應該有所作為，能夠讓蘋果嚴肅認真的對待這個問題，而不是簡單發(fā)個聲明。

　　制度和技術缺一不可，中國現(xiàn)有的法律，對蘋果手機后門幾乎沒有威懾力。我們要通過蘋果后門這個事件推動立法，最終要約束所有的廠商，要和國際通行的準則一致�！�

　　公職人員應禁用蘋果手機

　　晨報記者 張佳昺

　　“公職人員應禁用蘋果手機”，7月28日發(fā)表于《環(huán)球時報》的這篇文章再次讓作者 方興東 以多年不見的“國際IT巨頭斗士”形象出現(xiàn)在了公眾面前——1999年，方興東以一本《起來——挑戰(zhàn)微軟霸權》而成為當時最新銳的IT青年。十多年后，當國家工商總局終于對 微軟 開始進行反壟斷調查之時，方興東卻已經(jīng)將矛頭指向了另一家IT巨頭蘋果——“挑戰(zhàn)”的對象雖然改變，但是不變的卻是其十多年如一日對國家信息安全的關注。

　　公職人員應禁用蘋果

　　由于美國安全專家喬納森·扎德爾斯基的揭露，蘋果公司在7月下旬被迫承認iPhone手機系統(tǒng)中留有“后門”，可以通過未公開的技術，提取用戶個人深層數(shù)據(jù)，包括短信、聯(lián)系人列表和圖片等。這一事件很快引起全球用戶的關注，因為這意味著只要蘋果公司愿意，可以不知不覺中偷走任意用戶的隱私。

　　7月28日，方興東受邀為《環(huán)球時報》撰寫了《 公職人員應禁用蘋果手機 》一文。在這篇文章中，方興東指出，“可以要求黨政軍以及重要關鍵基礎設施的人員，禁止使用蘋果。因為蘋果手機是硬件、軟件和云服務等完全一體化的封閉系統(tǒng)，外部企業(yè)和安全廠商無法插手，對于潛在的安全問題只有蘋果單方面的說辭，很難進行公開透明的有效評估和改進完善。”

　　“我很早就開始懷疑智能手機的安全問題了。”方興東在接受記者采訪時說，早在2008年，他就已經(jīng)關注到智能設備的安全隱患了——而當時讓其警覺到這一問題的，正是多年的老對頭微軟。2008年，微軟中國宣布從當年10月20日起所有沒有通過正版驗證的 Windows XP系統(tǒng)的系統(tǒng)桌面背景將自動變?yōu)榧兒谏�，即使用戶更改，�?0分鐘也將變回黑色，這一舉動后來被稱為“黑屏事件”。

　　操作系統(tǒng)廠商可以在遠程改變你的桌面，這一現(xiàn)實讓方興東意識到了信息“后門”的巨大隱患，雖然當時他并沒想到多年后這一隱患會因為“棱鏡門”而廣為人知。那時候，方興東率先關注的是操作系統(tǒng)，是為整個互聯(lián)網(wǎng)提供基礎連通的路由器，這些的主流供應商均為外國廠商。

　　然而，伴隨智能手機的普及，他越來越關注到手機信息安全的隱患�！癙C個人電腦更多還只是文件處理，但手機是一個個人智能設備，許多人24小時不離身，通過手機隨時可以知曉他在什么地方，這些數(shù)據(jù)的戰(zhàn)略程度，遠比原來操作系統(tǒng)更關系國家安全�！狈脚d東說。

　　由于平日和許多安全廠商接觸，所以方興東和他帶領的互聯(lián)網(wǎng)實驗室很早就懷疑蘋果等智能手機存在安全隱患，只是無法證實。但即使如此，他從不往提醒公眾潛在的危險，所以在2013年“棱鏡門”爆發(fā)后，他撰文指出“從戰(zhàn)略角度考慮網(wǎng)絡安全重要性”，而在2014年年初斯諾登披露美國國家安全局可以將蘋果手機轉換為竊聽工具后，就以《i-Phone成竊聽器？需蘋果更有力澄清》表示質疑。

　　當懷疑最終變成了事實，于是便有了7月28日的那篇文章�！疤O果之前希望大家淡忘這件事情，這次自己承認了，而且收集的信息源遠超過所需要的，消費者個人因為法律不完善起訴很麻煩，那么政府就應該有所作為，能夠讓蘋果嚴肅認真的對待這個問題，而不是簡單發(fā)個聲明”，方興東如此解釋他撰寫《公職人員應禁用蘋果手機》的初衷。

　　一直勸大家不要用蘋果

　　“公職人員應禁用蘋果手機”，在方興東看來，這一人群除了公務員外，還包括民航、交通、能源、廣電等領域的“重要關鍵基礎設施的人員”，畢竟這些行業(yè)出問題，也會影響老百姓的生活。

　　當然，具體到實施上，方興東并不認為要一刀切，而是應該分步走。畢竟全國有數(shù)千萬公職人員，涉及到如此范圍廣大的人群，而且還要考慮信息安全問題，即使改用國產(chǎn)手機，同樣還有一個安全性測試以及安全加固的過程�！翱梢苑植阶�，但是態(tài)度要拿出來！”方興東說。

　　雖然在大眾媒體撰文時，方興東只是建議公職人員禁用蘋果手機，但其實在個人生活中，他同樣會勸身邊的朋友不要用蘋果手機，而在這次接受記者采訪時，他更建議廣大讀者能不用iPhone就不用，而他自身更是從來沒有用過iPhone�！斑@是一個基本價值觀的問題，我不喜歡封閉的系統(tǒng)，互聯(lián)網(wǎng)是開放分享的，你送一個iPhone給我，我也不會喜歡用”，方興東將不用iPhone上升到了價值觀的高度。

　　當然，價值觀之外，他也不否認信息安全也是他考量的因素，“蘋果一個廠商做，而安卓手機則是開放的，許多廠商做，互相競爭，干壞事風險很大，就不容易干壞事了。手機又不像操作系統(tǒng)，使用起來差不多，切換成本很低，完全可以改用安卓手機�！狈脚d東說。

　　方興東從來不用iPhone，眼下他用的是一臺三星的安卓手機，并計劃過段時間換成華為的新機。雖然他再三強調換機器只是出于純粹產(chǎn)品的考量與信息安全無關，但是在被問及公職人員適合用哪種國產(chǎn)手機的時候，他也不否認自己對華為的看好，“畢竟華為手機的CPU芯片也是自己的，通訊芯片也是自己的�！狈脚d東說。

　　網(wǎng)絡安全立法應該跟上

　　雖然建議公職人員使用國產(chǎn)手機，但是方興東并不認為這就足夠了，“制度和技術缺一不可”，他呼吁中國的網(wǎng)絡安全立法應該跟上，“目前中國現(xiàn)有的法律，對蘋果手機‘后門’幾乎沒有威懾力。我們要通過蘋果‘后門’這個事件推動立法，最終要約束所有的廠商，要和國際通行的準則一致�！�

　　事實上，早在7月12日，蘋果尚未承認“后門”之前，方興東領導的互聯(lián)網(wǎng)實驗室就主辦了中國網(wǎng)絡安全立法研討會，專門探討這一問題。在研討會上，復旦大學國際關系與公共事務學院副教授沈逸指出：從某種意義上來說，中國現(xiàn)行的相關法律，是在單機以及桌面互聯(lián)網(wǎng)時代的早期建立、發(fā)展和完善起來的；在全球進入移動互聯(lián)時代之后，系統(tǒng)的、從國家戰(zhàn)略視角出發(fā)、而非部門或局部出發(fā)的網(wǎng)絡安全立法，仍然是非常稀缺的。與中國在全球網(wǎng)絡空間行動和利益的拓展，與中國和其他國家已經(jīng)開展的復雜博弈，存在比較嚴重的滯后與脫節(jié)。

　　在方興東看來，可以通過立法要求蘋果將為中國用戶服務的手機數(shù)據(jù)中心放在中國，同時通過立法規(guī)定相關數(shù)據(jù)的跨境流動規(guī)范，哪些數(shù)據(jù)可以流出中國哪些可以流入，都可以通過法律來限定。“這樣即使蘋果有數(shù)據(jù)(違法)傳回美國，后面就可以按照法律去懲治了�！狈脚d東說。

　　方興東其人

　　看到方興東，很多人的第一印象就是溫文爾雅的書生。是的，雖然方興東也曾創(chuàng)業(yè)過，擔任過博客中國的CEO，融資過1000萬美元，但這依然難以改變他在別人心目中“書生”的印象，這只能怪其作為一個書寫者，在中國IT發(fā)展歷史上留下的太過濃重的一筆。

　　方興東1969年出生于義烏，在西安交通大學獲得工科學士和碩士學位之后，考入清華，攻讀高電壓技術領域的博士學位。不過，方興東最終并未成為方博士，1999年他撰寫的一系列文章，讓其成為了中國IT 史跳不過的一個重要人物。

　　那一年，微軟在國內(nèi)力推名為“維納斯”的電視機頂盒業(yè)務，主打電視上網(wǎng)，當時看好者眾多。然而，方興東3月在《南方周末》上發(fā)表了《“維納斯計劃”福兮禍兮？》一文，指出，“若讓微軟獨占，控制了標準，我們的產(chǎn)業(yè)將再次被擠入食物鏈的底層，將永遠呆在產(chǎn)業(yè)的下游茍延殘喘。把主動權交給過于貪婪的廠商，中國企業(yè)必將背上沉重的包袱；　在信息化路上，中國老百姓也因此要付出更大的代價”。“當時大家對微軟歡聲一片，只有很少幾個人意識到一枝獨秀的微軟會給中國的軟件業(yè)帶來什么�！�

　　當年5月，方興東將此前兩年的研究所得和其他一些作品匯編組成了 《起來——挑戰(zhàn)微軟霸權》一書，這可以說是對1999年那并未被太多人關注的IT產(chǎn)業(yè)影響最重要的一本作品。當年9月，方興東選擇休學，發(fā)起創(chuàng)建國內(nèi)第一家專業(yè)的互聯(lián)網(wǎng)研究和咨詢機構——互聯(lián)網(wǎng)實驗室，任董事長兼首席分析家。

　　在這之后，作為“微軟斗士”的方興東逐漸被人們淡忘，而作為“博客教父”的方興東卻為人熟知。2002年，方興東和合作者王俊秀最先將Blog翻譯成“博客”。此后，他還撰寫了《中國博客宣言》，將博客比喻成信息時代的麥哲倫。在宣言的最后，方興東高呼：“博客文化能引領中國向知識社會轉型，博客關懷能開啟一個負責的時代。”再后來，方興東成立了“博客中國”，并于2005年獲得了1000萬美元的風險投資，在最巔峰時“博客中國”全球排名60多位，當時壯志滿滿的方興東還喊出“一年超 新浪 ，兩年上市”的壯志。

　　很可惜，高調的表態(tài)，也引發(fā)了業(yè)內(nèi)巨頭的窺伺。新浪隨后推出博客2.0公測版并通過名人效應迅速在博客領域“圈地”，而方興東的“博客中國”卻泯然眾生。

　　沉寂多年的方興東，在2014年再度“紅火”了一把，在他當年那本《起來——挑戰(zhàn)微軟霸權》出版整整15年后，國家工商總局終于對微軟開始進行反壟斷調查。“和國家戰(zhàn)略發(fā)展有關，當年發(fā)展為主，現(xiàn)在則是從發(fā)展到安全”，方興東如此看待這遲到15年的觀點認可。