用户不知情且无法禁用谁来保障指尖上的信息安全?
苹果公司继被曝收集用户详细行踪后,又再次被曝故意留“后门”提取iPhone用户的短信、通讯录和照片等个人数据。苹果iOS系统被业界视为最安全的移动终端操作系统,iPhone缘何深度获取用户隐私?指尖上的“安全事故”缘何高发?如何降低用户数据泄露风险?新华社“中国网事”记者就此进行了调查。
iOS取证科学家、安全研究员乔纳森·扎德尔斯基(JonathanZdziarski)近日发现,苹果公司员工通过一项此前并未公开的技术,可提取iPhone中短信、通讯录和照片等个人数据。
苹果7月23日最新修订过的一份声明中承认了这一问题的存在。声明中称:“我们设计开发了iOS,其诊断功能不会对用户隐私和安全带来影响,但该功能向企业的IT部门、开发者和苹果维修人员提供所需信息,在获取这些受限制的诊断数据之前,需要用户解锁设备,以及获得该解锁电脑的授信。”这是苹果首次公布这一“后门技术”的基本信息。
扎德尔斯基通过其个人网站详细阐述了他的发现,并于当地时间7月25日对苹果的回应进一步回应。他认为,这些“后门”服务可以突破加密的备份文件,并获取用户数据,而且,这些“后门”并非是开发者或运营商用来测试网络或调试应用的。
扎德尔斯基的这一发现,引发业界关于苹果公司是否与美国国家安全局(NSA)存在合作的猜测。国内知名网络安全厂商一位不愿具名的专家说,从理论上讲,只要iPhone用户把手机与电脑相连,并授权电脑读取手机中的数据,黑客或其他人员就可以利用该技术通过电脑绕开备份加密,获取iPhone中的信息。
苹果公司中国区公关部门相关负责人接受新华社“中国网事”记者采访时表示,针对这一事件,苹果公司目前没有具体的细节公布。
如果有进一步情况,会进行公开披露。
事实上,用户位置信息被收集等手机泄露隐私现象屡被曝出,并不新鲜。而此次问题的严重性在于,用户的知情权并未得到尊重。
扎德尔斯基说,苹果公司在说明中没有提到这些“后门”,用户对此不知情,且无法禁用这项功能。
北京市汇佳律师事务所主任邱宝昌说,手机用户享有知情权、选择权、信息安全权等,当合法权益被侵害时,可以通过法律诉讼等多种手段维护合法权益。
冯小刚电影《手机》里的一句经典台词成为现实:“当手机里藏满鬼的时候,手机不再是手机,而是手雷。”有网友戏称:“亲,还敢用iPhone偷偷自拍艳照、发暧昧短信吗?不用另一半查岗了,苹果公司义务代劳了。”一名网络安全人士说,黑客在控制一台电脑后,通过苹果iOS系统中的几个具有安全漏洞的程序,就可以获取连接这台电脑的iPhone手机上的数据,包括照片等。苹果这份声明中所指的“授信”非常容易被用户所忽视,一般会直接点击确认。
网络安全界知名“白帽子”、知道创宇副总裁余弦等安全业界专家指出,尽管如此,仍不能否认苹果未越狱iOS系统是安全性最高的。与此同时,必须意识到,安全性顶尖的操作系统尚且如此,其他智能终端厂商同样无法给予用户隐私百分之百的保障。
专家指出,没有信息安全,就没有国家安全。事实上,为保护信息安全,多国都出台了相应法律法规,中国更需加强移动互联网时代的信息安全。
据了解,2011年,近3万名韩国苹果手机用户起诉苹果公司未经同意擅自收集用户位置信息,几个月后一名用户胜诉。不仅如此,韩国还向苹果公司开出了罚单。
互联网实验室创始人方兴东也建议,可要求党、政、军以及重要关键岗位的人员不得使用苹果手机,而使用经国内安全部门安全加固过的手机。
方兴东解释说,从国家安全角度,政府部门应让苹果公司给予充分的说明和解释,促使有公信力的第三方进行评估,并找到妥善的解决办法。
“政府的重视才能根本改变苹果公司轻描淡写的回避政策,真正为‘沉默的大多数’利益着想。”此外,中国手机操作系统的国产化进程应该提上日程,有步骤、有策略地开始实施。
“漏洞的发现永无止境,黑客的偷袭攻击也源源不断。
相比从技术上进行防御和发现,更需从法律法规上加强监管预防。”徐云峰说,这类问题技术无法完全解决,只有靠法律、管理和伦理,安全评估和网络安全审查制度是基础,法律认定方面也需要有资质的权威第三方进行评估和审定。
相关文章
- 2条评论
- 痛言唔猫2022-06-01 12:33:44
- 上,用户位置信息被收集等手机泄露隐私现象屡被曝出,并不新鲜。而此次问题的严重性在于,用户的知情权并未得到尊重。 扎德尔斯基说,苹果公司在说明中没有提到这些“后门”,用户对此不知情,且无法禁用这项功能。 北京市汇佳律师事务所主任邱宝昌说,手机用
- 孤鱼萌懂2022-06-01 10:27:54
- 到,安全性顶尖的操作系统尚且如此,其他智能终端厂商同样无法给予用户隐私百分之百的保障。 专家指出,没有信息安全,就没有国家安全。事实上,为保护信息安全,多国都出台了相应法律法规,中国更需加强移动互联网时代的信息安全。 据了解,2011年,近3万名韩国苹果手机用户起诉苹果公司未经同意擅自收集用户