科技新報/iOS 系統藏後門 蘋果稱不爲政府所用
iOS 越獄駭客 Jonathan Zdziarski 曝光蘋果 iOS 系統存在後門,可以在用戶不知情的狀況下獲取訊息,蘋果公司承認 iOS 存在一些未告知使用者的服務,第三方可以直接連上受認證裝置,這些服務只是爲了幫助用戶檢測產品的運作狀況。
Jonathan Zdziarski 曾是 iOS 越獄團隊的成員,發表過多部與 iOS 開發技術相關的圖書。 2014 年 7 月 22 日 Jonathan 透露 iOS 系統存在着後門,受影響的有 6 億 iPhone 和 iPad 使用者,透過後門可以獲得用戶的個人訊息,將這些訊息傳輸到受認證的裝置中,在實際使用狀況下使用者一旦使用 USB 線連接將手機與電腦相連,電腦成爲手機的受認證裝置,用戶登錄後訊息未加密,同一網路下的裝置就有可能直連手機儲存的訊息,其中共涉及 44 種資料,包括通話紀錄、照片、郵件、GPS 位置數據等,這些後門顯然達到了數據監控的等級。
蘋果公司對 iOS 藏後門的問題一向是堅決否認,這次卻罕見承認 iOS 中確實有一些未向使用者公開的服務,蘋果公司的聲明中公開了三個「後門」,將其稱之爲 iOS 的系統協助功能,透過這些服務 iPad 和 iPhone 的使用者可以幫助 IT 部門、AppleCare 檢測產品故障。
Pcapd(com.apple.mobile.pcapd)可以將 iOS 裝置上檢測產品運行所需的數據傳輸到任何一臺受認證裝置中,用於檢測 iPhone 和專屬網路的連接;File-replay(com.apple .mobile-.file_relay)則是使用者複製檢測產品運作的訊息,獨立產生訊備份文件,iOS 資料保護可限制 File-replay 獲取的消息範圍,蘋果工程師用這一「後門」驗證使用者的設定,Apple Care 服務可在使用者許可的狀況下獲取手機的運作數據;house_arrest(com.apple.mobile.house_arrest)用於 iTunes 調用 iOS 裝置與 App 之間收發的文件。
蘋果公開了被指爲後門三個程式,同一個網路下的其他裝置存在連線 iOS 裝置的可能性,調用以上程式就可以獲取使用者的個人訊息,蘋果特別說明這些行爲都必須經過使用者許可才能夠發生,更爲重要的是這些未公開的服務不是爲政府服務的。
題圖來自 Apple denies creating an iOS ‘backdoor’ for the government: Hidden files discovered in iPhones leave devices open to surveillanceiOS ‘backdoor’ entry is real, says Jonathan Zdziarski. Not for NSA, says AppleApple denies installing iOS ‘backdoor’ services for government agencies