苹果安全门折射国产系统缺位

  “WP说开放,安卓就笑了;安卓说安全,苹果就笑了。”这原本是网上的一个老段子,然而如今在安全问题上,苹果也笑不出来了。随着近期苹果iOS系统中“后门”的曝光,人们吃惊地发现,原本被认为更为安全的iPhone实际上也暗藏危机,甚至危险程度比安卓还要高。一个暗藏“后门”,一个漏洞不断,在意信息安全的用户在苹果和安卓之间,面临着两难的选择,而这种无奈,也折射出手机国产操作系统缺位的现状。

  在此之前,谈到智能手机的安全性,人们将主要的火力集中在安卓系统身上,而苹果的iOS由于封闭性和对应用的严格审核机制,一向被认为较为安全。尽管也曾经因收集用户位置信息等遭受质疑,但这种在智能手机中普遍存在的现象并不能说明什么问题。然而,当iOS中的“后门”被公布于众的时候,苹果一直极力营造出的“安全”形象,瞬间荡然无存。

  日前,在“黑客大会”上,知名iOS黑客、早期iOS越狱开发团队成员乔纳森·扎德尔斯基对外披露了iOS中存在的若干“后门”,并展示了在特定的情况下如何利用这些“后门”获取到用户的个人信息。事实面前,苹果公司也不得不承认,该公司员工确实可以通过一项未曾公开的技术获取iPhone用户的短信、通讯录和照片等个人数据。

  虽然苹果公司辩解称,这个技术是为诊断功能服务的,只是为了向企业信息部门、开发者和苹果公司提供故障信息,不会对用户隐私和安全带来影响。但乔纳森随后指出,利用iOS中的“后门”,美国执法机构或者其他恶意组织完全可以在用户不知情的情况下,通过无线网络监测用户的信息。

  不管苹果公司如何解释,一个不争的事实已经摆在人们眼前,那就是iOS中确实存在着“后门”。移动计算与移动信息安全专家邹仕洪表示,从已经曝光的情况看,iOS中存在的安全问题,并不是简单的系统漏洞,很明显是苹果有意植入系统中的功能。基于这一事实,人们不由会担心:仅仅为了故障诊断是否有必要在系统中留下“后门”?除了苹果,谁还能够利用到这些“后门”?除了已经被发现的,iOS中是否还有更多不为人知的“后门”?“由于iOS的完全封闭性,这些信息只有苹果自己才知道。”邹仕洪说道。

  安卓系统漏洞成家常便饭

  与刚刚暴露的苹果iOS不同,谷歌的安卓系统则一直被各种安全问题所困扰。

  “与苹果此次的‘后门’事件不同,安卓的一个重要安全威胁是系统漏洞。‘后门’是厂商有意植入的,而漏洞则是无意的。因为安卓系统是完全开源的,它的源代码是公开的,不大可能存在‘后门’而不被人所发现。”邹仕洪说道。

  实际上,自打安卓系统问世,各种漏洞的曝出就成为了家常便饭。国外最新的一份研究表明,安卓系统中存在一个严重的安全漏洞,攻击者可以伪造ID,冒充可信任的App窃取用户信息,这意味着攻击者能够利用虚假App冒充Google钱包这类支付软件,窃取用户付款等财务数据,危险程度相当高。

  除了各种系统漏洞,安卓的另一大威胁则来自恶意程序的肆虐。由于安卓系统的开源性,应用大多为免费,同时对于安卓应用也没有严格的审查机制,导致安卓平台的应用良莠不齐,充斥着大量窃取用户信息、吸费等恶意应用。360互联网安全中心最新发布的《2014年二季度手机安全状况报告》就显示,2014年二季度360互联网安全中心累计截获安卓平台新增恶意程序样本超过84万个,其中新增恶意程序样本约62.5万个,这一数据较2013年二季度同比增长381%,较2014年一季度环比增长191%。

  作为当前最主流的两大智能手机操作系统,iOS和安卓都已经被事实证明并不能保证安全性,而对于不同的使用人群来说,这两种系统使用的危险性又不尽相同。

  邹仕洪认为,对于普通的用户来说,苹果手机的安全性要更高一些,因为“后门”程序为少数人所利用,也仅为实现一些特殊目的,大多数的普通用户并没有被“后门”监控的价值。但对于党政军内的公职人员、科研单位等掌握重要信息的人员来说,苹果的“后门”就要危险得多,其威胁性远大于安卓。

  在“后门”之外,iPhone的另一大威胁则是电池的不可拆卸。在电影《窃听风云》中,有这样的情节,警方通过被监控对象的手机可以锁定目标的位置,同时还能激活已经关机的手机,将手机变成“窃听器”,监听目标的对话。据手机技术人员介绍,这样的情节并非虚构,现实中完全可以做到,而避免的方式只有取出手机电池。而iPhone和其他一些手机,其电池就被设计成不可拆卸,这也使得这些手机容易被定位甚至被远程操控。

  浙江传媒学院互联网与社会研究中心主任方兴东就撰文公开表示,苹果手机是硬件、软件和云服务等完全一体化的封闭系统,外部企业和安全厂商无法插手,对于潜在的安全问题只有苹果单方面的说辞,很难进行公开透明的有效评估和改进完善。从国家安全的角度,党政军以及重要关键基础设施的人员,应该禁止使用苹果手机。这一观点也得到了很多通信行业专家的支持。

  方兴东表示,公职人员应该换用国产手机,因为国产手机目前基本使用谷歌的安卓系统,安卓相对开放,提供大量源代码,可以通过实施二次开发、安全“加固”等措施,一定程度上提升安全性。邹仕洪也认为,通过对安卓系统的深度开发与打补丁,可以弥补安卓自带的一些漏洞,提高其安全系数。

  信息系统“后门”分为四类

  第一类:系统为后台服务设置的接口,供后台操作使用。

  第二类:被称作“特洛伊木马”,是设计人员故意在系统中留下的隐患,如木马或恶意程序。

  第三类:设计人员的认知能力有限,导致系统存在缺陷,使黑客能利用这类缺陷进入系统。

  第四类:系统的脆弱点在黑客的强力攻击下被攻破。

  □应对:要求“苹果”开放源代码

  苹果手机曝出“后门”,受到安全威胁的并不仅仅只有中国。在上周,俄罗斯通讯和大众传媒部长尼古拉·尼基福罗夫就在与苹果驻俄高管会谈时提到,希望苹果向俄政府开放产品的源代码,以确保他们的产品不会成为监控俄罗斯国家机构的工具。俄方表示,该提议旨在确保消费者和企业用户的权益,以保证他们的个人数据隐私不受侵犯,同时也是为保护国家安全利益。

  我国的一些行业人士也建言,我国相关部门也应该效仿俄罗斯,要求苹果通过开放源代码来自证清白。

  中国移动互联网产业联盟秘书长李易表示,虽然国内一些媒体和机构也屡屡质疑过苹果的安全问题,但一直没有上升到国家安全的层面,国家相关部门对此的管理力度也过弱。

  李易建议,我国政府应该在此事上“较真儿”,以更严厉的态度约谈苹果公司的高层,展示出更为强硬的态度,要求苹果提供源代码,同时作出明确的规定,什么样职务的人应该禁用苹果手机。“在这方面是有成功先例的,政府的压力之前就使得微软、英特尔部分开放了源代码,而苹果在压力面前也势必会有所反应。”

  不过邹仕洪则认为,开放源代码也并非万全之策。一方面苹果不可能把所有源代码完全公开,另外,苹果的iOS系统会不断更新升级,很难掌握每一次升级后的“后门”情况。

  发展国产操作系统

  在对待手机操作系统的态度上,方兴东认为,目前虽可以支持国产厂商经过二次开发的安卓系统,而最终,推进中国自主可控的国产手机操作系统,才是长治久安的对策。

  中国是否需要搞自主的手机操作系统,一直争议较大。有观点认为,在苹果和谷歌已经完成圈地的竞争格局下,新的操作系统已经很难再建立起自己的生态链,微软的WP系统多年来一直难以实现突破,而三星计划中的Tizen系统也一再推迟发布,都说明一种新的移动操作系统想要冲出苹果和谷歌的包围,是非常困难的。不过李易表示,这件事还是要做的,而且越早做越好。

  实际上,我国一些企业近年来也陆续推出过一些号称自主的智能手机操作系统,如当年中国移动力推的OPhone、阿里推出的阿里云OS、同洲电子的960OS,再加上众多厂商在安卓基础上二次开发来的各种ROM,但是这些所谓的“国产系统”都远未达到能与苹果、谷歌正面抗衡的程度。

  一家致力开发国产手机操作系统的国内企业负责人曾向记者诉苦,无论是苹果的iOS还是谷歌的安卓,都是集中了全球最顶尖的技术人才、海量资金投入的产物,而国内任何一家企业都不具备这种人才和资金的实力。而政府的支持主要采用企业立项、政府予以部分资金扶持的方式,这也使得不少企业纷纷立项,获得政府资金后仓促搞出一个东西。“这种撒胡椒面的方式,让国家钱没少花,但没有搞出一个像样的东西出来。”该负责人称。

  李易表示,想要做成这件事,应由政府出巨资,把华为、中兴、联想这些企业的核心研发力量都集中起来,如果单靠企业自己去搞,是不可能成功的。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:脆弱的安全防线——中国网络安全保卫战