iOS安全专家:仍能绕过iOS设备密码获取敏感数据

  鉴于前段时间发生的好莱坞女星iCloud账户“艳照泄漏”事件,苹果公司于近日对隐私政策进行更新,并宣称其“保护用户隐私的承诺,不会因来自政府的信息请求而动摇”,苹果CEO蒂姆·库克(Tim Cook)也亲自撰写公开信表示“我们尊重你的隐私,并使用强大的加密技术来保护它们,更以严格的政策来管理所有数据的处理方式”。

  苹果称公司未来将不会配合执法和情报机构来通过破解用户的密码而获取后者的电邮、照片和其它数据,同时还在其官方网站上针对“来自政府的信息请求”做出了单独说明:“在运行iOS 8的设备上,诸如照片、信息(包括附件)、电子邮件、通讯录、通话历史记录、iTunes内容、备忘录和提醒事项等个人数据,均受到密码保护。与我们的竞争对手不同,苹果无法绕过你的密码,所以也无法访问相关数据。因此,如果一个设备运行的是iOS 8,即便政府已经掌握了这个设备,并下令要求我们从中提取数据,我们也无法在技术上实现这样的要求。”

  多家媒体和个人隐私支持者针对苹果敢于向政府的信息请求说“不”的态度表示肯定,但知名iOS安全专家乔纳森·扎德尔斯基(Jonathan Zdziarski)表示,即便没有苹果的帮助,即便设备运行的是iOS 8操作系统,警方也仍然能够对加密iPhone进行破解,进而获得其中的敏感数据,他们所需要的就是iPhone和一台与该iPhone发生过数据交互的电脑。“我对库克先生的公开信非常认可,这确实需要一定的勇气,”扎德尔斯基在一篇博文中说道,“但是,这并不意味着执法部门一定无法获得用户的数据。”

  就在苹果发布声明后不久,扎德尔斯基就确认应通过自己的取证软件成功从一台iOS 8设备中获得了所有第三方应用的数据,其中包括Twitter、Facebook、Instagram、浏览器以及照片和视频等,具体做法就是将自己伪装成曾经与该iOS设备有过数据交互的电脑,随后即可在无需设备密码的情况下通过iTunes或iPhoto等软件获取用户的敏感数据。

  “既然我都能做到这一点,那么相信政府机构也能做到,”扎德尔斯基说道,“同时我敢肯定目前市面上至少还有三四种商业破解工具也能实现。”同时,扎德尔斯基还指出,实际上iOS 8的安全性已经得到大幅提升,苹果已经修复了多个安全漏洞,但是此次可能是忽略了iOS设备在与iTunes和iPhoto进行数据交互时也是存在安全漏洞的。

  苹果方面暂时未对扎德尔斯基的说法进行回应。

  客观地讲,苹果并没有在更新后的隐私政策中承诺iOS设备一定不会被政府机构破解,只是明确表示不会再配合政府机构去破解用户的iOS设备,单单这一立场就要比谷歌来得更加大胆和强硬,后者曾表示将会积极配合执法部门对指定的Android设备进行破解。“很明显苹果正在致力于提升对用户隐私的保护力度,相比之下Android的安全性越发令人担心,”美国公民自由联盟(ACLU)的技术专家克里斯·索霍安(Chris Soghoian)说道,“而苹果已经向大家宣布了自己的底线。”

  不过,扎德尔斯基仍警告称苹果用户不应因此而掉以轻心,“用户往往会在这种情况下误以为任何第三方都不能在未经其许可的情况下获得设备上的数据,”他说道,“至少在目前看来,尽管iOS 8在安全方面做出了较大改进,但用户的隐私数据仍然有可能会被别人获取到,所以加强防范意识还是非常有必要的。”

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:赛门铁克解析新iPhone手机可能带来的支付安全变革