蘋果又一次因為隱私安全問題被「錘」了。
近日,Amnesty International(國際特赦組織)發布報導稱,蘋果iPhone存在重大安全漏洞,不需要手機用戶點擊連結,飛馬(Pegasus)便能竊取用戶敏感數據。
一時間,輿論嘩然,不少外媒言辭激烈控訴蘋果,並要求其就該安全漏洞提出解決辦法。
「飛馬」入侵,蘋果變監控器
蘋果手機這次暴露的安全漏洞,究竟有多嚴重呢?
7月18日,Amnesty International在一份報告中指出,iPhone一旦感染NSO Group的「飛馬」惡意軟體,其便能夠自主完成收集電子郵件、通話記錄、社交媒體貼文、用戶密碼、聯繫人列表、圖片、影片、錄音和瀏覽歷史記錄等一系列操作。
除此之外,「飛馬」還能輕鬆啟動蘋果手機的攝像頭或麥克風,以此來同時捕獲用戶的新圖像和錄音,並收聽電話和語音郵件。甚至,利用「飛馬」可以準確定位該用戶目前所處位置,並實時同步其處於靜止或移動狀態——等於直接將蘋果手機變成了一部專業攜帶式監控設備。
一般而言,當蘋果手機信息中出現未知連結或釣魚連結時,只要用戶不主動點擊該連結就不會有問題,但這次的「飛馬」軟體則不同,其被發送至目標手機那一刻起,即便用戶不主動點擊該連結,也會被「飛馬」控制。
Amnesty International經過證實發現,「飛馬」可以成功入侵正在運行iOS 14.6系統的iPhone 12。
而且,根據Amnesty International公開的數據顯示,目前有超過50,000個號碼在被「飛馬」監視的列表中,而這份號碼名單由位於巴黎的非營利組織Forbidden Stories和Amnesty International共同保管。
可以確定的是,名單涵蓋了50多個國家的手機用戶。其中包括阿拉伯王室成員、65位企業高管、85位人權活動家、189位記者以及600多名政治家和大量政府官員——包括各個國家的內閣部長、外交官、軍事和安全官員。
甚至,這份「飛馬」監視的名單中還有幾位國家元首和總理——比如法國總統馬克宏、南非總統西里爾·拉馬福薩、世界衛生組織總幹事譚德塞等。
面對如此危急的形勢,蘋果方面一直拖到7月20日凌晨,才推出iOS 14.7系統。至於iOS 14.7系統是否能夠阻止飛馬的入侵,目前尚未可知。
問題到底出在哪裡?
大多數專家都認為,蘋果手機被惡意軟體劫持的源頭在於——iMessage。
此前,蘋果曾創建過一個名為Blast Door的功能,專門用以針對篩選可疑消息,並阻止其深入手機非法獲取隱私訊息,但事實證明,這項功能並未能保證iPhone用戶的隱私安全。
「近日肆虐的飛馬軟體,無疑能透過iMessage入侵蘋果iOS系統,很明顯,NSO可以擊敗蘋果的抵禦工具Blast Door。」多倫多大學網絡安全分析師研究員Bill Marczak對此強調。
對此,Amnesty International安全專家表示,蘋果用戶如果想阻止手機被惡意軟體入侵,目前最有效的辦法是更新到蘋果iOS 14.7系統,但是設備製造商先要知道「漏洞所在」。
前美國國家安全局工作人員、Mac安全開發商Objective-See的創始人帕特里克·沃德爾在接受英國《衛報》採訪時指出:
沃德爾還補充道:「蘋果吹捧的安全功能,其實也是一把雙刃劍——iMessage透過端到端加密,這意味著沒有人會看到你的漏洞。從攻擊者的角度來看,也讓入侵變得簡單。」
為此,蘋果安全工程和架構負責人Ivan Krstić則為公司的安全工作辯護:
截止發稿,蘋果對「飛馬事件」的回應也只有一份簡單的聲明:
蘋果隱私安全為何更容易引發關注?
值得注意的是,「飛馬」的製造商NSO Group其實是一家以色列公司,它專門向政府機構、執法部門出售軟體,用來打擊恐怖主義、汽車爆炸、性交易及販毒行為。而「飛馬」遭受全民譴責時,NSO辯稱創造「飛馬」的目的只是為了對恐怖分子的號碼、通話、信息等進行監視。
即便本次「飛馬」監視的對象主要是各個國家的記者、社會活動家及政府要員,但事件從7月18日發展至今,引起了全球蘋果用戶的廣泛關注——連各國政要的蘋果帳戶都能輕鬆監視,更何況普通人。
畢竟,在算法時代,每個用戶的出行路線、工作內容、餐飲喜好、休閒娛樂,記錄了消費和財富也記錄了情緒和慾望,我們早已物化成滿身標籤的綜合體。
所以在國外社交平台Quora上,各國網友針對此次「飛馬事件」便展開了激烈的討論。
比如,一位名叫克里斯·薩默斯的網友,其從事手機銷售&服務超過五年時間,他認為:「雖然和安卓系統比起來,蘋果並不會經常受到惡意軟體攻擊,但這次的事件說明,NSO發現漏洞後,並沒有告知谷歌或蘋果,而是將其出售給政府來監視公民。」
另一位名叫克萊因的網友則認為:
其實,人們更關注蘋果的安全問題確實與其一向以來標榜注重用戶「隱私安全」脫不了關係。
早在2015年,iOS9發佈時,蘋果便展示了追踪新聞等應用程序的方式,當用戶設定屏蔽後,一些第三方軟體便無法獲取用戶數據,向用戶發布更有個性化推薦的廣告。
2016年,蘋果發布iOS 10,加入「限制廣告追蹤」功能,只要用戶打開這個功能,就可以徹底重置IDFA。
2016年初,聯邦調查局希望蘋果開發一款軟體用以解鎖一部嫌疑人的iPhone,以輔助案情偵辦。雖然蘋果幫助FBI從疑犯iCloud帳戶中提取了部分數據,但由於不知道手機密碼,有些數據聯邦調查局仍無法完全獲取。
2016年2月16日,美國治安法官Sheri Pym命令蘋果為FBI開發後門軟體,但該命令遭到蘋果拒絕。蘋果CEO庫克認為,該項命令會威脅到所有iPhone用戶的安全,並表示,「繞過iPhone密碼意味著在其iOS系統中創建一個後門,而它也可被用來窺探所有其他iPhone。」
在此之後,隨著越來越多類似事例的發生,蘋果堅決捍衛用戶隱私安全的形象逐漸佔據了消費者心智。連蘋果CEO庫克也多次在公開場合呼籲,「建立更全面的隱私法,捍衛消費者隱私權。」
2021年6月,庫克還在WWDC2021上表示,「你的應用程式應該只訪問用戶期望的數據,並在他們期望的時間訪問。」
然而,誰也不曾想到,打臉來的如此之快——當Amnesty International扔出那份「飛馬」監視的50000個號碼名單時,人們才意識到蘋果的隱私安全保護,已不容樂觀。
毋庸置疑,從國家或者個人層面出發,企業能否保護好用戶隱私安全才是最重要的,而非一直被強化的隱私保護「品牌形象」。
本文授權轉載自:虎嗅網
責任編輯:林佳葦、蕭閔云
