人民網>>IT

iOS存“后門” 蘋果安全門折射國產系統缺位

古曉宇

2014年08月05日08:25    來源:京華時報    手機看新聞
原標題:蘋果安全門折射國產系統缺位

“WP說開放,安卓就笑了﹔安卓說安全,蘋果就笑了。”這原本是網上的一個老段子,然而如今在安全問題上,蘋果也笑不出來了。隨著近期蘋果iOS系統中“后門”的曝光,人們吃驚地發現,原本被認為更為安全的iPhone實際上也暗藏危機,甚至危險程度比安卓還要高。一個暗藏“后門”,一個漏洞不斷,在意信息安全的用戶在蘋果和安卓之間,面臨著兩難的選擇,而這種無奈,也折射出手機國產操作系統缺位的現狀。

□危機

“蘋果”承認iOS存“后門”

在此之前,談到智能手機的安全性,人們將主要的火力集中在安卓系統身上,而蘋果的iOS由於封閉性和對應用的嚴格審核機制,一向被認為較為安全。盡管也曾經因收集用戶位置信息等遭受質疑,但這種在智能手機中普遍存在的現象並不能說明什麼問題。然而,當iOS中的“后門”被公布於眾的時候,蘋果一直極力營造出的“安全”形象,瞬間蕩然無存。

日前,在“黑客大會”上,知名iOS黑客、早期iOS越獄開發團隊成員喬納森·扎德爾斯基對外披露了iOS中存在的若干“后門”,並展示了在特定的情況下如何利用這些“后門”獲取到用戶的個人信息。事實面前,蘋果公司也不得不承認,該公司員工確實可以通過一項未曾公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數據。

雖然蘋果公司辯解稱,這個技術是為診斷功能服務的,只是為了向企業信息部門、開發者和蘋果公司提供故障信息,不會對用戶隱私和安全帶來影響。但喬納森隨后指出,利用iOS中的“后門”,美國執法機構或者其他惡意組織完全可以在用戶不知情的情況下,通過無線網絡監測用戶的信息。

不管蘋果公司如何解釋,一個不爭的事實已經擺在人們眼前,那就是iOS中確實存在著“后門”。移動計算與移動信息安全專家鄒仕洪表示,從已經曝光的情況看,iOS中存在的安全問題,並不是簡單的系統漏洞,很明顯是蘋果有意植入系統中的功能。基於這一事實,人們不由會擔心:僅僅為了故障診斷是否有必要在系統中留下“后門”?除了蘋果,誰還能夠利用到這些“后門”?除了已經被發現的,iOS中是否還有更多不為人知的“后門”?“由於iOS的完全封閉性,這些信息隻有蘋果自己才知道。”鄒仕洪說道。

安卓系統漏洞成家常便飯

與剛剛暴露的蘋果iOS不同,谷歌的安卓系統則一直被各種安全問題所困擾。

“與蘋果此次的‘后門’事件不同,安卓的一個重要安全威脅是系統漏洞。‘后門’是廠商有意植入的,而漏洞則是無意的。因為安卓系統是完全開源的,它的源代碼是公開的,不大可能存在‘后門’而不被人所發現。”鄒仕洪說道。

實際上,自打安卓系統問世,各種漏洞的曝出就成為了家常便飯。國外最新的一份研究表明,安卓系統中存在一個嚴重的安全漏洞,攻擊者可以偽造ID,冒充可信任的App竊取用戶信息,這意味著攻擊者能夠利用虛假App冒充Google錢包這類支付軟件,竊取用戶付款等財務數據,危險程度相當高。

除了各種系統漏洞,安卓的另一大威脅則來自惡意程序的肆虐。由於安卓系統的開源性,應用大多為免費,同時對於安卓應用也沒有嚴格的審查機制,導致安卓平台的應用良莠不齊,充斥著大量竊取用戶信息、吸費等惡意應用。360互聯網安全中心最新發布的《2014年二季度手機安全狀況報告》就顯示,2014年二季度360互聯網安全中心累計截獲安卓平台新增惡意程序樣本超過84萬個,其中新增惡意程序樣本約62.5萬個,這一數據較2013年二季度同比增長381%,較2014年一季度環比增長191%。

□建議

公職人員棄用“蘋果”

作為當前最主流的兩大智能手機操作系統,iOS和安卓都已經被事實証明並不能保証安全性,而對於不同的使用人群來說,這兩種系統使用的危險性又不盡相同。

鄒仕洪認為,對於普通的用戶來說,蘋果手機的安全性要更高一些,因為“后門”程序為少數人所利用,也僅為實現一些特殊目的,大多數的普通用戶並沒有被“后門”監控的價值。但對於黨政軍內的公職人員、科研單位等掌握重要信息的人員來說,蘋果的“后門”就要危險得多,其威脅性遠大於安卓。

在“后門”之外,iPhone的另一大威脅則是電池的不可拆卸。在電影《竊聽風雲》中,有這樣的情節,警方通過被監控對象的手機可以鎖定目標的位置,同時還能激活已經關機的手機,將手機變成“竊聽器”,監聽目標的對話。據手機技術人員介紹,這樣的情節並非虛構,現實中完全可以做到,而避免的方式隻有取出手機電池。而iPhone和其他一些手機,其電池就被設計成不可拆卸,這也使得這些手機容易被定位甚至被遠程操控。

浙江傳媒學院互聯網與社會研究中心主任方興東就撰文公開表示,蘋果手機是硬件、軟件和雲服務等完全一體化的封閉系統,外部企業和安全廠商無法插手,對於潛在的安全問題隻有蘋果單方面的說辭,很難進行公開透明的有效評估和改進完善。從國家安全的角度,黨政軍以及重要關鍵基礎設施的人員,應該禁止使用蘋果手機。這一觀點也得到了很多通信行業專家的支持。

方興東表示,公職人員應該換用國產手機,因為國產手機目前基本使用谷歌的安卓系統,安卓相對開放,提供大量源代碼,可以通過實施二次開發、安全“加固”等措施,一定程度上提升安全性。鄒仕洪也認為,通過對安卓系統的深度開發與打補丁,可以彌補安卓自帶的一些漏洞,提高其安全系數。

信息系統“后門”分為四類

第一類

系統為后台服務設置的接口,供后台操作使用。

第二類

被稱作“特洛伊木馬”,是設計人員故意在系統中留下的隱患,如木馬或惡意程序。

第三類

設計人員的認知能力有限,導致系統存在缺陷,使黑客能利用這類缺陷進入系統。

第四類

系統的脆弱點在黑客的強力攻擊下被攻破。

□應對

要求“蘋果”開放源代碼

蘋果手機曝出“后門”,受到安全威脅的並不僅僅隻有中國。在上周,俄羅斯通訊和大眾傳媒部長尼古拉·尼基福羅夫就在與蘋果駐俄高管會談時提到,希望蘋果向俄政府開放產品的源代碼,以確保他們的產品不會成為監控俄羅斯國家機構的工具。俄方表示,該提議旨在確保消費者和企業用戶的權益,以保証他們的個人數據隱私不受侵犯,同時也是為保護國家安全利益。

我國的一些行業人士也建言,我國相關部門也應該效仿俄羅斯,要求蘋果通過開放源代碼來自証清白。

中國移動互聯網產業聯盟秘書長李易表示,雖然國內一些媒體和機構也屢屢質疑過蘋果的安全問題,但一直沒有上升到國家安全的層面,國家相關部門對此的管理力度也過弱。

李易建議,我國政府應該在此事上“較真兒”,以更嚴厲的態度約談蘋果公司的高層,展示出更為強硬的態度,要求蘋果提供源代碼,同時作出明確的規定,什麼樣職務的人應該禁用蘋果手機。“在這方面是有成功先例的,政府的壓力之前就使得微軟、英特爾部分開放了源代碼,而蘋果在壓力面前也勢必會有所反應。”

不過鄒仕洪則認為,開放源代碼也並非萬全之策。一方面蘋果不可能把所有源代碼完全公開,另外,蘋果的iOS系統會不斷更新升級,很難掌握每一次升級后的“后門”情況。

發展國產操作系統

在對待手機操作系統的態度上,方興東認為,目前雖可以支持國產廠商經過二次開發的安卓系統,而最終,推進中國自主可控的國產手機操作系統,才是長治久安的對策。

中國是否需要搞自主的手機操作系統,一直爭議較大。有觀點認為,在蘋果和谷歌已經完成圈地的競爭格局下,新的操作系統已經很難再建立起自己的生態鏈,微軟的WP系統多年來一直難以實現突破,而三星計劃中的Tizen系統也一再推遲發布,都說明一種新的移動操作系統想要沖出蘋果和谷歌的包圍,是非常困難的。不過李易表示,這件事還是要做的,而且越早做越好。

實際上,我國一些企業近年來也陸續推出過一些號稱自主的智能手機操作系統,如當年中國移動力推的OPhone、阿裡推出的阿裡雲OS、同洲電子的960OS,再加上眾多廠商在安卓基礎上二次開發來的各種ROM,但是這些所謂的“國產系統”都遠未達到能與蘋果、谷歌正面抗衡的程度。

一家致力開發國產手機操作系統的國內企業負責人曾向記者訴苦,無論是蘋果的iOS還是谷歌的安卓,都是集中了全球最頂尖的技術人才、海量資金投入的產物,而國內任何一家企業都不具備這種人才和資金的實力。而政府的支持主要採用企業立項、政府予以部分資金扶持的方式,這也使得不少企業紛紛立項,獲得政府資金后倉促搞出一個東西。“這種撒胡椒面的方式,讓國家錢沒少花,但沒有搞出一個像樣的東西出來。”該負責人稱。

李易表示,想要做成這件事,應由政府出巨資,把華為、中興、聯想這些企業的核心研發力量都集中起來,如果單靠企業自己去搞,是不可能成功的。

(責編:陳健、楊波)


注冊/登錄
發言請遵守新聞跟帖服務協議   

使用其他賬號登錄: 新浪微博帳號登錄 QQ帳號登錄 人人帳號登錄 百度帳號登錄 豆瓣帳號登錄 天涯帳號登錄 淘寶帳號登錄 MSN帳號登錄 同步:分享到人民微博  

社區登錄
用戶名: 立即注冊
密  碼: 找回密碼
  
  • 最新評論
  • 熱門評論
查看全部留言

24小時排行 | 新聞頻道留言熱帖