首页 移动互联

苹果深陷“解锁门”:会失去死忠果粉的信任?

虽然苹果与美国政府之间有关解锁iPhone的纷争已经尘埃落定,但这家科技巨头却因此面临着一个新的挑战,那就是找到政府破解iPhone的方法,然后尽快修复系统漏洞,以打消用户对苹果产品的疑虑。

解锁iPhone

既然美国政府已经在没有苹果协助的情况下,破解了加州圣贝纳迪诺枪击案枪手赛义德·法鲁克(Syed Rizwan Farook)使用的iPhone,那么这家科技巨头现在就面临着寻找并修复系统漏洞的压力了。

不过,与曾经爆出的其他安全漏统不同的是,苹果在发现和修复政府已经破解的那个iPhone安全漏洞的问题上,却面临着更大的障碍。

恐怕失去忠实用户信任

首先,苹果对执法机关使用的方法一无所知。美国联邦官员拒绝透露协助破解法鲁克iPhone的第三方的身份信息,也不愿公开使用哪种方法破解了iPhone。其次,苹果无法拿到那部iPhone,然后用反向工程技术来分析并解决问题——这也是苹果在修复其他系统漏洞时所惯用的方法。

更为棘手的是,苹果安全团队始终处于动荡之中。苹果去年晚些时候对安全团队进行了重组。据四名不愿透露姓名的苹果现员工和前员工介绍,负责处理政府大部分数据提取要求的主管在去年离开安全团队,加入苹果另一个业务部门。在过去几个月,这个团队还有一些成员离职,其中一人的任务就包括破解苹果自家产品,当然,他们也补充了一些新人。

实际上,苹果一直在与黑客们玩“猫捉老鼠”的游戏,从许多层面讲,当前的情形也是这种游戏的延续。但是,此次系统破解不同寻常的本质,以及破解者是美国政府这一事实,让苹果进退维艰。

技术安全公司Synack CEO、前美国国家安全局分析师杰伊·卡普兰(Jay Kaplan)表示:“苹果是一家公司,所以必须赢得用户的信赖。用户一定觉得苹果拥有快速修复这种漏洞的技术。”

本周一,美国政府向法院提交申请,宣布不再要求苹果协助破解法鲁克的iPhone。苹果随后发表声明,对此作出了回应。苹果今天再次强调了这份声明的内容:“随着针对我们数据的威胁和攻击越来越频繁,越来越复杂,我们会不断提升苹果产品的安全性。”

实际上,苹果已经采取了许多长期举措,提升自家设备的安全性。该公司CEO蒂姆·库克(Tim Cook)曾经对同事们表示,他赞同苹果制订的“安全路线图”,即对保存在苹果设备和服务上的一切信息进行加密,对保存于苹果云服务iCloud上面的一切信息也做这种处理——用户一般用iCloud来备份移动设备上的数据。此外,苹果工程师还在开发一种新的安全技术,让政府更难破解已经锁定的iPhone。

破解之法引发广泛猜测

由于目前有关法鲁克所用iPhone 5c(运行苹果iOS 9操作系统)漏洞方面的信息极少,安全专家只能对政府破解该手机的方法进行猜测。

多位法医专家表示,政府可能采用一种目前被广泛讨论的方法破解了苹果的系统。根据这种方法,技术人员取出芯片,破坏一种防止有人猜出密码的机制,从手机的受保护区域提取信息,进而发现用户密码并解锁数据。

美国执法部门有可能采取了一种新方法,对手机的存储芯片(即NAND芯片)进行镜像处理,然后复制到另一张芯片上。这种方法通常被称为“NAND镜像法”(NAND-mirroring),美国联邦调查局(以下简称“FBI”)借此用已经复制了手机上面数据的芯片替代了原始NAND芯片。如果FBI试了10个密码也没有解锁手机,那么有可能会重新复制手机内容,然后再用一组新的密码进行破解。

iOS安全专家乔纳森·兹德奇尔斯基(Jonathan Zdziarski)说:“这个过程就好像是在《超级马里奥兄弟》上面一遍遍地过同一个关卡,从你每次杀死马里奥的地方重新开始游戏。”

NAND镜像法可能很难破解新一代iPhone,原因就在于这些机型的芯片已经升级到A7。A7内置一种名为“Secure Enclave”的安全处理器,这种处理器具有独特的数字密钥,连苹果都不知道,由此成为保护存储于手机上的信息安全的必要手段。

近年来,由于苹果移动设备已经无处不在,黑客们越来越重视苹果产品上面的安全漏洞。就在黑客对攻击苹果硬件和软件的兴趣越来越浓厚时,苹果安全团队成员的流动性却很大。

安全团队人员变动频繁

苹果之前主要有两个安全团队,一个是核心操作系统安全工程团队(Core OS Security Engineering),另一个是产品安全团队。据苹果三名前员工介绍,产品安全团队下设一个隐私保护小组,专门负责检查数据是否得到适当的加密与匿名化处理,以及其他一些功能的有效性。产品安全团队有专人对外部人员发现的漏洞作出回应,还有一个名为“RedTeam”的“先发制人”小组,其任务是主动破解苹果自家产品。

这些前员工称,去年,苹果产品安全团队被解散,隐私保护小组开始向新主管汇报工作。产品安全团队的剩余成员(比如“先发制人”小组)则加入核心操作系统安全工程团队,而后一个团队的人员变动同样很大。

核心操作系统安全工程团队负责人达拉斯·蒂亚特利(Dallas DeAtley)去年离开安全部门,加入苹果另一个业务部门。过去几年,苹果只有少数几个人应对政府提出的从iPhone提取数据的要求,而蒂亚特利就是其中之一。蒂亚特利并未对这一报道发表评论。

核心操作系统安全工程团队还有其他一些成员也离职了。但同时,随着苹果去年收购了大量安全创业公司,许多安全技术人员也因此加盟了苹果,比如LegbaCore,该公司此前专门帮苹果发现并修复漏洞。

苹果前员工表示,有些人的离职更多与市场趋势有关。安全技术人员目前是科技行业最炙手可热的工作岗位。

苹果安全团队将来是否能获得有关政府如何破解法鲁克iPhone的信息,目前还是一个未知数。美国世强律师事务所(Steptoe & Johnson)律师斯图尔特·贝克(Stewart A. Baker)指出,美国政府有可能不会透露其破解iPhone的方法,因为这一方法是“那家向FBI提供协助的公司的专有技术。”贝克此前曾担任过美国国土安全部首任主管政策的部长助理。

安全领域的研究人员和专业人士表示,他们之所以感到愤怒,是因为他们和苹果也许都不能找到FBI破解法鲁克iPhone的方法。

旧金山安全公司HackerOne首席技术官亚历克斯·莱斯(Alex Rice)说:“苹果发现这个漏洞符合各方最大利益,这倒没什么可争论的,但每个人可能会问苹果为何还没有发现呢。”HackerOne旨在帮助协调企业的漏洞披露事宜。(编译/清辰)(编译/吕佳辉)

广告 aliyun

观点中兴之危警示:核心技术不能受制于人

中兴之危警示:核心技术不能受制于人 中兴之危警示:核心技术不能受制于人

近日,有关美国商务部禁止美企向中兴通讯公司出口产品的事件受到社会的广泛关注。中兴通讯4...[详细]

比拼

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。