(原標題:Apple to close iPhone security hole that police use to crack devices)
網易科技訊 6月14日消息,據國外媒體報道,蘋果計劃對iPhone進行安全更新,在手機鎖定一小時后禁用手機充電和數據端口。這種做法讓警方以及其他政府工作人員無法通過此前方法解鎖iPhone,再次引發了一場關于政府是否有權訪問用戶個人設備的爭論。
長期以來蘋果一直把iPhone定位為一款只有用戶本人才能解鎖的安全設備,這導致了蘋果與政府執法人員就從用戶設備獲取信息不斷發生沖突。早在2016年,蘋果就公然拒絕協助美國聯邦調查局(FBI)解鎖一名兇案嫌犯的iPhone,在業內引起了廣泛關注。
最終FBI找來第三方機構,采取付費方式繞過了蘋果的安全設置。從那時起,全國各地的執法機構越來越多地采用這一策略來解鎖iPhone,寄希望從破解的iPhone中提取出破案的關鍵信息。
但是現在,蘋果正在修復這一技術漏洞,這種做法讓警方以及其他政府工作人員無法通過此前方法解鎖iPhone,再次引發了一場關于政府是否有權訪問用戶個人設備的爭論。
蘋果表示,正計劃推出iPhone軟件更新,以便在手機鎖定一小時后禁用手機充電和數據端口。據悉,更新后的iOS系統將阻止執法機構利用一個有爭議的漏洞來破解鎖定的iPhone。在即將發布的更新版iOS(可能是iOS 12)中,蘋果將包發布一項稱為USB限制模式((USB Restricted Mode))的功能,該功能限制通過USB端口訪問鎖定的iPhone。
該功能以前曾在iOS 11.3測試版中出現,也曾包含在iOS 12測試版中,現在蘋果已確認該安全補丁將成為更新版iOS系統的一部分。在使用USB限制模式時,iPhone的Lightning端口將在手機鎖定一小時后失效。在這種默認模式下,用戶只能通過Lightning端口對手機進行充電。如果想要使用端口在其他電子設備和iPhone之間傳輸數據,用戶首先需要輸入手機密碼。
蘋果公司在一份電子郵件聲明中表示:“我們不斷加強每款蘋果產品的安全保護,以幫助客戶抵御黑客,身份竊賊竊取個人數據……我們非常尊重執法部門,我們不會通過安全設計改進來挫敗他們的努力。”
該解決方案應該會阻止像GrayShift和Cellebrite開發的那些iPhone破解設備。特別是GrayShift的GrayKey等設備,使用USB端口訪問鎖定的iPhone,通過反復嘗試解鎖密碼,該設備承諾甚至可以解鎖新的iPhone手機。整個破解過程可能需要兩個小時到三天以上的時間,具體取決于iPhone密碼的長度。
這無疑會影響到執法人員的工作。執法人員通常會在智能手機最后一次解鎖后的幾天甚至幾個月內,通過手機數據端口連接另一臺運行特殊軟件的設備來打開鎖定的iPhone。蘋果計劃的軟件更新的消息已經開始通過安全博客在執法機構傳播開來,許多調查機構對此都感到憤怒。
“如果我們再回到我們無法訪問iPhone的情況,現在我們能夠直接調查的所有證據都將消失,我們也無法將所有的孩子都置于安全保護之下。”印地安那州警察特別工作組的查克·科恩(Chuck Cohen)坦言,其負責打擊針對兒童的網絡犯罪工作。印第安納州警察局表示,今年3月份以來,警方從一家名為Grayshift的公司購買了15,000美元設備,一共解鎖了96部iPhone。
但隱私保護人士表示,蘋果修復安全漏洞的做法是正確的,因為這個漏洞越來越容易被利用,破解iPhone也越來越便宜。約翰霍普金斯大學(Johns Hopkins University)密碼學教授馬修·D·格林(Matthew D. Green)表示:“這確實是蘋果手機一個非常大的漏洞。”他說,警察局桌子上都擺放著這樣一個灰色的Grayshift設備,“用戶信息很容易就泄漏出來。”
蘋果公司的發言人弗雷德·賽恩斯(Fred Sainz)在一封電子郵件中表示,該公司正在不斷加強安全防護,并修復在手機中發現的任何漏洞,部分原因是犯罪分子也可能利用執法機構使用的相同漏洞。 “我們非常尊重執法部門,而且我們不會通過安全設計改進來挫敗他們的努力,”他說。
目前幾乎所有的智能手機都在使用蘋果和谷歌的操作系統。而自2014年以來,兩家公司開始對其移動設備軟件進行加密處理。加密技術會打亂原有數據,使得第三方無法直接讀取設備內信息,除非使用特殊密鑰(通常是密碼)進行訪問。這讓警察和檢察官感到沮喪,他們即便手握搜查令也無法從智能手機上提取數據。
2015年底,加利福尼亞州圣貝納迪諾的一名槍手與他的妻子一起殺害了14人。一名聯邦法官命令蘋果找出如何解鎖嫌犯手機的方法。而蘋果首席執行官蒂姆庫克(Timothy D. Cook)用一封驚人的1,100字的信件回應說,該公司拒絕侵犯其用戶的隱私。他寫道:“政府要求的影響令人不寒而栗。”
雙方在法庭上爭吵了一個月。然后美國聯邦調查局突然宣布,它已經找到一個第三方機構破解了嫌犯iPhone,為此支付了至少130萬美元。今年的檢察長報告提出了美國聯邦調查局在和蘋果對簿公堂之前應該已經窮盡了更多選擇。
自那時以后,幫助執法部門破解iPhone的主要有兩家公司:2006年被日本Sun公司收購的以色列技術公司Cellebrite以及2016年由前蘋果工程師創建的Grayshift。執法官員稱,他們通常將iPhone交由Cellebrite解鎖,每破解一部手機都要花費數千美元。今年3月份,Grayshift開始銷售一款售價15,000美元的GrayKey設備,警方可以用其自行解鎖iPhone。
蘋果公司過去一直在封堵安全漏洞。多年來,警方使用軟件通過簡單地嘗試每一個可能的密碼來破解電話。格林表示,蘋果則通過在一定數量的錯誤密碼之后禁用iPhone,從而阻止了這種技術。但是Grayshift和Cellebrite的軟件似乎能夠讓蘋果的這種方法失效,允許他們的設備測試數千個密碼。
Cellebrite拒絕發表評論。 Grayshift也沒有回應評論請求。
執法人員說,通過這些方法打開鎖定的iPhone已變得非常普遍。他們表示,聯邦調查局以及大型州和地方警察部門通常都有權使用這些工具,而較小的地方機構則征求州或聯邦調查局協助處理重大案件。
據公共記錄顯示,購買GrayKey設備的執法機構包括美國藥品執法管理局(Drug Enforcement Administration),該機構今年以30,000美元的價格購買了一款高級設備。此外根據記錄,馬里蘭州的州警察局,俄勒岡州波特蘭市和明尼蘇達州羅徹斯特市都有這種設備。
美國路易斯安那州巴吞魯日地區地方檢察官希拉·摩爾(Hillar Moore)表示,自從2017年以來,他的辦公室已經向Cellebrite支付了數千美元用于解鎖iPhone,其中包括對路易斯安那州立大學兄弟會相關死亡案件的調查。他說這些手機為破案提供了關鍵信息,他對蘋果計劃關閉這樣一個有用的調查渠道感到不安。
“他們公然保護犯罪活動,而且只是打著為了他們的客戶提供隱私保護的幌子,”他說。
曼哈頓地區助理檢察官邁克爾·薩克斯(Michael Sachs)表示,他的辦公室每周都會有好幾次使用變通辦法來解鎖iPhone,但他拒絕透露到底是什么變通方法。這幫助破解了最近幾個月發生的一系列案件,其中包括通過破解iPhone手機找到了嫌疑人性侵兒童的視頻。這名男子今年被判有罪。
曼哈頓地區檢察官辦公室表示,在2017年的前10個月,他們已經找到并獲取搜查702部加密智能手機的授權或許可,其中三分之二是iPhone手機。相比之下,運行谷歌Android操作系統的智能手機通常更容易訪問,部分原因是許多老式設備都缺乏加密手段。
智能手機上的加密僅適用于單獨存儲在手機上的數據。像蘋果和谷歌這樣的公司會定期向執法人員訪問消費者在公司服務器上備份的數據,例如通過Apple的iCloud服務獲取用戶數據。蘋果表示,自2013年以來,它已經響應了超過55,000個來自美國政府的請求,要求獲得關于超過208,000個設備,云帳戶或財務賬戶的信息。
關于加密iPhone以及破解iPhone協助破案的斗爭不太可能平息。美政府官員一再推動立法,要求像蘋果這樣的科技公司為工作人員提供進入手機的后門,不過最近發現執法部門夸大了無法訪問的設備數量。
鑒于蘋果已經將iPhone的隱私和安全性作為一個核心賣點,如果不是國會強迫蘋果,蘋果可能不會讓破解更容易。
支持網絡隱私保護的民主與技術中心分析師邁克爾理查森(Michelle Richardson)表示,蘋果的最新舉措是科技公司與執法部門之間一場曠日持久的貓捉老鼠游戲的一部分。
她說:“人們對這種情況已經習以為常:政府將能夠攻擊這些設備,然后蘋果將修復漏洞,黑客將找到另一種方式。”
