苹果手机内置定位功能被指可泄密
特斯拉存安全漏洞可变“遥控车”
连日来,央视和360公司分别曝光苹果手机和特斯拉汽车存在的泄露隐私及安全漏洞
■本报记者 贺 骏
在人们对隐私问题日益关注之际,苹果公司再度被推上了风口浪尖。日前,央视对苹果手机可搜集记录用户位置的功能提出质疑,认为苹果手机详细记录了用户位置和移动轨迹,并记录在未加密数据库中。事实上,苹果公司已经不止一次遭到类似质疑,此前,斯诺登事件发生,苹果、谷歌等公司就被曝存在泄露用户隐私的行为。
无*有偶,就在苹果手机再度遭到质疑之际,风靡**的特斯拉汽车也*度被曝存在安全漏洞。7月15日,360公司公开表示,发现特斯拉汽车应用程序流程存在设计缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。
位置记录功能成为双刃剑
苹果手机的大量内置功能是其用户体验超出对手的重要构成,不过,这些体验也不可避免的存在着另一面。央视节目指出,在苹果手机“设置-隐私-定位服务-系统服务”下面,有一项默认开启的“常去地点”的功能,该功能不仅记录用户常去的地点名称,还详细记录用户在这个地点停留的时刻及次数。
中国信息安全测评中心工程师王嘉捷现场演示并指出,该文件记录的位置信息**到了小数点后8位,更为关键的是,该文件也并未加密,是以明文形式放置在一个隐藏较深的位置,故存在泄露隐私的风险。值得一提的是,即使用户关闭了“常去地点”功能,后台数据库文件依旧会记录这些信息。
实际上,苹果公司已不止一次因类似问题遭到指责。2011年,韩国2.76万用户就曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络收集用户位置信息。*后,因违反韩国《位置信息保**》,苹果公司被处以300万韩元罚款。
对于央视的报道,苹果公司回应称,“常去地点”通过“加密”后存储于用户个人设备上,并不备份于iTunes或iCloud中,苹果从不获取或了解某个用户的“常去地点”信息,并且谨防任何应用对其进行访问。”此外,对于协助相关机构收集用户信息的指责,苹果公司称,“从未与任何国家的任何**机构就任何产品或服务建立过所谓的‘后门’。”
对于苹果内置的“常去地点”功能,360安全**陈先生接受《证券日报》采访时确认,“苹果手机中的‘常去地点’功能,是苹果公司为了提高GPS定位以及相关服务的准确性以及快速性加入的一个功能,属于系统服务。”
360安全卫士紧急升级
不过,即便“常去地点”是一个有用的服务,但这也引发了不少用户的担忧。为此,在央视对该功能曝光后,360公司随即对iOS版360安全卫士进行了升级。在*新版本中,360在***家实现了一键清除“常去地点”中的隐私信息。用户可以通过“一键清理”功能,把“常去地点”、“搜索记录文件”等隐私信息**清除。“我们的原理是调用系统接口,因此可以一键清除常去地点的数据信息”,陈先生表示。
除此之外,新增的软件隐藏功能可把手机中不想让人知道的软件藏起来,守住用户的“小秘密”。而对于苹果手机保存通话记录存在条数限制的问题,也可通过新版本中新增的解除系统通话记录条数限制保存更多通话记录。
对于360公司的及时“救场”,截至目前,苹果公司尚未表态。
隐私泄露风险防不胜防
尽管“苹果手机+360安全卫士”的组合,在很大程度上可以大大降低隐私泄露的风险,但在移动互联网时代,隐私泄露依然是防不胜防。哪怕**苹果手机的“常去地点”功能,也依旧存在泄露隐私的巨大风险。现实情况是,手机中很多APP的软件用户使用协议中,都会询问用户是否同意提供地理位置,而其中某些APP就存在着泄露用户隐私的风险,尤为关键的是,用户很难发现他们的暗中行为。
此外,在淘宝网等网站上,还有不少商铺售卖“定位追踪器”,用户使用“追踪定位器”,购买者可通过手机、电脑、微信、短信等,对目标(人、车辆或其它物体)进行实时监控定位,包括经纬度、运动方向、速度、停留时间等等。“定位追踪器是利用手机GPS和陀螺仪模块,取得用户信息上传后台服务器,然后再利用网页,短信,微信等下发,这是一个恶意应用”,360安全**陈先生指出,由于该装置体积很小,在充电宝、保温杯、钥匙链、车用装饰挂件中都可植入。
法律人士指出,这类追踪定位器材虽与手机定位功能在技术原理上相似,但在安装、使用流程上与手机定位功能有很大区别,且法律也明确规定,其生产、销售和使用均属于违法
特斯拉被曝存在安全漏洞
应该说,苹果公司在安全、隐私方面屡遭到指责已不足为奇,但作为一款新能源汽车,特斯拉则迎来了*次在安全漏洞方面的曝光。7月15日,360公司称,*次发现特斯拉应用程序安全隐患,攻击者可远程控制车辆,包括远程开锁、鸣笛、闪灯、开启天窗等。360公司表示,已于将相关的漏洞细节和解决方案建议正式提交给特斯拉,并愿意对特斯拉修复相关漏洞提供技术支持。
360安全**表示,针对目前的隐患的临时处理措施是,特斯拉车主在设置中,关闭远程访问开关即可有效避免潜在危害的发生。
据悉,在明日召开的SyScan360大会上,360公司安全团队将会对该漏洞做现场讲述,为现场观众重新漏洞过程。
对此,特斯拉公司回应称,公司致力于与安全研究人员合作,以负责任的态度验证、重现、应对和修复报告中的漏洞。