在用户iPhone加密和安全问题上,苹果口气坚定,立场“明确”。它反对加州一联邦地区法院要求其为美国联邦调查局(FBI)创建一个弱加密iOS特别版本的裁决。政府希望借助这样的iOS破解圣贝纳迪诺枪击案嫌犯留下的iPhone手机的密码,进而查看手机里面的内容,而苹果则担心这样的iOS一旦被创建出来,就会失去控制,最终落入不法分子手中。本周,纽约一名联邦法官作出裁决:美政府没有权力强制苹果解锁iPhone。这次裁决对苹果来说是一次胜利。然而,苹果和FBI之间的争论远远没有结束,很有可能会闹到最高法院或者国会。
FBI所要求的iOS特别版本——苹果称之为GovtOS(意即政府系统)—— 在本质上是进入加密手机的一个后门,因为iPhone手机密码就是用户的加密秘钥,而苹果自己没有用于解密手机内容的其他密钥。
即使在法院命令引起苹果和FBI之争之前,我就反对设立任何加密后门,因为这样的一个后门可能会被犯罪分子或者外国政府利用。这一次,我站在苹果一边,反对FBI要求苹果创建用于破解iPhone密码的iOS版本,理由同上。
iCloud存在漏洞
苹果在隐私和加密的不屈姿态却并非严丝合缝。苹果对待iCloud服务,特别是iCloud备份存在一个大大的漏洞。
跟iPhone手机不一样的是,苹果有能力解密iCloud上的用户备份。而且,苹果过去确实曾在FBI和其他执法部门出示有效搜查令和法院命令之后提供过用户云备份内容。
实际上,在圣贝纳迪诺案中,苹果已经向FBI提供了嫌犯手机的最后一次iCloud备份内容。这次备份是在枪击案发生之前六个星期上传的。苹果称,新的iCloud备份足以满足FBI的需要。(由于FBI重置了嫌犯的iCloud密码,上传新备份已经不可能。FBI还争辩称,苹果提供的备份内容不足以满足他们的需要。)
不仅如此,如果你在你的苹果设备上使用其他公司的云服务,你上传的内容要么没有加密,要么可以用服务提供商持有的密钥解密。
所有的云服务都有可能遭受钓鱼攻击或被重置密码,当然也有可能被黑客攻击。举个例子,2014年,一些明星上传到iCloud的裸体照片由于受到黑客针对用户证书的攻击而遭泄露,苹果当时否认照片泄露跟iCloud被攻破有关联。极少有用户会使用苹果和其他服务商提供的双重身份验证。
解决这个问题的一个方法是:将备份保存到本地。
两种不同的处理方式
为什么苹果会对iCloud采取跟iPhone手机不一样的处理方式呢?
根据一名熟悉苹果隐私原则的苹果高管的说法,苹果认为iPhone手机本身的隐私和安全问题跟iCloud不一样。
苹果表示,iPhone的安全政策基于这样一个事实——手机是实体物品,可能被盗或者遗失,所以,出于保护iPhone个人数据的需要,苹果采取了尽可能强大的加密措施。
然而,至于iCloud,苹果认为,尽管安全措施也必须强大,但是帮助用户恢复数据也是iCloud服务的一项重要内容,因此苹果保留了解锁iCloud账号的能力。
这种差别决定了苹果对执法部门的要求将采取何种方式回应。苹果的立场是,对于政府部门的正当、合法要求,公司会提供任何相关信息。不过,苹果也表示,由于缺乏所需信息,公司没有办法打开受密码保护的iPhone手机,所以无法提供帮助。然而,至于用户的iCloud备份,苹果有办法进入,所以可以遵从政府的任何合法指令。
不仅仅苹果这样做
苹果的立场跟其他科技公司并没有很大区别。我问谷歌(微博)发言人Aaron Stein,谷歌是否会提供Gmail、Google Drive、Google Docs和谷歌日历上的用户数据。他在回复邮件中说:“我们会遵从有法律效应的请求提供Gmail、Drive、Docs和谷歌日历上的数据。”他接着又在另一份回复邮件中详细说明了谷歌的立场:“如果我们得到执法部门有法律效应的要求(比如搜查令),我们能够解密数据,就会提供。换而言之,谷歌保留了‘密钥’。”然而,他补充说:“机身完整的加密安卓手机跟这不一样。即使我们得到了有法律效应的请求,我们也不能取出储存在手机上的数据,递交给执法部门。设备持有者才有密钥,谷歌没有。”
Dropbox则声明:“跟大多数在线服务一样,我们必须有几名员工专门检查用户数据。我们是出于我们的隐私政策所提到的原因才这样做。而且这种情况很少发生,并不是我们的规定。”
云备份里有什么?
iCloud备份里究竟有什么?在接受ABC新闻采访时,苹果CEO蒂姆·库克称“你可以把它想象成是你手机上几乎所有东西的集体照——不是所有东西,只是几乎所有东西。”
根据苹果的说法,有一些东西没有备份到iCloud,其原因是,苹果认为用户可以通过其他途径轻易恢复这些数据。这些东西包括存储在服务器上的邮件和一些缓存内容。
在有些情况下,iCloud备份里的信息被认为十分敏感,苹果服务器储存了这类信息,但苹果无法解密。这类信息包括WiFi密码、苹果钥匙串(加密秘钥集合)和第三方服务密码。
然而,总的来说,iCloud备份就像库克说的那样,囊括了你手机上的几乎所有内容。比如,任何iMessage聊天记录和手机里的短信都被备份到iCloud上,并且可以被解密。(这仅仅指那些你已经保存到手机上信息,不包括正在发送或者“躺在”终端服务器上的信息。如果你在自动备份之前删除了这些信息,苹果也无法获取其中的内容。)
我不想让你形成这样一个印象:苹果经常或者随意把iCloud备份数据提交给政府。苹果曾经发布对政府数据请求的解释说明,称只有百分之六的请求跟账号信息有关。苹果还表示,“实际上政府很少请求获取账号信息。这类请求需要经过我们严格的评估,从2014年7月1日到2015年6月30日,苹果只履行了27%的美国政府账号信息请求。
解决之道:用老方法
但是,如果你就是不相信苹果,就是不希望由苹果保管你的备份数据,该怎么办呢?你只需要一条数据线、一台Mac或者一台PC,就能把你的iPhone备份从苹果手中拿回来。
大部分人都知道,你可以通过iTunes程序把iPhone或者iPad上的内容备份到你自己的计算机。实际上,在2011年苹果随iOS5推出iCloud之前,那是备份iPhone的唯一方式。
这种方法很笨、很慢,需要你记得主动去备份。但这种方法至今仍然有效。你甚至可以给本地备份加上密码。你可以随时恢复手机上的内容,同时摆脱苹果的控制。
需要说明的是,把手机数据备份到本地并不等于当地执法部门不会按照法律请求查看你的数据。我并不提倡躲避合法的法院命令。
毋庸置疑的是,iCloud备份和其他云服务虽然都很方便,但是都没有最新的iPhone安全。因此,现在是时候审视一下你对iCloud和其他云服务的使用,权衡一下方便、安全和隐私三者之间的比重。
