據(jù)央視報(bào)道：蘋(píng)果手機(jī)記錄用戶信息的方式主要有三種：iPhone會(huì)基于Wi-Fi、基站和GPS收集定位信息，這個(gè)定位的準(zhǔn)確性可以說(shuō)是非常高的，比單純的GPS定位精度要更高，偏差通常不會(huì)超過(guò)1－2個(gè)街道范圍。”

究竟如何記錄你用戶信息呢？

我們知道，蘋(píng)果可以通過(guò)手機(jī)內(nèi)用戶安裝的App進(jìn)行實(shí)時(shí)定位。“比如微博、微信，或者一些需要定位功能的打車軟件、導(dǎo)航等，一旦開(kāi)啟，也會(huì)定位用戶的位置。”盡管這部分功能是軟件根據(jù)需要設(shè)定的，但是用戶數(shù)據(jù)信息并非僅僅掌握在App軟件中，蘋(píng)果后臺(tái)同樣可以獲得。比如，你在辦公室用手機(jī)打開(kāi)一個(gè)App，蘋(píng)果后臺(tái)就能通過(guò)這個(gè)App的數(shù)據(jù)知道你在哪里，盡管你沒(méi)有開(kāi)通‘常去地點(diǎn)’功能。

如果安裝的App本身沒(méi)有定位功能呢？

像某門(mén)戶新聞手機(jī)客戶端，它本身是新聞?lì)?/span>App，沒(méi)有也無(wú)需開(kāi)通定位功能。但是我們卻發(fā)現(xiàn)，下載了該App的用戶，每次使用App的位置依然被蘋(píng)果定位并保存了。如此產(chǎn)生的數(shù)據(jù)直接放在系統(tǒng)后臺(tái)的所謂的用戶信息加密文件中。而這一切，用戶和客戶端本身都不知情。

這些被悄悄記錄的數(shù)據(jù)，最終歸處？

我們目前還沒(méi)有追蹤到這個(gè)數(shù)據(jù)最后去了哪里，但國(guó)外的工程師曾表示：“這些數(shù)據(jù)最終都回傳到了蘋(píng)果總部。”蘋(píng)果公司曾表示：iPhone利用含有Wi-Fi熱點(diǎn)和小區(qū)發(fā)射塔數(shù)據(jù)的眾包數(shù)據(jù)庫(kù)（crowd－sourced database）進(jìn)行實(shí)時(shí)計(jì)算，成千上萬(wàn)的iPhone會(huì)將自己附近的Wi-Fi熱點(diǎn)和小區(qū)發(fā)射塔信息打上地理標(biāo)簽，并以匿名和加密格式發(fā)送給蘋(píng)果。

盡管蘋(píng)果說(shuō)是匿名，但其實(shí)回傳的數(shù)據(jù)中還包括了蘋(píng)果設(shè)備的唯一識(shí)別碼，這讓蘋(píng)果很容易就能關(guān)聯(lián)出用戶的真實(shí)信息。

關(guān)閉相關(guān)功能還能竊取嗎？關(guān)手機(jī)也不行？

如果將“常去地點(diǎn)”關(guān)閉，是否就能保證用戶信息不被泄漏呢？關(guān)閉只是讓用戶和其他人無(wú)法通過(guò)手機(jī)查看定位信息，但蘋(píng)果公司后臺(tái)數(shù)據(jù)依然在悄悄記錄。只要是智能手機(jī)，連接過(guò)Wi-Fi、有運(yùn)營(yíng)商網(wǎng)絡(luò)、打開(kāi)過(guò)有位置記錄功能的App軟件，就都有可能被自動(dòng)跟蹤。

記者試著關(guān)閉了“常去地點(diǎn)”功能，確實(shí)發(fā)現(xiàn)“歷史記錄”消失了。但其實(shí)，這個(gè)只是你看不到數(shù)據(jù)，蘋(píng)果的后臺(tái)數(shù)據(jù)沒(méi)有任何影響，他們?nèi)匀豢梢愿鶕?jù)你使用的App或者系統(tǒng)定位功能進(jìn)行數(shù)據(jù)記錄，根本就是‘掩耳盜鈴’。

早在三年前，兩名英國(guó)的工程師就發(fā)現(xiàn)了蘋(píng)果手機(jī)暗藏的一個(gè)文件可以記錄蘋(píng)果手機(jī)用戶曾經(jīng)去過(guò)的地理位置，并通過(guò)隱藏文件存儲(chǔ)這些信息。

中國(guó)信息安全測(cè)評(píng)中心是我國(guó)專門(mén)從事信息安全測(cè)試和風(fēng)險(xiǎn)評(píng)估的專業(yè)機(jī)構(gòu)。測(cè)評(píng)中心工程師王嘉捷在接受記者采訪時(shí)演示：通過(guò)電腦數(shù)據(jù)線將一部開(kāi)啟了“常去地點(diǎn)”功能的蘋(píng)果手機(jī)接入電腦。通過(guò)特殊工具，抓取到了一些普通用戶看不到的系統(tǒng)目錄。

在這些目錄中，有一個(gè)隱藏很深的目錄，而此處就是蘋(píng)果存放定位信息的位置。從操作視頻中可以看到，這個(gè)文件名為cache_en－cryptedA 的 db文件被保存在private/var/root/Library/Caches/locationd 。按照我們行話來(lái)說(shuō)，就是藏得很深，是一個(gè)6級(jí)目錄。盡管文件名為“encrypted”（中文譯為‘加密’），但事實(shí)上這個(gè)文件并未加密。打開(kāi)文件的時(shí)候，完全無(wú)需再次解碼，說(shuō)明這個(gè)只是一個(gè)虛假‘加密’。無(wú)需秘鑰就能打開(kāi)。

“蘋(píng)果公司早在三年前就知道了這個(gè)問(wèn)題存在，但至今，那個(gè)存儲(chǔ)用戶位置信息的文件卻依然未加密。事實(shí)上，從蘋(píng)果iOS4開(kāi)始到iOS7，一直在記錄用戶位置信息，而這并未得到用戶同意及授權(quán)”。網(wǎng)絡(luò)隱私侵權(quán)與信息安全援助聯(lián)盟（PIPA）聯(lián)合創(chuàng)始人于勇說(shuō)：目前對(duì)于用戶關(guān)機(jī)，蘋(píng)果手機(jī)是否還能得到位置信息，還沒(méi)有一個(gè)定論。

還有沒(méi)有其他“后門(mén)”可進(jìn)行遠(yuǎn)程監(jiān)聽(tīng)？

蘋(píng)果在用戶不知情的情況下竊取用戶地理位置信息等隱私的事情，是有違泄露隱私數(shù)據(jù)。

自2013年以來(lái)，iCloud已經(jīng)發(fā)現(xiàn)了多個(gè)重大的安全漏洞。例如，2013年10月份，俄羅斯的安全研究人員就通過(guò)分析iCloud的協(xié)議，發(fā)現(xiàn)它的協(xié)議在用戶認(rèn)證上存在安全缺陷，并且發(fā)現(xiàn)了iCloud遠(yuǎn)程備份協(xié)議上存在的安全漏洞，導(dǎo)致可以在用戶不知情的情況下，遠(yuǎn)程下載用戶的iCloud數(shù)據(jù)。還有因iCloud密碼修改頁(yè)面的一個(gè)簡(jiǎn)單的密碼找回邏輯錯(cuò)誤，導(dǎo)致用戶的iCloud中存儲(chǔ)的通訊錄、照片和800G的數(shù)據(jù)被盜竊。

我們最近還發(fā)現(xiàn)，由知名iOS黑客，早期iOS越獄開(kāi)發(fā)團(tuán)隊(duì)成員喬納森·扎德?tīng)査够l(fā)現(xiàn)了蘋(píng)果的一個(gè)未公開(kāi)的api函數(shù)接口。 2014年7月21日，喬納森發(fā)現(xiàn)了蘋(píng)果iPhone/iPad設(shè)備中隱藏的“后門(mén)”和一個(gè)未公開(kāi)的api函數(shù)接口。“這個(gè)隱藏的“后門(mén)”程序是com.apple.pcapd，當(dāng)“后門(mén)”被激活時(shí)，可以監(jiān)聽(tīng)所有的網(wǎng)絡(luò)流量和網(wǎng)站訪問(wèn)數(shù)據(jù)，并且這個(gè)“后門(mén)”被激活后可以遠(yuǎn)程對(duì)iPhone設(shè)備進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，這已經(jīng)不僅僅是竊取用戶隱私這么簡(jiǎn)單了。”

除此以外，喬納森還發(fā)現(xiàn)了一個(gè)蘋(píng)果未公開(kāi)的api函數(shù)接口（api函數(shù)一般是有操作系統(tǒng)提供的獲取特定數(shù)據(jù)的程序代碼），最終發(fā)現(xiàn)可以通過(guò)這個(gè)未公開(kāi)的api函數(shù)接口，繞過(guò)iPhone的安全機(jī)制，獲取到用戶手機(jī)中完整的數(shù)據(jù)信息，包括：用戶賬戶、通訊錄、短信、語(yǔ)音備忘錄、鍵盤(pán)記錄、GPS數(shù)據(jù)等用戶隱私數(shù)據(jù)。

7月27日，蘋(píng)果公司承認(rèn)存在“安全漏洞”。蘋(píng)果表示，公司員工可以通過(guò)一項(xiàng)未曾公開(kāi)的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個(gè)人數(shù)據(jù)。但蘋(píng)果同時(shí)強(qiáng)調(diào)，該功能僅向部分特定人員提供所需信息，在獲取這些受限制的診斷數(shù)據(jù)之前，需要用戶授權(quán)并解鎖設(shè)備。

危害到底有多大？可能影響國(guó)家安全！

過(guò)去，信息往往是按照重要性劃分安全級(jí)別。安全級(jí)別越高，保密數(shù)據(jù)，而是一些普通的日常性信息。但看起來(lái)毫無(wú)關(guān)聯(lián)的海量地理數(shù)據(jù)，經(jīng)過(guò)分析，就可得知機(jī)主的職業(yè)、住址、賬單……若鎖定涉密人群，就可能影響國(guó)家機(jī)密安全。

美國(guó)蘋(píng)果公司在2013年11月5日曾發(fā)表報(bào)告承認(rèn)，蘋(píng)果公司對(duì)美國(guó)提出的88%的涉及具體設(shè)備的請(qǐng)求提供了信息。蘋(píng)果這份報(bào)告無(wú)異推翻了此前自己所宣稱的“除非用戶明確同意將當(dāng)前的地理信息提交給第三方，不然會(huì)嚴(yán)格保密”這一說(shuō)法。“盡管蘋(píng)果公司始終宣揚(yáng)為了大數(shù)據(jù)采集、為了未來(lái)技術(shù)創(chuàng)新，但我認(rèn)為，即使這種行為本身基于善意的目的，對(duì)用戶隱私及權(quán)利也是一種極大的侵犯。甚至，可能將公民個(gè)人信息集中后，提供給軟件商、廣告商甚至是國(guó)家情報(bào)機(jī)構(gòu)。”

俄羅斯媒體報(bào)道，俄羅斯向蘋(píng)果公司和SAP公司提議，希望他們向俄政府開(kāi)放源代碼，以確保他們的產(chǎn)品不會(huì)成為信息泄露可能一不小心就成了危害國(guó)家安全的‘不定時(shí)炸彈’”。

其實(shí)很多市民對(duì)自己信息保護(hù)意識(shí)都不強(qiáng)，覺(jué)得自己又沒(méi)什么隱私，沒(méi)必要關(guān)注這些信息安全問(wèn)題！”但是現(xiàn)在智能手機(jī)中通常都記錄了機(jī)主的身份證信息、手機(jī)號(hào)碼、郵件、銀行卡號(hào)及密碼、照片、通訊錄、聊天記錄、消費(fèi)記錄、賬單、家庭信息、房屋信息、物理位置等等。“這些信息的珍貴程度不亞于錢(qián)包里的錢(qián)，丟信息比丟錢(qián)包往往能造成更大損失。”從警方偵破的很多詐騙案件中可以發(fā)現(xiàn)，不少電話和網(wǎng)絡(luò)詐騙都源于個(gè)人信息外泄。

對(duì)于個(gè)體而言，這是一種隱私泄露，但上升到國(guó)家的角度來(lái)看，這些后門(mén)既然可以分析出一個(gè)人的軌跡，就能分析出上億人群的軌跡，這就可能會(huì)涉及到整個(gè)行業(yè)、經(jīng)濟(jì)、民生狀況。如果鎖定了涉密人群，如供職于國(guó)家某涉密單位的公職官員們，都使用這個(gè)滿是泄密后門(mén)的手機(jī)，這個(gè)問(wèn)題的嚴(yán)重性可想而知……皮之不存，毛之焉附？我希望這篇文章可以敲響廣大國(guó)人信息安全的警鐘！要知道一個(gè)沒(méi)有信息安全的國(guó)家，不用堅(jiān)船利炮就能被瞬間摧毀！