iPhone"后门"引发手机安全担忧 公务员弃用苹果

“因个人信息安全原因，即日起启用新的号码，请更改保留。”最近，《IT时报》记者收到数位朋友发来的改号短信，他们都有一个共同的身份：公务员

“因个人信息安全原因，即日起启用新的号码，请更改保留。”最近，《IT时报》记者收到数位朋友发来的改号短信，他们都有一个共同的身份：公务员。

这只是缩影。斯诺登事件发生后，国内对信息安全的重视程度空前：“去IOE”运动、中央采购电脑将禁止预装Win8系统……政府正加快推进安全产品本土化进程。

最近苹果iOS系统发生的“后门”事件，更是加重了国内对手机信息安全的担忧。虽然苹果方面称留有“后门”是出于诊断功能需要，但曝光苹果“后门”的著名黑客扎德尔斯基称，美国执法机构或恶意组织完全能在用户不知情的情况下，通过“后门”获取用户个人隐私信息。多位国内信息安全界人士因此呼吁，党政机关、重要行业企业人士不应用iPhone手机，该出台规章制度加以禁止或限制。

《IT时报》记者独家获悉，越来越多的政府公务员开始使用加密通信手机，来规避信息泄露风险。由于技术所限，目前只有中国电信可以提供加密通信服务，加密手机在上海已经卖断货。

加密通信业务火了

“这段时间很忙，经常跑市委市府部门，为他们介绍加密通信业务，演示加密手机终端，”上海电信一位政企客户经理对记者表示，加密通信业务最近火了，火得有些超乎大家的预期。

加密通信业务并非新近推出的业务，2010年中国电信的CDMA2000加密手机系统便获得国家密码管理局颁布的“商用密码产品型号证书”，利用CDMA技术的先天优势，实现了对CDMA手机通话端到端全程加密。

这种加密通信业务只能基于CDMA技术，“其他网络制式做不了，比如GSM，几年前已经有黑客破解了它的加密算法，”一位手机厂商的工程师告诉记者。原本作为军用的CDMA技术，在安全保密方面有着与生俱来的优势，它在对抗窃听方面有天然屏障：可以将用户信号隐蔽在互不相关的信号中，使窃听者“听不见”有用的信号；快速切换功率控制的技术，使窃听者即便捕捉到用户手机信号，也不能锁定CDMA信号；伪随机码技术可以让每次通话都有4.4万亿种可能的排列，根本破译不出CDMA的编码。“所以，尽管之前伪基站肆虐，但是CDMA用户没有受到骚扰。”这位人士称。

“斯诺登事件发生后，加密通信业务渐热，尤其是最近苹果手机被发现有‘后门’，越来越多的政府部门开始使用支持加密通信功能的手机，”上述政企客户经理告诉记者，上海市委、市人大、市政协都开始使用加密手机，“市政府中，现在差不多有10个职能部门已用上加密通信手机，其他多个部门也都表示了同样的意向。”

国产手机的良机

“这对我们来说是个机会，现在我们加密手机在上海的销量有数千台。”国产手机厂商酷派一位人士称。

使用加密通信业务需要两方面支持：除了上文所言，网络端需要加密外，相应的手机也必须支持加密通道。酷派人士解释，它们在手机声码器后引入加解密模块，每次通话前必须从KMC（密钥管理中心）申请密钥，这样即便手机丢失了，也能远程擦除存放在手机上特定联系人的通讯录和通话记录等资料信息。这种加密手机一般由运营商向厂商定制，目前市面上在售的并不多，且全部为国产机型。

《IT时报》记者在国家商用密码管理办公室官网上查询到，四年来通过密码检测的中国电信加密手机系统语音加密终端产品共有22款手机，都为国内手机厂商的产品，比如酷派、华为、海信等。不过，除了酷派，华为、海信的加密通信手机都是在2010年获得检测证书，现在这些手机基本上已经退市，之后未推出新的加密通信手机新品。

今年上海公务员新换的加密手机几乎全部为支持天翼4G网络的酷派S6，这也是首款通过加密认证的4G手机，今年7月获得国家密码管理局商用密码检测中心的检测证书。“之前加密通信业务推出后，在市场不愠不火，所以后来没有再做下去，”一家放弃加密手机的厂商人士表示。不过现在随着政府对加密要求的提高，厂商也开始变得积极起来。

“我们已经将这一情况反馈回总部，相关产品已经在研发当中。”华为手机上海区域市场的负责人告诉记者。中兴、联想等国内手机厂商也都是如此，“我们向总部反映了上海需求，希望能尽快推出相关产品。”

在这些厂商人士看来，如果仅限于政府部门，加密通信手机市场的量不会太大，但是政府部门举动的更大意义在于传递信号：中国将对手机信息安全更加重视，而这是国产手机的机会。“如果将来国企、重要行业的客户都使用加密通信手机，市场量就可观了，”中兴手机上海市场的相关负责人表示。

推进国产手机操作系统开发

无论是后门还是漏洞，自智能手机产生以来，安全和信息泄露问题就一直困扰着用户。

“iOS的这几个‘后门’还不是很严重，真正的后门是系统想要知道用户的一些资料，可以直接远程触发，让手机自己上传，不需要用户开启任何功能。”陈良说。

实际上，自打安卓系统问世，各种漏洞的曝出就成为了家常便饭。陈良告诉记者，国外最新的一项研究表明，安卓系统中存在一个严重的安全漏洞，攻击者可以伪造ID，冒充可信任的App窃取用户信息，这意味着攻击者能够利用虚假App冒充Google钱包这类支付软件，窃取用户账号等财务数据，危险程度相当高。“安卓肯定也有保留用户信息的情况。”现在已经把主攻方向转为安卓的陈良肯定地说，而且由于安卓系统的开源性，应用大多为免费，对于安卓应用也没有严格的审查机制，导致安卓平台充斥着大量窃取用户信息、吸费等恶意应用。

最近，不少媒体报道称有专家呼吁，公职人员应该禁用苹果手机。“的确位置信息定位及个人资料回传，对一些涉密人员影响较大，只要连接到Wi-Fi，就能被知道在哪里，所有智能手机都有这个风险。”陈良说。

业内一些人士认为，政府支持具有自主知识产权的国产信息技术产品推广应用、推进中国自主可控的国产手机操作系统，才是长治久安的对策，这样才能从根本上消除外来“后门”造成的安全隐患。

新闻资料：苹果“后门”事件

7月18日　知名iOS黑客乔纳森・扎德尔斯基展示了如何通过一些此前并未公开的“后门程序”，攫取iPhone 和iPad中短信、通讯录和照片等个人数据，震惊全世界。

7月23日　苹果公司承认留有“后门”，但辩解称iOS诊断功能向企业的IT部门、开发者和苹果维修人员提供所需信息。

7月25日　扎德尔斯基称，利用iOS中的“后门”，美国执法机构或者其他恶意组织完全可以在用户不知情的情况下，通过无线网络监测用户的信息。

7月30日　路透社报道，俄罗斯通信部长表示苹果应提交源代码，以证明其产品不存在可用于对俄机构展开间谍活动的“未公开能力”。

最近，苹果“后门”事件被曝光，iOS黑客乔纳森・扎德尔斯基披露iOS存在若干后门，在特定的情况下可以获取到用户的个人信息。苹果公司因此被置于风口浪尖，留着的“后门”真的只是用于诊断吗？

做了不说的苹果

扎德尔斯基披露了3个“后门程序”，分别是“file_relay”、“pcapd”和“house_arrest”，这些程序能绕开iOS的备份加密功能，泄露包括用户的地址簿、日志、剪贴板、日程表、语音邮件、地理位置以及用户在Twitter、iCloud上的数据等在内的信息，也可以通过无线监控设备监测所有网络进出流量，以及从Twitter和Facebook等应用程序上复制隐私文件。

苹果之后在一份声明中表示，留这三个后门是用于iOS的诊断功能，帮助企业IT部门、开发者和AppleCare检测故障。然而，扎德尔斯基很快给予反驳，指出利用这些“后门”，美国执法机构或恶意组织完全能在用户不知情的情况下，通过无线网络监测他们的信息，包括通讯录、备忘录、邮件等个人隐私信息。而在去年，美国“棱镜门”揭秘者爱德华・斯诺登就曾表示，美国国安局可以在iPhone关机的情况下通过麦克风监听用户。该说法随后也得到专家证实。

曾经在黑客大赛上攻破过iOS最新系统的安全专家陈良告诉《IT时报》记者，系统预留一些接口用作诊断是比较常见的做法。“接口肯定是要留的，比如一台手机中有短信，要看的话一定要有接口。”陈良认为，有接口并没有错，关键是使用这些接口的人或机构是不是都出于正确目的。

很显然，苹果尽管发了声明，但无法消除人们的怀疑。一个重大疑点在于：既然苹果声称“后门”是用于诊断功能，为什么以前从未公开过，直到被黑客曝光后才被动承认呢？