超打臉!iPhone漏洞暴露蘋果掃描計畫資安風險

隱私專家表示,蘋果 (AAPLI-US) 週一發布軟體更新,以修復其隱私漏洞,凸顯蘋果本月初為改善而推遲的另一個計畫存在風險。

蘋果 8 月為協助遏止兒童色情犯罪釋出一項計畫,透過加密程序和人工掃描 iPhone 用戶的雲端照片,過濾出散播兒童色情資訊的犯罪者,儘管獲得兒童權益保護團體大力支持,但反對者批評這將成為政府和駭客入侵的管道,迫使蘋果在釋出計畫 3 日後又宣布暫緩,目前該功能的最終發布日期尚未定案。

然而,網路資安監督組織「公民實驗室 (Citizen Lab)」週一揭露,一家總部位於以色列的網路監控公司 NSO Group 開發的間諜軟體,利用 iMessage 漏洞,甚至不需要用戶有所互動 (例如點擊任何連結),便可入侵蘋果多款設備,影響蘋果 iOS、OSX 和 watchOS 所有版本。報告指出,該間諜軟體曾用以監控一名沙烏地阿拉伯激進份子手機。

網路資安公司 Fundamental Cyber 研究員 Matthew T. Carr 表示,「蘋果的責任是確保這不包含任何漏洞,但我們剛好目睹蘋果失責。」

蘋果資安工程和架構部門主管 Ivan Krstić表示,針對公民實驗室揭露的 iPhone 漏洞,蘋果已迅速採取行動,發布了修正的更新版。

NSO 沒有回應置評請求。國家政府將該公司產品當作間諜工具用在視為對手的身上,使該公司遭輿論攻擊。該公司高層先前回應,他們不對最終用戶如何部署他們的產品負責。

至於蘋果,Carr 表示,將個資蒐集工具安置在用戶的個人設備中,這本身就是危險的行為。「點到點的加密旨在保護傳輸中的數據,但一旦出現這樣的漏洞,你有什麼隱私 app 都沒用了。」

監控技術監督項目公司 (Surveillance Technology Oversight Project) 執行董事 Albert Fox Cahn 批評,蘋果就想兩頭好處全拿,「它希望顧客相信蘋果隱私保護具黃金標準,但另一方面,蘋果也開始推出新監視功能,讓外國政府可以輕鬆擴大這些功能,針對美國人做出行動。」