事件概述
据《纽约时报》报道,1月19日,亚利桑那州一名14岁少年在使用苹果视频聊天软件FaceTime时发现了一个程序故障——在朋友尚未接听通话前,他就能窃听对方手机的声音。
漏洞详情
几周后,苹果发言人在声明中表示公司“已意识到此问题,并确定了修复方案,将在本周晚些时候的软件更新中发布”。在更新发布前,建议用户前往iPhone设置中禁用FaceTime,以防对话或周围环境被窃听。
安全研究人员将此FaceTime问题称为“FacePalm”。据苹果粉丝新闻网站9to5mac.com报道,该漏洞允许用户通过FaceTime呼叫任何人,并在对方尚未接听或拒绝来电前立即听到来自对方手机的音频。这造成了严重的隐私问题,因为本质上可以窃听任何iOS用户,而且第二部分还可能暴露视频。
漏洞运作原理
9to5mac.com概述了该漏洞的运作方式:
- 通过iPhone联系人发起FaceTime视频通话
- 在拨号过程中,从屏幕底部向上滑动并点击“添加人员”
- 在添加人员界面输入自己的电话号码
- 随后将开启包括自己在内的群组FaceTime通话,并能听到原始呼叫对象的音频,即使对方尚未接听通话
- 在用户界面上显示对方已加入群聊,但在对方设备上仍显示为锁屏状态的来电提醒
- 此外,如果对方从锁屏界面按下电源按钮,他们的视频也会在不知情的情况下发送给呼叫方
安全专家观点
Digita Security联合创始人Patrick Wardle告诉《纽约时报》:“如果这类漏洞都能溜过检测,人们不得不怀疑是否还有其他问题漏洞被其他黑客利用,而这些漏洞本应被捕获。”
发现漏洞少年的母亲Michele Thompson在信中写道:“我担心这个缺陷可能被用于恶意目的。虽然这确实引发了个人隐私和安全问题,但如果政府成员成为这种窃听漏洞的受害者,可能会影响国家安全。”
漏洞奖励计划争议
与许多科技公司一样,苹果设有漏洞奖励计划,为此类发现提供经济奖励,但相比黑客保留此类信息的获利而言并不那么丰厚。值得注意的是,这些计划对安全行业人士可能很明显,但对消费者来说可能不太清楚。
因此,HackerOne首席执行官Marten Mickos告诉CNN:“公司和政府机构拥有面向公众的漏洞报告渠道非常重要。”他表示:“即使数百万人没有发现任何可报告的内容,数千人可能报告的不是真正的漏洞,但当只有一个人发现并能描述该漏洞时,这仍然是值得的。”
法律影响
如此次隐私泄露事件的影响如何?迄今为止,德克萨斯州一名律师已就FaceTime窃听漏洞对苹果提起诉讼,称有人利用该漏洞录制了宣誓证词。该律师表示,在他与客户进行私人取证时,有人能够窃听。无论此案是否在法庭上成立,这可能只是苹果面临的其他指控浮出水面的开始。
此外,纽约总检察长Letitia James在周三下午宣布,她的办公室正在对苹果的FaceTime混乱事件展开调查。
James在新闻稿中写道: “纽约人不应该在私人通讯和隐私权之间做出选择。这次FaceTime漏洞对多年来信任苹果及其产品的数百万纽约人的安全和隐私构成了严重威胁。我的办公室将对苹果对此情况的响应进行彻底调查,并将根据纽约州法律评估该公司的行动。我们必须利用一切可用工具确保消费者始终受到保护。”
企业影响
在James努力保护消费者隐私权的同时,就企业而言,根据TechCrunch的说法,试图查找苹果企业业务规模的数据是一项挑战,因为它在财报电话会议中通常不单独列出企业收入。然而,苹果首席执行官Tim Cook在2015年第四季度财报电话会议中确实透露了一个数字,这在涉及企业隐私时令人不安:
Cook当时表示:“我们估计,过去12个月中企业市场约占苹果年收入的250亿美元,比上一年增长40%,它们代表了未来的主要增长向量。”
随后,在2017年6月的彭博社采访中,Cook仍未提供任何数字,但他确实称企业市场是“所有机会之母”,因为企业倾向于批量购买,当他们在内部建立苹果支持系统时,会促进企业市场的其他部分发展,因为公司购买Mac来为其内部用户以及其产品和服务的消费者构建定制应用程序。