(米可)智能手機可能包含一些讓你變得更脆弱的“秘密”功能。
在這裡我說的並不是黑客會利用產品偶然出現的一些設計缺陷,畢竟對於計算機類的產品,安全漏洞會一直存在。這是一種貓捉老鼠的遊戲,圖謀不軌的參與者總會試圖破壞智能手機的安全,而智能手機行業則試圖第一時間修復那些被黑客利用的偶然漏洞,這並不是什麼新鮮事。
我們今天要討論的是一種新的現象,在過去幾周才剛剛出現這種問題。
我指的是智能手機公司在設計階段作出的決策,智能手機在後臺和隱藏在背後的事情,讓手機變得不那麼安全。
最近,谷歌、蘋果和OnePlus都被發現有偷偷控制用戶手機的行為,這些行為用戶永遠不會自己發現。即使用戶採取行動關閉了一些軟件,同樣會造成潛在的不安全因素。
也許智能手機行業這麼做的初衷是充滿了善意,廠商想要提高產品的性能或易用性。但是在沒有明確告知用戶的情況下做出這樣的決定,就是對用戶和消費者的不尊重。
這是我們在過去的幾周內得出的初步結論。
谷歌安卓Cell ID追蹤事件
Quartz之前曾發佈一份報告表示,安卓智能手機的系統會收集用戶位置數據,並將這些數據發送回谷歌。就算用戶主動關閉了手機上的GPS定位功能,也沒有開啟任何相關的程序,甚至沒有插入運營商的SIM卡,只要接入網絡,這些數據都會被髮送回谷歌的服務器。
Quartz表示從今年年初開始,安卓智能手機一直都在收集附近信號塔的地址,這讓谷歌獲取到了遠超“合理隱私權限”的用戶位置信息。
谷歌已經承認了這一事實,並且表示在這份報告受到外界關注之後終止這一做法。
在一份公開的技術性聲明中谷歌對此進行了解釋。“為了確保用戶能夠第一時間接收到信息和通知,安卓智能手機使用了一個網絡同步系統,該系統需要使用MCC和MNC代碼。今年1月,我們開始研究使用Cell ID作為進一步提高信息傳輸速度和質量的額外信號。”谷歌在聲明中表示。
Cell ID代碼通常是代表信號單元塔的唯一標識,它是一個變量,可以用來確定某個設備的位置。谷歌表示收集的Cell ID從未被儲存在網絡同步系統中,使用完畢後所有數據都被立即刪除。
谷歌現在已經表示,不會再收集用戶的Cell ID代碼,但仍會繼續使用MCC和MNC代碼,因為後兩者為消息和通知傳遞提供了必要的網絡信息。谷歌還補充,這些代碼與定位服務完全不同,後者是為應用提供了設備的位置信息。
對谷歌來說,用Cell ID來加快消息傳遞是一種正確的方式。但在所有安卓智能手機上實現Cell ID追蹤而不告訴用戶正在傳輸位置信息,即使是這些數據被第一時間刪除,也是錯誤的做法。
蘋果iOS 11系統控制中心連接控制混亂
iOS系統的設置中心一直都可以讓用戶直接開啟或關閉Wi-Fi或藍牙連接功能。
當我們在設置界面中關閉Wi-Fi或藍牙的時候,這兩個功能會徹底斷開與設備的連接,然後關閉這項功能,然後Wi-Fi和藍牙就已經徹底無法連接,兩種功能也會一直處於關閉狀態,直到用戶再開啟為止。
這是用戶期望的工作方式,以及它正常的工作方式。
為了方便起見,蘋果在iOS 7系統中加入了控制中心功能。直到今天,用戶依然可以通過從屏幕底部向上滑動的方式激活控制中心(當然在iPhone X中的激活方式變成了從屏幕中心向右滑動),用戶就可以在控制中心快捷開啟或關閉Wi-Fi和藍牙,還有其它相關功能。
蘋果加入控制中心功能是非常明智的選擇,因為這可以讓用戶快速、頻繁的開啟或關閉。例如快捷開啟Wi-Fi或藍牙就可以節省不少電量。
但在iOS 11系統中出現了這樣問題,雖然在控制中心看起來是關閉狀態,但其實只是斷開連接,並沒有真正關閉兩種功能。
當用戶從控制中心關閉藍牙或Wi-Fi的時候,iOS 11會自動重新連接到新的熱點或藍牙設備,只要在連接範圍內即可。甚至會在凌晨5點重新連接到用戶主動斷開的網絡或設備中。
在設置界面下關閉是徹底和永久性的關閉,在控制中心“關閉”只是一種錯覺,Wi-Fi和藍牙仍在繼續。
對於大部分的用戶來說,都會認為在控制中心關閉和設置界面關閉是實現相同的目的,但實際上它們的效果完全不同。蘋果只是在一個模糊的、誰都不會在意的幫助界面下通知用戶,蘋果自己也知道,大多數的用戶永遠不會看到這個頁面。
蘋果這麼做,本身就是為了快速脫離網絡資源,並且讓設備繼續支持AirDrop、個人熱點等網絡,同時繼續支持Apple Watch或Apple Pencil的外接設備。如果從方便的角度來說,蘋果的做法是合理的。
但是蘋果的錯誤在與沒有能夠清楚直接的告訴用戶這樣的變化,用戶並不知道從控制中心開關上並不能徹底關閉Wi-Fi和藍牙功能。
OnePlus EngineerMode後門
本月,移動安全研究專家Elliot Alderson表示OnePlus被發現安裝了一款存在後門的應用EngineerMode。這是一款診斷軟件,通常出現在原型機或預裝軟件中。
有三種方式可以激活EngineerMode,使用撥號命令、Android啟動器或命令行。
這種支持root的EngineerMode應用雖然有密碼保護,但是非常容易破解並且在網上被共享,可以對這款設備進行物理訪問。
OnePlus在一篇博客中回應,認為這並不是一個重大安全問題,因為它不太可能被用於開發,但隨後公司在更新中移除了這個應用。
EngineerMode是一款經過OnePlus定製的高通開發應用,包括華碩和小米也都使用過這款應用。
雖然不清楚OnePlus在什麼情況下要安裝這款應用,但作為一家大型智能手機,有意留下具有後門性質的漏洞可能性並不大。更可能的是,OnePlus希望通過這款應用加快手機系統的安裝速度,而不需要在每部手機上都重複卸載安裝過程。
如果OnePlus真的能夠保證EngineerMode不會出現重大安全問題,那麼這麼做也是由足夠的理由。
閱讀更多 優宜佳科技看世界 的文章
