专家表示,法院命令苹果协助FBI对去年圣贝纳迪诺(San Bernardino)恐怖袭击中枪手使用的iPhone实施暴力攻击,将开创具有广泛影响的先例。
首先,这可能意味着在未来,如果加密产品的制造商不能访问其包含的加密数据,他们可能不得不修改产品以满足类似的订单。这引起了隐私权倡导者的关注,他们认为加密不仅对保护个人数据很重要,而且对保护交易和行业机密也很重要。
另一方面,如果该命令被推翻,执法部门可能会失去迫切需要的工具,直到联邦法律通过,明确规定产品制造商必须能够满足此类命令的要求。鉴于今年联邦政治的争议性,这可能是一个漫长的过程。
尽管苹果接到这一指令时,人们还在争论在加密设备中安装后门是否明智,但苹果实际上并不需要这样的后门。相反,它要求苹果公司禁用反暴力机制,在10次试图用密码打开手机失败后,该机制会将手机擦干净。
有了这个机制,联邦调查局就可以进行电子攻击,尝试随机密码,直到命中正确的密码。这些代码与手机独特的硬件特征相结合,将生成解密设备的密钥。电话就会打开,数据就会出现。该设备的整体安全性将受到破坏,但从技术上讲,加密本身的完整性将保持不变。
哈佛大学伯克曼互联网与社会中心的Bruce Schneier说
哈佛大学伯克曼互联网与社会中心的Bruce Schneier说:“我不知道你在做什么区分。”“FBI要求苹果重新安装他们修复的漏洞。”
Schneier说,这款手机就是iPhone 5c,它最初没有强力保护功能,但苹果公司在2014年推出了这款手机。他说,问题是,“苹果有义务让政府访问其漏洞吗?”
如果是这样,施奈尔说,“它对每个人都有影响,每个人的设备——电话、电脑、fitbit、医疗设备。”
苹果公司的库克在法庭命令上有他的发言权
苹果公司首席执行官蒂姆·库克表示,公司将在法庭上挑战这一命令,部分原因是这将开创一个对隐私产生广泛负面影响的法律先例。“政府可能会扩大这种对隐私的侵犯,并要求苹果开发监控软件来拦截你的信息、访问你的健康记录或财务数据、跟踪你的位置,甚至在你不知情的情况下访问你手机的麦克风或摄像头,”库克在一份声明中写道给苹果客户的声明。
在请求订单时政府猜测苹果会采取什么措施来让手机遭到强力攻击。在他的回应中,库克并没有说苹果做不到。事实上,他暗示这是可能的,但他只是不认为这是一个好主意,而且为这款iPhone 5c禁用反暴力的软件也可以用于其他手机。
“在错误的人手中,这个今天还不存在的软件将有可能解锁某人实际拥有的任何iPhone,”他写道。政府建议这个工具只能在一部手机上使用一次。但事实并非如此。”
蒂姆·库克,苹果公司CEO
电子前沿基金会(Electronic Frontier Foundation)站在库克一边,更令人怀疑的是,这个工具一旦编写出来,就会被广泛应用。“即使你信任美国政府,”EFF写道,“一旦这个万能钥匙被创造出来,世界各国政府肯定也会要求苹果破坏其公民的安全。”
政府并没有要求使用万能钥匙,而且库克似乎也没有正确说明订单的要求。“具体来说,FBI希望我们制作一个新的iPhone操作系统版本,绕过几个重要的安全功能,并将其安装在调查期间发现的iPhone上。”
+白宫的反应:白宫:联邦调查局并没有要求苹果公司提供iPhone的“后门”+
但该命令本身表示,它要求苹果编写的软件“不会修改实际手机上的iOS”。根据美国联邦调查局的建议,为方便用户使用手机而开发的软件将被加载到内存中。
库克说,联邦调查局在描述它想要什么方面存在误导。他写道:“FBI可能会用不同的词来描述这个工具,但毫无疑问:构建一个以这种方式绕过安全的iOS版本,无疑会创建一个后门。”
开创IT安全先例
如果政府赢得了这将是前所未有的,法院迫使公司编写新的代码来破坏现有的安全产品,爱德华·麦克安德鲁说,美国前助理律师,现在网络犯罪和国家安全协调员网络专家私下在巴拉德Spahr LLP法律实践。“这是我们的新领域,”麦克安德鲁说。“我从来没有见过法庭说你需要修改设备,这样政府就可以黑掉它。”
他说,过去类似的指令要求公司获取并交出数据,但在这些情况下,数据是现成的,不需要新代码来破解设备。
麦克安德鲁说,加密问题的正反两面甚至在政府内部都有。一方面,执法部门希望获得与调查相关的加密数据,但另一方面,美国卫生与公众服务部(Department of Health and Human Services)对未对个人健康信息进行充分加密的医疗机构处以罚款。
在执法方面,麦克安德鲁表示,他个人经历过无法访问加密数据会影响调查。在调查过程中,有时会出现一些证据,可以阻止尚未发生的预谋犯罪。这类信息可能就在圣贝纳迪诺的iPhone上,但没有办法在不解密的情况下分辨出来。
他说,政府过去曾使用iCloud和其他备份和同步服务来绕过加密设备的问题。圣贝纳迪诺案件的法庭文件表明,iPhone是备份到云端的,但显然从最后一次同步到FBI拿到手机之间有一段时间的延迟。
订单告诉苹果公司提供“合理的技术支持”做三件事:
- 绕过或禁用自动擦除功能[在10次失败的密码尝试后,可以将手机设置为自动擦除]。
- 让联邦调查局通过电子方式尝试密码(大概是破解密码)。
- 确保手机上的软件不会在密码尝试之间插入延迟[在一定次数的失败密码尝试之后,iphone会在接受下一次尝试之前插入越来越长的延迟时间。这将大大减缓蛮力攻击的速度。
FBI建议如何做到这一点:编写并交给FBI的软件,该软件加载到RAM中,不会修改操作系统,也不会修改手机闪存中的数据或系统分区。
该命令要求软件必须在政府机构或苹果公司的机构装载。如果是在苹果公司,该公司必须通过电脑远程访问手机,这样FBI就可以进行密码恢复分析。
如果苹果提出了实现同样目标的另一种方法,只要联邦调查局同意,它就可以这么做。