蘋果可能已被中國駭客“偷咬一口”


2014.10.21
Share on WhatsApp
Share on WhatsApp
apple.jpg 美國蘋果公司門店(資料圖/AFP)

總部設在美國專門研究中國網絡審查的非盈利非政府組織“巨火”(GREATFIRE.ORG)近日對外透露,美國蘋果公司在中國的雲存儲和備份服務遭到表面不明身份的黑客攻擊,中國政府參與了此次黑客攻擊行動。

關注中國網絡審查的“巨火”組織, 其宗旨是帶給世界“中國防火牆封鎖的最新資訊”。這一次,他們帶給世界的最新資訊是:表面身份不明的駭客利用網絡空間所謂的“中間人攻擊”(MITM)方法,在蘋果用戶與蘋果雲存儲服務器之間偷偷插入他們自己設立的網站,竊取了用戶的密碼、即時通訊軟件iMessage上的信息、照片和聯繫人信息。

由於幾個星期前蘋果公司纔對外宣佈,決定在中國電信的服務器存儲中國用戶的數據,此次駭客攻擊不免讓人擔心蘋果用戶資料的安全和隱私。對此, 曾經被譽爲“中國民間記者第一人”、目前在臺灣工作的網絡專家周曙光星期二表示::

“蘋果決定在中國存儲的中國用戶資料是否安全取決於是否是加密存儲。如果是加密存儲,中國蘋果用戶的隱私不會受到影響;如果沒有加密存儲,中國政府就可能拿到用戶的信息。這次‘中間人攻擊”我相信不是個人行爲,絕對是由中國聯通執行、由政府資助的一種攻擊, 目的是爲了收集蘋果在中國的用戶信息。如果中間人攻擊配合DNS 欺騙的方式進行,駭客可以可以定向向某個區域或個人發起攻擊, 以獲取攻擊目標的密碼和資料。”

“巨火”組織推測中國政府參與了此次蘋果受駭客攻擊行動是因爲這次攻擊與之前的谷歌、雅虎以及微軟電郵服務(Hotmail)遭到的攻擊類似。路透社星期二的一則報道也說,他們資訊過的兩名獨立網絡安全專家也稱,“巨火”組織的說法聽上去可信。此外,周曙光還表示,他之所以認爲蘋果在中國的雲存儲服務受到駭客攻擊,背後有中國聯通和中國政府的影子, 是因爲一是許多網友都能重現中間人攻擊的現象,看到假的網絡瀏覽安全證書, 二是駭客自己沒有足夠的資源單獨發起攻擊:

“因爲駭客要通過路由方式, 讓用戶完全感覺不到的情況下得到假的證書。此外,在中國以外看這個IP 是完全沒有影響的,但在中國看着同一個IP則不同。 如果在中國從這個IP返回數據,用戶會得到一個假的去年全證書,中間人攻擊由此形成。大多數用戶會感覺到有問題是因爲安全證書是自簽名,不會被他們的網絡瀏覽器默認,不會被權威的網絡證書機構所信任。然而,由於中國政府擁有中國互聯網絡信息中心(CNNIC)證書頒發機構,以中國互聯網絡信息中心以前的劣跡判斷,他們有可能頒發假的證書給駭客使用。 這樣, 在用戶感覺不到安全警告的情況下,用戶的資料已經被駭客以中間人攻擊的方式竊取了。”

當蘋果宣佈開始在中國境內存儲中國用戶數據時,不少西方媒體和專家質疑蘋果公司意圖通過此舉向中國政府的網絡審查低頭示好。不過,蘋果公司八月中旬曾在一份中聲明中強調:在中國儲存數據是蘋果公司“提高雲服務速度和可靠性努力的一部分”,“將數據中心置於離用戶儘可能近的地方意味着更加迅捷的服務”;蘋果公司同時還聲稱,“一貫注重”用戶的安全和隱私,中國電信服務器上的密匙將被離岸儲存,中國電信無權訪問用戶內容。

對此,美國網絡安全專家夏先生星期二表示:

“把雲存儲反腐在中國的服務器上的, 蘋果公司不該那麼做, 因爲很多蘋果用戶肯定擔心自己資料的安全性。如果針對蘋果在的雲存儲的確發生中間人攻擊而且攻擊是大規模的,只有服務商纔有能力攻擊。由此, 我們可以推測是中國政府在背後指使駭客攻擊。”

針對蘋果公司在中國的雲存儲和備份服務遭到表面不明身份的黑客攻擊, 中國政府已經在第一時間像以往一樣否認介入。以上提到的中國電信和中國聯通對外無論怎麼說, 怎麼包裝,要說他們不受中國政府控制,不知誰會相信。

英國《金融時報》不久前曾報道,大多數美國科技企業出於用戶安全考慮或因不願接受中國政府審查,避免在中國存儲用戶數據;因拒絕接受中國政府的審查,谷歌2010年宣佈退出了中國內地,微軟也出於同樣考慮一直沒在中國設立郵件服務器。夏先生認爲, 此次攻擊可能導致蘋果改變在中國存儲中國用戶資料的做法:

“因爲通過這樣的事件, 很多人都看到了資料被竊取的可能性,印證了很多專家之前的分析, 再次重複了谷歌等公司的遭遇,,蘋果公司單單從商業層面考慮也有可能改變在中國存儲中國用戶資料的做法。”

有報道說,中國大約有一億的蘋果手機用戶。 這次蘋果雲存儲服務在中國受攻擊可能與香港“佔中”抗議活動的圖像資料流傳到中國有關。另一個受攻擊的可能原因是蘋果最新推出的智能手機, 其加密功能令中國政府無法監控用戶的資料。周曙光表示, 要想從根本上解決問題,人們必須安裝使用一個名叫DNSSec的方式,從而來保證用戶得到的IP地址是真實的; ISP網絡服務提供商要實行中立政策, 不要屈從於某一個政府或政黨的要求,劫持網絡用戶。

記者:聞劍 責編:陳平

添加評論

您可以通過填寫以下表單發表評論,使用純文本格式。 評論將被審覈。

COMMENTS

完整網站