蘋果手機內置定位功能或泄密 特斯拉存安全漏洞

　　連日來，央視和360公司分別曝光蘋果手機和特斯拉汽車存在的洩露隱私及安全漏洞

　　■本報記者 賀 駿

　　在人們對隱私問題日益關注之際，蘋果公司再度被推上了風口浪尖。日前，央視對蘋果手機可蒐集記錄用戶位置的功能提出質疑，認為蘋果手機詳細記錄了用戶位置和移動軌跡，並記錄在未加密數據庫中。事實上，蘋果公司已經不止一次遭到類似質疑，此前，斯諾登事件發生，蘋果、谷歌等公司就被曝存在洩露用戶隱私的行為。

　　無獨有偶，就在蘋果手機再度遭到質疑之際，風靡全球的特斯拉汽車也首度被曝存在安全漏洞。7月15日，360公司公開表示，發現特斯拉汽車應用程式流程存在設計缺陷，攻擊者利用這個漏洞，可遠端控制車輛，實現開鎖、鳴笛、閃燈、開啟天窗等操作。

　　位置記錄功能成為雙刃劍

　　蘋果手機的大量內置功能是其用戶體驗超出對手的重要構成，不過，這些體驗也不可避免的存在著另一面。央視節目指出，在蘋果手機“設置-隱私-定位服務-系統服務”下面，有一項默認開啟的“常去地點”的功能，該功能不僅記錄用戶常去的地點名稱，還詳細記錄用戶在這個地點停留的時刻及次數。

　　中國資訊安全測評中心工程師王嘉捷現場演示並指出，該文件記錄的位置資訊精確到了小數點後8位，更為關鍵的是，該文件也並未加密，是以明文形式放置在一個隱藏較深的位置，故存在洩露隱私的風險。值得一提的是，即使用戶關閉了“常去地點”功能，後臺數據庫文件依舊會記錄這些資訊。

　　實際上，蘋果公司已不止一次因類似問題遭到指責。2011年，韓國2.76萬用戶就曾對蘋果總部、蘋果韓國分公司發起訴訟，稱其通過手機周邊的無線網路收集用戶位置資訊。最後，因違反韓國《位置資訊保護法》，蘋果公司被處以300萬韓元罰款。

　　對於央視的報道，蘋果公司回應稱，“常去地點”通過“加密”後存儲于用戶個人設備上，並不備份于iTunes或iCloud中，蘋果從不獲取或了解某個用戶的“常去地點”資訊，並且謹防任何應用對其進行訪問。”此外，對於協助相關機構收集用戶資訊的指責，蘋果公司稱，“從未與任何國家的任何政府機構就任何産品或服務建立過所謂的‘後門’。”

　　對於蘋果內置的“常去地點”功能，360安全專家陳先生接受《證券日報》採訪時確認，“蘋果手機中的‘常去地點’功能，是蘋果公司為了提高GPS定位以及相關服務的準確性以及快速性加入的一個功能，屬於系統服務。”

　　360安全衛士緊急升級

　　不過，即便“常去地點”是一個有用的服務，但這也引發了不少用戶的擔憂。為此，在央視對該功能曝光後，360公司隨即對iOS版360安全衛士進行了升級。在最新版本中，360在全球首家實現了一鍵清除“常去地點”中的隱私資訊。用戶可以通過“一鍵清理”功能，把“常去地點”、“搜索記錄文件”等隱私資訊徹底清除。“我們的原理是調用系統介面，因此可以一鍵清除常去地點的數據資訊”，陳先生表示。

　　除此之外，新增的軟體隱藏功能可把手機中不想讓人知道的軟體藏起來，守住用戶的“小秘密”。而對於蘋果手機保存通話記錄存在條數限制的問題，也可通過新版本中新增的解除系統通話記錄條數限制保存更多通話記錄。

　　對於360公司的及時“救場”，截至目前，蘋果公司尚未表態。

　　隱私洩露風險防不勝防

　　儘管“蘋果手機+360安全衛士”的組合，在很大程度上可以大大降低隱私洩露的風險，但在移動網際網路時代，隱私洩露依然是防不勝防。哪怕遮罩蘋果手機的“常去地點”功能，也依舊存在洩露隱私的巨大風險。現實情況是，手機中很多APP的軟體用戶使用協議中，都會詢問用戶是否同意提供地理位置，而其中某些APP就存在著洩露用戶隱私的風險，尤為關鍵的是，用戶很難發現他們的暗中行為。

　　此外，在淘寶網等網站上，還有不少商鋪售賣“定位追蹤器”，用戶使用“追蹤定位器”，購買者可通過手機、電腦、微信、短信等，對目標（人、車輛或其他物體）進行實時監控定位，包括經緯度、運動方向、速度、停留時間等等。“定位追蹤器是利用手機GPS和陀螺儀模組，取得用戶資訊上傳後臺伺服器，然後再利用網頁，短信，微信等下發，這是一個惡意應用”，360安全專家陳先生指出，由於該裝置體積很小，在充電寶、保溫杯、鑰匙鏈、車用裝飾挂件中都可植入。

　　法律人士指出，這類追蹤定位器材雖與手機定位功能在技術原理上相似，但在安裝、使用流程上與手機定位功能有很大區別，且法律也明確規定，其生産、銷售和使用均屬於違法

　　特斯拉被曝存在安全漏洞

　　應該説，蘋果公司在安全、隱私方面屢遭到指責已不足為奇，但作為一款新能源汽車，特斯拉則迎來了首次在安全漏洞方面的曝光。7月15日，360公司稱，首次發現特斯拉應用程式安全隱患，攻擊者可遠端控制車輛，包括遠端開鎖、鳴笛、閃燈、開啟天窗等。360公司表示，已于將相關的漏洞細節和解決方案建議正式提交給特斯拉，並願意對特斯拉修復相關漏洞提供技術支援。

　　360安全專家表示，針對目前的隱患的臨時處理措施是，特斯拉車主在設置中，關閉遠端訪問開關即可有效避免潛在危害的發生。

　　據悉，在明日召開的SyScan360大會上，360公司安全團隊將會對該漏洞做現場講述，為現場觀眾重新漏洞過程。

　　對此，特斯拉公司回應稱，公司致力於與安全研究人員合作，以負責任的態度驗證、重現、應對和修復報告中的漏洞。