iPhone
北京時間4月13日消息,《華盛頓郵報》日前援引知情人士的消息稱,F(xiàn)BI此前成功解鎖iPhone 5c并未依靠以色列公司的幫助,而是花錢向黑客收買了關于iOS系統(tǒng)漏洞的信息,然后利用該信息成功解鎖iPhone。這些黑客俗稱“灰帽”,他們專門尋找軟件漏洞,然后向公司或政府出售以牟利。該報在文中表示,隨著成功解鎖iPhone,F(xiàn)BI現(xiàn)在必須考慮是否向蘋果披露漏洞信息,雖然FBI傾向于不公布,但決定權并不在其手中,而是取決于白宮的網(wǎng)絡安全評估小組,該小組一般會公布由政府機構發(fā)現(xiàn)的漏洞,但也可能會因為國家安全或執(zhí)法需要批準隱瞞漏洞。
以下是文章全文:
黑客助FBI解鎖iPhone 5c
蘋果與FBI的解鎖iPhone大戰(zhàn)已經(jīng)落下帷幕,但衍生劇情仍不斷上演。
據(jù)知情人士透露,F(xiàn)BI在成功解鎖圣貝納迪諾槍手iPhone的大勝中并未借助第三方公司的幫助,而是向多位專業(yè)黑客支付了一筆費用,在他們的幫助下才得以解鎖恐怖分子的iPhone 5c。
知情人士稱,這些黑客發(fā)現(xiàn)了至少一處此前未知的軟件漏洞,并將信息提交給了FBI。之后,相關人員根據(jù)這些信息打造了一款硬件,幫助FBI成功破解iPhone 5c的4位數(shù)密碼。
這些黑客平時非常低調(diào),他們專門尋找軟件中的漏洞,然后在某些情況下將其出售給美國政府。知情人士稱,在破解掉iPhone 5c后,F(xiàn)BI向這些黑客支付了一筆一次性酬金。
對FBI來說,破解4位數(shù)密碼并不是最難的部分,該機構預計只需花費26分鐘就能完成這一過程。挑戰(zhàn)從一開始就在于,怎樣才能讓iPhone的清除數(shù)據(jù)功能失效?該功能將會在密碼輸入錯誤達10次后清除iPhone中存儲的數(shù)據(jù)。還有一個功能也會增加破解難度,它會讓再次嘗試密碼的時間間隔越來越長。
消息人士稱,在解鎖圣貝納迪諾槍手iPhone的案件中,F(xiàn)BI并沒有像媒體此前報道的那樣,依靠以色列公司Cellebrite的服務。
圣貝納迪諾案件中的恐怖分子
如今美國政府必須權衡是否將漏洞信息披露給蘋果,而由白宮領導的一個評估小組將會作出最終的決定。
灰帽子黑客
幫助FBI的這些人來自這樣一個群體,他們有些是黑客,有些是安全研究人員,通過尋找各公司的軟件漏洞賺錢。
黑客一般有三種,分別為“白帽”、“黑帽”和“灰帽”。白帽會向公司或公眾披露公司的軟件漏洞,這樣人們就能修復這些漏洞,這種黑客通常被認為是正義的。黑帽會利用漏洞黑進網(wǎng)絡,偷盜人們的個人信息?;颐眲t存在不少爭議,在道德判斷上較為模糊?;颐睍榱速嶅X出售漏洞,比如向政府或公司出售,這些機構可能會利用漏洞開發(fā)監(jiān)視軟件。當向政府或黑市出售漏洞時,黑帽不會向軟件所屬的公司透露信息。據(jù)稱,至少有一位幫助FBI的人士屬于灰帽子黑客。
白宮評估小組將決定是否公布漏洞
FBI局長詹姆斯·柯枚(James B. Comey)曾表示,破解方案僅適用于運行iOS 9的iPhone 5c,僅是一小部分的iPhone。
蘋果則在上周表示,不會為了獲取破解信息而起訴政府。
盡管如此,許多安全和隱私專家一直呼吁政府公布相關信息,令蘋果能夠修復漏洞。
柯枚曾在上周表示,如果政府向蘋果分享漏洞信息,蘋果將修復這一漏洞,這樣FBI又將回到無法解鎖iPhone的原點。他在周一表示,正在考慮是否披露信息。
白宮存在一個特別小組,專門評估由政府機構發(fā)現(xiàn)的網(wǎng)絡安全漏洞,之后決定是否公開。據(jù)政府官員透露,該小組還有數(shù)周時間才會對圣貝納迪諾案件中的漏洞進行評估。
“當我們發(fā)現(xiàn)漏洞時,我們一般傾向于對外公布,”白宮網(wǎng)絡安全協(xié)調(diào)員邁克爾·丹尼爾(Michael Daniel)曾在2014年接受采訪時說。“這樣做的理由是很充分的。如果你要在世界上選出一個最依賴數(shù)字基礎設施的經(jīng)濟體和政府,那將是美國。”
但他也補充說:“不過我們也有情報和國家安全任務要執(zhí)行,這些因素將決定我們是否披露漏洞。”
評估小組成員包括來自美國司法部,F(xiàn)BI,國家安全局,中情局,國務院以及國土安全部的多位高級官員,他們將在評估中考量相關軟件的流行度,也會考慮該漏洞在軟件中的功效。漏洞能否被用來追蹤恐怖組織成員,從而阻止恐怖襲擊?有沒有別的方法獲取信息?這些都是考量因素。
對于圣貝納迪諾案件中使用的iPhone,一位匿名政府官員說:“這既涉及國家安全方面又涉及執(zhí)法方面,因為恐怖分子或其他國家安全問題中都可能會使用iPhone。”
評估小組可能會決定披露漏洞,只不過不是立刻公布?;蛟S會有政府機構表示需要利用該漏洞幾個月時間。
“決定隱瞞漏洞不是長久之計,”丹尼爾在早前的采訪中說。“我們會定期進行評估,這樣如果情況發(fā)生改變,我們就能決定在那時披露漏洞信息。”