当FBI要求苹果协助破解圣贝纳迪诺枪击案凶手的iPhone时,该机构正涉足危险的水域。这是根据伍斯特理工学院网络安全政策教授苏珊·兰道(Susan Landau)今天在《科学》杂志上发表的一篇文章的观点。兰道曾担任谷歌隐私分析师,她写道,FBI的做法是短视的,并可能损害用户的智能手机保护,同时招致不法分子利用由此产生的安全漏洞。
兰道说,真正的问题在于FBI想要破解手机的*方式*。该机构命令苹果创建一个特殊更新,该更新将禁用一个安全功能,该功能通常会在十次密码尝试失败后导致手机关机。据该机构称,他们只会使用这个特殊更新一次,并在使用后删除它。苹果拒绝了。首席执行官蒂姆·库克(Tim Cook)表示,由此产生的软件将相当于一把“万能钥匙,能够打开数亿把锁”,让所有客户都暴露于风险之中。(FBI最终向一家第三方承包商支付了130万美元,该承包商成功破解了手机。)
兰道写道,使用软件更新来破解智能手机是愚蠢的,她不相信FBI声称该更新不会被重复使用。事实上,正如苹果律师在2月份披露的那样,自2015年9月以来,FBI已命令苹果为另外11部iPhone提供访问权限。兰道认为,FBI会 tempted 重复使用圣贝纳迪诺的更新,甚至可能与其他执法机构分享该工具,例如曼哈顿地区检察官办公室,该办公室持有200多部被顽固锁定的iPhone。她认为,如果使用更新来破解智能手机变得普遍,可能会导致不法分子滥用。
“流程中的某些疏忽或恶意员工的合作,很容易导致虚假请求被混入更新队列。”而消费者可能会怀疑新的更新是否实际上是监控工具。她写道,如果这种不信任导致用户避免更新,“将会产生毁灭性的安全影响”。
但兰道认为,迄今为止最大的风险将是安全身份验证的破坏。两步身份验证系统(密码加上临时ID号)与智能手机配合得很好。随着保护功能的削弱,攻击者可以更容易地冒充手机所有者,如果目标持有敏感信息或拥有特殊访问权限,这将尤其成问题。
问题的核心是所谓的“黑屏”问题:FBI有权访问某些信息(例如圣贝纳迪诺枪击案凶手的手机上的数据),但缺乏技术知识或能力来获取它。正如FBI局长詹姆斯·科米(James Comey)在2014年的一次演讲中所说的那样:“虽然我们拥有合法授权,但我们发现自己越来越多地无法做到法院授权我们去做的事情,那就是收集恐怖分子、罪犯、恋童癖者、各种坏人传输的信息——我们根本无法做好我们的工作;我们无法合法地拦截传输中的数据。”他进一步将智能手机中的数据比作汽车后备箱里的东西。自然,他希望轻松地访问两者。
虽然许多人将智能手机加密问题视为隐私问题,但兰道认为这实际上是关于安全的问题。她写道,FBI不应该要求科技公司削弱其设备的安全性,而应该专注于加强自身的科技技能。她给FBI的信息是:自己动手!她建议大幅增加FBI在所谓“合法黑客”方面投入的人员和资金。
兰道总结道
