本文来自微信公众号“GoUpSec”。
继微软本周推出的Windows“回忆”功能引发隐私焦虑,遭马斯克和安全大咖们猛烈抨击后,苹果iPhone手机近日也曝出了类似的“记忆门”。
删除十几年的iPhone照片被恢复
近日,有苹果手机用户更新了苹果上周发布的iOS 17.5系统后,意外地发现手机中出现了很早以前删除的照片。一位Reddit网友发帖称更新系统后发现多年前的照片又被恢复了,另一位网友跟帖说其十几年前就已经删除的“老照片”出现在更新系统后的iPhone手机相册中,并被上传到了iCloud云端:
其实早在iOS17.5公开测试版本中就有用户发现类似问题,但不知何故这个bug成功进入了最终版本,导致大量苹果用户受到影响并投诉。一些受影响用户认为苹果公司无限期存储用户数据,是对隐私的大规模侵犯。
苹果公司在本周一发布的iOS 17.5.1中修复了错误,但苹果对问题原因保持沉默,这助长了“阴谋论”。
由于用户被恢复的照片远远超过了iOS“最近删除”系统设置的30天文件保留期限,因此很快关于苹果iCloud“悄悄”备份用户数据(包括已经删除的文件)以及苹果设备存在后门的传闻在坊间快速发酵。
问题出在iOS还是iCloud?
虽然苹果公司并未及时给出解释,但安全公司Synactiv近日对已修复问题的iOS17.5.1进行了逆向工程,发现问题来自iOS系统,而非iCloud。
Synactiv检查了iOS 17.5和iOS 17.5.1两个版本的IPSW文件并比较了DYLD共享缓存后,发现‘PhotoLibraryServices’中‘PLModelMigrationActionRegistration_17000’函数发生显著变化:
从上图可以看出,苹果在17.5.1更新中删除了17.5中负责扫描文件系统并能重新导入照片的代码,后者导致已删除照片被重新索引并添加回照片库中。
Synactiv解释道:“此事件表明,已删除的照片实际上仍然保留在文件系统中,只是被iOS17.5中新增的数据迁移例程找到了。但这尚无法解释为何这些已删除照片仍然保留在iPhone手机的文件系统中。”
Synactiv的调查基本排除了iCloud存储(监控)已删除文件的嫌疑,同时为广大手机用户(包括安卓用户)敲响警钟:手机中“已删除”的文件可能并未被真正删除。
一种可能是手机操作系统或者某些大厂APP(未经用户许可)保留了“数据备份”;另一种可能是这些数据只是被系统标记为“已删除”,但数据依然存储在内存物理地址中,在被新数据覆盖之前,这些“已删除”文件仍可被系统后门、数字取证工具(或苹果系统更新bug)恢复或泄露。
iPhone到底有没有后门?
虽然iPhone“照片恢复”事件尚无官方定论,但该事件再次激起了对iPhone是否存在后门的讨论。
iPhone近年来频频曝出可导致数据泄露的零日漏洞(其中很多是危险的零点击漏洞),使其成为商业间谍软件的热门攻击目标,但这似乎并未撼动苹果打造的用户隐私和安全优先的“人设”。换而言之,用户通常认为苹果公司不会主动监控或在系统中留下后门。
但2023年,苹果的“安全人设”首次面临严重信任危机,卡巴斯基和俄罗斯联邦安全局情报和安全机构FSB先后发布报告,声称遭遇史上最复杂的iPhone间谍软件攻击——三角测量攻击,并指控苹果公司故意向美国国家安全局提供了一个后门,可以用零点击漏洞投放间谍软件感染俄罗斯的iPhone手机。
FSB发布的公告声称已在数千部苹果iPhone上发现了恶意软件感染,这些iPhone属于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。
在2023年12月发布的调查报告中,卡巴斯基披露了对“三角测量攻击”的分析报告,指出该攻击利用了苹果芯片中从未公开的神秘功能(可能用于工厂测试和调试)中的零日漏洞(CVE-2023-38606)来绕过硬件安全保护。卡巴斯基指出,这个漏洞(硬件后门)并非“失误”,而是苹果有意为之。