美國聯邦調查局(FBI)於3月宣布,已在不仰賴蘋果公司(Apple Inc.)的情況下成功解鎖加州聖伯納迪諾(San Bernardino)槍擊案槍手的iPhone,但未透露破解方式。12日,美國《華盛頓郵報》(Washington Post)報導,知情人士指出,FBI是付費向專業駭客購得蘋果安全機制內的弱點。而美國政府還將考慮是否將這項資訊告知蘋果公司。
The FBI paid professional hackers a one-time fee to crack the iPhone of a San Bernardino terrorist https://t.co/kP1Kw35vcC
— Washington Post (@washingtonpost) 2016年4月13日
行徑具道德爭議的「灰帽」駭客
《華盛頓郵報》報導指出,至少一名介入聖伯納迪諾槍擊案的駭客屬於「白帽」(white hats)與「黑帽」(black hats)以外的第三種範疇:「灰帽」(gray hats)駭客。收費方式為一次性的均一價格。
一般來說,白帽駭客將發現的弱點或瑕疵公諸於眾,或告知研發單位,以協助改善與補強,被認為較具有道德感。黑帽駭客則利用這些易受攻擊處竊取資料,或駭入秘密網絡。
灰帽駭客的行為較具爭議性。他們將發現的弱點受販售給政府、或研發監控工具的企業。批評者認為灰帽駭客助長了政府監控人民的行徑。但他們販售的資訊,也可能讓國安單位得以反制敵方間諜或恐怖分子。
這篇報導也指出,先前傳出幫助FBI破解手機者,是以色列科技公司「Cellebrite」,但他們並未對這起案件提供協助。
美國政府考慮是否告知蘋果破解途徑
先前,美國聯邦法庭判決蘋果公司應協助FBI,破解2015年12月聖伯納迪諾槍擊案槍手法魯克(Syed Farook)的iPhone 5c。這起恐怖攻擊造成14人喪生,法魯克與共謀的妻子馬立克(Tashfeen Malik)也遭警方擊斃。蘋果公司基於公眾安全考量拒絕服從判決,也引起隱私權與國安矛盾的國際性關注。
FBI局長柯密(James Comey)先前已表示,這個破解途徑僅適用於「很有限的」裝置,無法解鎖更新款的手機。此案例為運行iOS 9系統的iPhone 5C。
蘋果安全機制的防護關鍵在於每次嘗試密碼的時間限制、以及10次輸入錯誤密碼後,就會自動銷毀資料。這使得FBI無法透過所謂的「暴力攻擊法」(brute force, 反覆嘗試各種密碼組合)破解。柯密曾說,如果沒有這層機制,FBI可在26分鐘內駭入蘋果手機。
美國政府將考慮是否將這項弱點透露給蘋果公司。依照白宮程序,此案可能還將等上數周才會進行檢閱。蘋果公司已表示不會因此控告美國政府。許多維安與隱私專家呼籲政府向蘋果告知相關資料,讓研發人員得以加強其維安機制。
