【資安周報第11期】蘋果槓上FBI，除了隱私和國安，還有其他考量在內嗎？

這周最引發大家關注的資安新聞，除了是蘋果執行長Tim Cook和美國FBI及美國法院因為開iPhone後門的事情槓上外，以看熱鬧心情持續關注的新聞就是，防毒軟體公司McAfee創辦人John McAfee公開宣布，將要協助FBI在3周內破解美國南加州聖伯納地諾市14死槍擊案兇手法魯克（Syed Farook）的iPhone 5C，釐清被警方擊斃的槍手夫妻是否真的有和恐怖組織伊斯蘭國有往來的情況。

而誇下海口的John McAfee更表示，如果他無法如期破解嫌犯的手機，他將會現場直播「吃鞋子」作為懲罰。有許多資安圈人士也都在關注，John McAfee到底會不會真的要直播吃鞋子的現場實況，和曾經表演吃鞋子的已逝默劇大師卓別林一較表演吃鞋子的高下。

不過，不論是國家安全或者是個人隱私保護之間的拉鋸，蘋果公司大動作的槓上FBI，就沒有其他的可能性嗎？其實也看到私底下有一些其他推測，早在2月18日就有臺灣專家推測，蘋果公司的大動作，其實是為了中國市場iPhone的銷售，而這樣的說法，也在2月19日從愛德華史諾登的推特上獲得另一方面的認可。

美國FBI要求蘋果公司打造一個繞過iPhone安全機制的後門程式

在2015年12月發生的這起南加州槍擊案件，也是近三年來，美國傷亡最慘重的槍擊案件之一。美國FBI為了破解已經被擊斃槍擊犯法魯克的手機iPhone 5C，由聯邦法院發出命令，要求蘋果公司要協助FBI破解嫌犯手機的加密功能，最好是蘋果公司重新設計一個新版的iOS手機作業系統，可以讓FBI不必受限iPhone 5C手機密碼輸入10次錯誤後，手機資料會被自動抹除的限制。

蘋果執行長Tim Cook在接到聯邦法院的命令後，更直接在官方網站上發表一封給客戶的公開信，宣示蘋果為了確保使用者隱私的立場，堅決拒絕FBI提出在iPhone手機上，打造一個可以繞過安全機制的iPhone作業系統的要求。

Tim Cook更直指，FBI就是要求蘋果公司打造一個現在蘋果還沒有的後門程式，「即便FBI宣稱，這樣的後門程式將只使用在嫌犯的手機，並只使用一次，」但包括他在內的多數人，對於FBI這樣的承諾都不相信。

而在Tim Cook這封公開信隱而未提的部份，也有怕是否會出現「順了姑意」卻「逆了嫂意」的困境。也就是，如果今天蘋果對FBI的要求屈服了，之後包括美國中情局（CIA）、國家安全局（NSA）甚至是警方等，都可以以各種方式和手段要求蘋果公司提供「可以繞過iPhone手機安全機制的後門程式」協助辦案。

Tim Cook很清楚，FBI要求的後門程式就像是一只「魔戒」，任何戴上魔戒的人，這只戒指就脫不下來了。

更寫實的描述更像是，如果蘋果真的打造這樣的後門程式，就形同在網路世界打造一個蘋果手機的萬能鑰匙，每一臺蘋果手機存放的各種照片或資料等，都是每個使用者珍貴的寶藏，這隻手機就像是一個金庫一樣，一旦有了這把萬能鑰匙出現，不論是美國政府甚至是恐怖組織，想要如入無人之境地任意打開這些網路上的金庫，勢必會想方設法取得這樣的後門程式。

「殺頭的生意有人做、賠錢的生意沒人做」，在如此有利可圖的前提下，FBI宣稱，這樣的後門程式將只用在嫌犯手機、只用一次的承諾，就如同鏡花水月一般的不可信。

蘋果公司其實早在第一時間就提供FBI一些可以取得法魯克手機資訊的一些方式，像是法魯克在10月份曾經將手機完整備份到蘋果的iCloud上，但在犯案前6個星期內，則沒有做過任何資料同步的動作，如果這隻嫌犯的手機可以連上預設的無線網路做資料同步，FBI就有機會從iCloud的備份中，找到嫌犯在犯案前6周的各種通訊往來和通聯等記錄。不過，也有消息傳出來，嫌犯手機在FBI監管時，被警員重新設定Apple ID的密碼，這也使得FBI想要從原本兇嫌的Apple ID的iCloud尋找過往的備份記錄難上加難。

甚至於，也有傳言說，FBI取得的兇嫌手機其實是工作機，通常，不會有人會用受到控管的工作機和「恐怖分子」聯繫；而傳言也指出，美國政府相關部門早就取得兇嫌相關的通聯記錄等等。如果，上述的傳言都是真實的，為什麼FBI還要大張旗鼓的要求蘋果公司協助打造後門程式，這背後的企圖，也讓人有諸多不當的聯想。

在這起FBI與蘋果公司的抗爭中，其實是政府要求產品製造業者提供一個破壞原本產品安全機制的作法，對於所有高科技業者而言，這都是不可能同意的天條，一旦業者同意政府的要求，將會喪失原本使用者對該業者的信任，而這名業者也將在使用者的唾棄中，迅速被市場淘汰。

這也是為什麼許多科技業者，包括Google、微軟、WhatsApp甚至是史諾登等，都力挺蘋果公司的堅持保護使用者隱私，拒絕創造一個具備萬能鑰匙的後門程式。像是Google執行長Sundar Pichai就在推特上公開表示，政府要求企業駭進客戶裝置與資料的作法，將會造成令人不安的先例。他說，企業保護用戶隱私以及執法機關打擊犯罪的作法，應該要有更多公開的討論和周延的配套措施。

畢竟，每個科技業者面對政府的要求，其實都是站在同一艘船上，而未來，一旦高舉國家安全、反恐的大旗時，這些科技公司該如何在確保使用者個人隱私以及國家安全的天平上，拿捏好分寸，都是考驗這些公司決策者的時刻。

為了確保中國市場的銷售利益，蘋果也不可能對FBI妥協

當然，對於蘋果公司而言，除了透過公開信，希望藉由民眾的力量像政府施壓、對抗政府的法令外，其中也包含更多的商業考量在內，一旦產品的安全性破功，像是iPhone突然有了一個萬能鑰匙的後門程式的話，使用者就無法接受這樣「有瑕疵」的產品，產品的市占一定會面臨立即泡沫的風險。

蘋果從2015年第一季起，在中國市場的iPhone銷售量首度超越美國，中國市場更是iPhone銷售量貢獻最大的國家。便有專家認為，如果Tim Cook對FBI妥協，最後同意提供iPhone的後門程式，中國國務院的外國軟硬件安全檢查與封殺名單，除了原本的OIE （Oracle、IBM、EMC）等三家業者之外，也勢必將蘋果公司列為拒絕往來的黑名單中。

雖然，中國政府對在中國營運的外國資安業者提出，如果資安業者的產品具有加密功能，業者必須提供產品的金鑰給中國政府的無理要求，但中國政府可以做的事情，不代表中國政府可以接受，一個可以被美國政府植入後門程式的產品在中國市場銷售。

蘋果公司為了保護消費者的隱私安全，為了確保產品的安全性，以及維護在中國市場龐大的銷售利益，萬萬不可能對FBI的要求妥協。因此，蘋果公司的商業算盤一定得精打細算，才能贏得最大利益。

本週（2/14～2/20）重要資安事件回顧：

※John McAfee：三周內如果我不能解鎖iPhone，就把鞋子吃下去

※蘋果為Error 53引發iPhone當機道歉，釋出iOS更新解決問題

※美國洛杉磯醫院電腦遭挾持勒索，支付1.7萬美元恢復電腦掌控權

※美國國防部要在一年內將400萬台電腦升級到Windows 10

※Android更新太慢，報導：Google可能收回Android更新主導權

※蘋果以保護用戶隱私為由拒絕破解iPhone，Google表態支持

※Tim Cook怒發公開信：絕不開iPhone後門給FBI辦案

※1Password推出每月5美元家庭方案，可保管全家人密碼、資料

※韓國資安研究員踢爆：以色列StartSSL憑證主機竟在奇虎360中國機房

※Linux函式庫Glibc再現重大安全漏洞

※間諜程式Mazar BOT在Android裝置現蹤，刪除手機資料、攔截簡訊

※Facebook四年來發出430萬美元抓蟲獎金

※Adobe Creative Cloud更新有臭蟲，會刪除Mac重要檔案