繼微軟本周推出的Windows“回憶”功能引發隱私焦慮，遭馬斯克和安全大咖們猛烈抨擊后，蘋果iPhone手機近日也曝出了類似的“記憶門”。

刪除十幾年的iPhone照片被恢復

近日，有蘋果手機用戶更新了蘋果上周發布的iOS 17.5系統后，意外地發現手機中出現了很早以前刪除的照片。一位Reddit網友發帖稱更新系統后發現多年前的照片又被恢復了，另一位網友跟帖說其十幾年前就已經刪除的“老照片”出現在更新系統后的iPhone手機相冊中，并被上傳到了iCloud云端：

其實早在iOS17.5公開測試版本中就有用戶發現類似問題，但不知何故這個bug成功進入了最終版本，導致大量蘋果用戶受到影響并投訴。一些受影響用戶認為蘋果公司無限期存儲用戶數據，是對隱私的大規模侵犯。

蘋果公司在本周一發布的iOS 17.5.1中修復了錯誤，但蘋果對問題原因保持沉默，這助長了“陰謀論”。

由于用戶被恢復的照片遠遠超過了iOS“最近刪除”系統設置的30天文件保留期限，因此很快關于蘋果iCloud“悄悄”備份用戶數據（包括已經刪除的文件）以及蘋果設備存在后門的傳聞在坊間快速發酵。

問題出在iOS還是iCloud？

雖然蘋果公司并未及時給出解釋，但安全公司Synactiv近日對已修復問題的iOS17.5.1進行了逆向工程，發現問題來自iOS系統，而非iCloud。

Synactiv檢查了iOS 17.5和iOS 17.5.1兩個版本的IPSW文件并比較了DYLD共享緩存后，發現  ‘PhotoLibraryServices’  中 ‘PLModelMigrationActionRegistration_17000’ 函數發生顯著變化：

從上圖可以看出，蘋果在17.5.1更新中刪除了17.5中負責掃描文件系統并能重新導入照片的代碼，后者導致已刪除照片被重新索引并添加回照片庫中。

Synactiv解釋道：“此事件表明，已刪除的照片實際上仍然保留在文件系統中，只是被iOS17.5中新增的數據遷移例程找到了。但這尚無法解釋為何這些已刪除照片仍然保留在iPhone手機的文件系統中。”

Synactiv的調查基本排除了iCloud存儲（監控）已刪除文件的嫌疑，同時為廣大手機用戶（包括安卓用戶）敲響警鐘：手機中“已刪除”的文件可能并未被真正刪除。

一種可能是手機操作系統或者某些大廠APP（未經用戶許可）保留了“數據備份”；另一種可能是這些數據只是被系統標記為“已刪除”，但數據依然存儲在內存物理地址中，在被新數據覆蓋之前，這些“已刪除”文件仍可被系統后門、數字取證工具（或蘋果系統更新bug）恢復或泄露。

iPhone到底有沒有后門？

雖然iPhone“照片恢復”事件尚無官方定論，但該事件再次激起了對iPhone是否存在后門的討論。

iPhone近年來頻頻曝出可導致數據泄露的零日漏洞（其中很多是危險的零點擊漏洞），使其成為商業間諜軟件的熱門攻擊目標，但這似乎并未撼動蘋果打造的用戶隱私和安全優先的“人設”。換而言之，用戶通常認為蘋果公司不會主動監控或在系統中留下后門。

但2023年，蘋果的“安全人設”首次面臨嚴重信任危機，卡巴斯基和俄羅斯聯邦安全局情報和安全機構FSB先后發布報告，聲稱遭遇史上最復雜的iPhone間諜軟件攻擊——三角測量攻擊，并指控蘋果公司故意向美國國家安全局提供了一個后門，可以用零點擊漏洞投放間諜軟件感染俄羅斯的iPhone手機。

FSB發布的公告聲稱已在數千部蘋果iPhone上發現了惡意軟件感染，這些iPhone屬于俄羅斯政府官員以及以色列、中國和幾個北約成員國駐俄羅斯大使館的工作人員。

在2023年12月發布的調查報告中，卡巴斯基披露了對“三角測量攻擊”的分析報告，指出該攻擊利用了蘋果芯片中從未公開的神秘功能（可能用于工廠測試和調試）中的零日漏洞（CVE-2023-38606）來繞過硬件安全保護。卡巴斯基指出，這個漏洞（硬件后門）并非“失誤”，而是蘋果有意為之。