「CSDN」苹果阻止上架的这款软件，到底有多可恶？

【CSDN编者按】日前，美国人脸识别公司Clearview AI的数据泄露事件，引发美国当局关注。据BuzzFeed News获取的一份泄露名单显示，美国移民和海关执法局、美国司法部、美国联邦调查局、梅西百货和Best Buy、沃尔玛等 2200多家政府机构和私人公司使用了该公司软件。目前，美国佛蒙特州司法部长TJ Donovan已对Clearview AI提起诉讼，苹果也阻止了该公司在iOS上的应用。那么，这是系统漏洞，还是故意为之？我们的信息安全，如何从根本上得到保障？一起来看看CSDN博客专家马超的解读。

本文插图
作者 | 马超责编 | 胡巍巍出品 | CSDN（ID：CSDNnews）近日备受争议的公司Clearview AI由于涉嫌在互联网上爬取的人脸图像，被美国佛蒙特州总法务官以违反该州消费者保护和数据法为由提起诉讼，要求该公司立即停止收集佛蒙特州居民的照片，并销毁此前收集的数据存档。
在此之前Clearview AI也是争议不断， 2019年一名美国亿万富翁就通过女儿在脸书分享的照片，找到其男友的人脸信息，并利用Clearview AI的App直接定位到了准女婿的脸书、推特等社交媒体上的照片集及所在地址，并最终确定他是旧金山的一名风险投资人。而且Clearview AI还被爆出曾与小型超市试验人脸识别系统，来识别已知的商店扒手或其他商店的店主。
其实不光是Clearview AI人脸识别技术在各个国家的应用过程中都存在着很多问题，比如2019年，一夜爆红的AI实时换脸软件ZAO就因“用户协议不规范”和“数据泄露风险”等问题受到工信部约谈，并最终下架；2019年年底杭州野生动物世界启用人脸识别入园，也造成该园的用户不满，引发了人脸识别做为出入凭证，是否涉及强制收集个人面部特征的网上大讨论，最终双方协调未果诉储法院，成为我国“人脸识别第一案” 。
近日在信息安全方面还有一个值得关注的事件，就是利用SMB远程代码执行的漏洞（CVE-2020-0796）-“永恒之黑” 。由于SMB远程代码执行漏洞与之前“永恒之蓝”系列漏洞极为相似，因此以“永恒”命名。 SMB(Server Message Block)协议作为一种局域网文件共享传输协议，常被用来作为共享文件安全传输研究的平台。
由于SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。 “永恒之黑”一旦被成功利用，其危害不亚于永恒之蓝，据估计全球约有10万台服务器都会受到该漏洞的影响。
其实无论是名造一时的“熊猫烧香”、还是最近开始流行的人脸信息泄漏，其背后的核心技术还是信息安全的，我们看到随着IT技术的不断发展， IT从业人员虽在不断增多，但是主要的就业人员的技术栈基本集中在移动、前后端以及人工智能等领域，最流行的编程语言也由面向底层操作的C和C++逐渐演变到托管型的JAVA乃至至脚本型的Python 。
而信息安全领域是个直接面向底层的技术，从事底层编程的人员越来越少，也就代表着信息安全的从业者基数是越来越小，这个现象的直接后果就是， IT世界出现了落后的技术可以攻击先进技术的情况，这点与人类社会中落后蛮族对高级文明的侵略非常相像。
而最新出现的人脸信息泄漏情况又与社会工程攻击结合紧密，可以说又形成了信息安全攻防战的新动态。下面笔者就为大家梳理一下信息安全技术发展的历史和趋势。
信息安全技术的前世今生
原始阶段：
最早的信息安全事件出现于1989年，当时一款名为“艾滋病信息木马”的病毒开始流行。该木马通过替换系统文件，在开机时计数，一旦系统启动达到90次时，该木马将隐藏磁盘的多个目录， C盘的全部文件名也会被加密，从而导致系统无法启动。此时，屏幕显示信息声称用户的软件许可已过期，要求邮寄189美元以解锁系统。而“艾滋病信息木马”也可以被看做是木马、病毒及流氓软件的共同始祖。