继微软本周推出的Windows“回忆”功能引发隐私焦虑，遭马斯克和安全大咖们猛烈抨击后，苹果iPhone手机近日也曝出了类似的“记忆门”。

删除十几年的iPhone照片被恢复

近日，有苹果手机用户更新了苹果上周发布的iOS 17.5系统后，意外地发现手机中出现了很早以前删除的照片。一位Reddit网友发帖称更新系统后发现多年前的照片又被恢复了，另一位网友跟帖说其十几年前就已经删除的“老照片”出现在更新系统后的iPhone手机相册中，并被上传到了iCloud云端：

其实早在iOS17.5公开测试版本中就有用户发现类似问题，但不知何故这个bug成功进入了最终版本，导致大量苹果用户受到影响并投诉。一些受影响用户认为苹果公司无限期存储用户数据，是对隐私的大规模侵犯。

苹果公司在本周一发布的iOS 17.5.1中修复了错误，但苹果对问题原因保持沉默，这助长了“阴谋论”。

由于用户被恢复的照片远远超过了iOS“最近删除”系统设置的30天文件保留期限，因此很快关于苹果iCloud“悄悄”备份用户数据（包括已经删除的文件）以及苹果设备存在后门的传闻在坊间快速发酵。

问题出在iOS还是iCloud？

虽然苹果公司并未及时给出解释，但安全公司Synactiv近日对已修复问题的iOS17.5.1进行了逆向工程，发现问题来自iOS系统，而非iCloud。

Synactiv检查了iOS 17.5和iOS 17.5.1两个版本的IPSW文件并比较了DYLD共享缓存后，发现  ‘PhotoLibraryServices’  中 ‘PLModelMigrationActionRegistration_17000’ 函数发生显著变化：

从上图可以看出，苹果在17.5.1更新中删除了17.5中负责扫描文件系统并能重新导入照片的代码，后者导致已删除照片被重新索引并添加回照片库中。

Synactiv解释道：“此事件表明，已删除的照片实际上仍然保留在文件系统中，只是被iOS17.5中新增的数据迁移例程找到了。但这尚无法解释为何这些已删除照片仍然保留在iPhone手机的文件系统中。”

Synactiv的调查基本排除了iCloud存储（监控）已删除文件的嫌疑，同时为广大手机用户（包括安卓用户）敲响警钟：手机中“已删除”的文件可能并未被真正删除。

一种可能是手机操作系统或者某些大厂APP（未经用户许可）保留了“数据备份”；另一种可能是这些数据只是被系统标记为“已删除”，但数据依然存储在内存物理地址中，在被新数据覆盖之前，这些“已删除”文件仍可被系统后门、数字取证工具（或苹果系统更新bug）恢复或泄露。

iPhone到底有没有后门？

虽然iPhone“照片恢复”事件尚无官方定论，但该事件再次激起了对iPhone是否存在后门的讨论。

iPhone近年来频频曝出可导致数据泄露的零日漏洞（其中很多是危险的零点击漏洞），使其成为商业间谍软件的热门攻击目标，但这似乎并未撼动苹果打造的用户隐私和安全优先的“人设”。换而言之，用户通常认为苹果公司不会主动监控或在系统中留下后门。

但2023年，苹果的“安全人设”首次面临严重信任危机，卡巴斯基和俄罗斯联邦安全局情报和安全机构FSB先后发布报告，声称遭遇史上最复杂的iPhone间谍软件攻击——三角测量攻击，并指控苹果公司故意向美国国家安全局提供了一个后门，可以用零点击漏洞投放间谍软件感染俄罗斯的iPhone手机。

FSB发布的公告声称已在数千部苹果iPhone上发现了恶意软件感染，这些iPhone属于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。

在2023年12月发布的调查报告中，卡巴斯基披露了对“三角测量攻击”的分析报告，指出该攻击利用了苹果芯片中从未公开的神秘功能（可能用于工厂测试和调试）中的零日漏洞（CVE-2023-38606）来绕过硬件安全保护。卡巴斯基指出，这个漏洞（硬件后门）并非“失误”，而是苹果有意为之。