Apple erkjenner eksistensen av noen tidligere udokumenterte tjenester som kan hente ut persondata fra iPhone og iPad, men avviser alle påstander om at dette er noe skummelt.
Det var i helgen at sikkerhetsekspert Jonathan Zdziarsk beskrev det han hevder er bakdører som kjører på 600 millioner iOS-enheter. Ifølge ham er innholdet kryptert bare når enheten er skrudd av.
Straks enheten er på og låst opp minst én gang, så skal disse tjenestene kunne omgå enhver backup-kryptering, pinkode eller tastelås for å hente ut persondata over USB-kabel eller WiFi.
Zdziarsk mente funksjonene var mistenkelige, og fant det lite sannsynlig at de blir brukt til feilsøking, utvikling eller av Apples egen kundestøtte. Videre hevdet han at dette åpner for misbruk.
Apple svarer
I går rykket Apple ut og beskrev offentlig for første gang tre av disse tjenestene. Hver av dem er nettopp ment brukt til feilsøking, og er myntet på IT-avdelinger, utviklere og Apples kundeservice, oppgir selskapet i en helt ny supportartikkel.
Apple har også sendt ut en uttalelse der de avviser enhver påstand om at de noensinne har samarbeidet med myndigheter eller statlige etater i noe land om å skape bakdører i produkter eller tjenester. En journalist i Financial Times har delt uttalelsen i en twittermelding.
– Misledende
Jonathan Zdziarsk er ikke fornøyd med svarene fra Apple.
– Jeg har aldri beskyldt Apple for å samarbeide med NSA. Det betyr likevel ikke at myndighetene ikke kan utnytte bakdørene. Det som bekymrer meg er at Apple ser ut til å fullstendig mislede om enkelte av dem, særlig «mobile.file_relay», og de unngår å svare om andre problemstillinger jeg har reist, skriver han i et lengre blogginnlegg.
Han kan ikke forstå at en tjeneste som file_relay skal ha adgang til å hente ut alle bilder, tekstmeldinger, notater, hele adresseboka, historikk over gps-data, skjermdump av det siste brukeren så på og «et tonn andre persondata» bare for å drive feilsøking.
– Feilsøking er det stikk motsatte av uthenting av slike data. Og igjen, brukeren blir aldri informert eller bedt om samtykke for retten til å trekke ut alt dette. Apple insisterer på at AppleCare (kundestøttetjenesten) får slikt samtykke, men det må si så fall være et muntlig samtykke. Hvis dette virkelig handler om feilsøking, så skulle man tro tjenesten respekterte backup-krypteringen, slik at alt som hentes ut av telefonen var kryptert med brukernes passord. Når jeg tar laptoppen med til Apple for reparasjon, så må jeg jo gi dem passordet mitt, utdyper han.
Zdziarsk er også dypt skeptisk til at den samme tjenesten, han kaller det fortsatt bakdør eller «bakdør», også kan dumpe dataene fra iOS-enheter over trådløs forbindelse, igjen uten samtykke eller at brukeren får vite noe.
Så ønsker han også å berømme Apple for at de omsider erkjenner eksistensen av tjenestene han har reagert så kraftig mot.
– Før nå har det ikke eksistert noe dokumentasjon om file_relay overhodet, eller noen av dens 44 ulike datatjenester for å kopiere ut persondata fra enheten. Apple ser ut til å mislede om disse mulighetene, og det bekymrer meg at de nedtoner dette, skriver sikkerhetseksperten.
Han gjentar også nå poenget som digi.no vinklet saken på tidligere denne uken, nemlig at han ikke mener det er grunn til panikk.
– Jeg har aldri antydet at dette er en konspirasjon. Som vanlig har media fullstendig avsporet intensjonen bak foredraget mitt.
Han har publisert alle lysbildene fra dette foredraget (pdf).
Zdziarsk, også kjent under pseudonymet «NerveGas», avdekket funnet sitt under hackerkonferansen HOPE/X i New York denne helgen. Selv jobber han profesjonelt med såkalt forensics-vitenskap og får betalt for å bryte seg inn i utstyr fra Apple. Zdziarsk deltok i utviklingen av mange av de første såkalte jailbreak-verktøyene som knakk kopisperren og åpnet for installasjon av uautorisert programvare på iPhone.
Les også:
- [21.07.2014] – Ikke få panikk