Apple ontkent vermeende backdoor in iOS7
Apple ontkent dat het een backdoor aan iOS7 heeft toegevoegd zoals de afgelopen uren door de media naar buiten werd gebracht, het zou juist om diagnostische functies gaan. Beveiligingsonderzoeker Jonathan Zdziarski gaf tijdens de HOPE X conferentie in New York een lezing over de veiligheid van iOS.
Tijdens de lezing "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" besprak Zdziarski verschillende ongedocumenteerde features waardoor het mogelijk voor een aanvaller in bepaalde posities is om vertrouwelijke gegevens te achterhalen. Het gaat dan om accountgegevens voor e-mail, Twitter, iCloud en andere diensten, een volledig kopie van het adresboek waaronder verwijderde gegevens, de cache folder van de gebruiker, logs van geografische posities en een volledige dump van het fotoalbum van de gebruiker.
Al de gegevens zijn zonder het opgeven van een wachtwoord via de ongedocumenteerde features te downloaden. Zdziarski vertelde het publiek dat hij niet zeker weet of de functies niet met opzet door Apple waren toegevoegd om bijvoorbeeld surveillance door de NSA of andere opsporingsdiensten te faciliteren.
Geen paniek
Volgens de onderzoeker is er echter geen reden tot paniek. "Voordat journalisten het buiten proporties opblazen, deze lezing is aan een kamer vol hackers gegeven waarin werd uitgelegd dat terwijl we aan het slapen waren, sommige features in iOS zich de afgelopen jaren hebben ontwikkeld, en natuurlijk hebben een aantal bedrijven misbruik van deze mogelijkheden gemaakt."
Zdziarski merkt op dat hij Apple niet heeft beschuldigd van het samenwerken met de NSA. "Ik vermoed dat, gebaseerd op vrijgegeven documenten, sommige van deze services mogelijk door de NSA zijn gebruikt om data over potentiële doelwitten te verzamelen. Ik zie geen grote samenzwering, er zijn echter sommige diensten in iOS die er niet zouden moeten zijn en die opzettelijk door Apple zijn toegevoegd als onderdeel van de firmware en die de back-up-encryptie omzeilen."
Nogmaals benadrukt de onderzoeker dat het hier niet om een zero-day kwetsbaarheid gaat en het geen wijdverbreid beveiligingsprobleem is. Hij hoopt dan ook dat Apple het probleem oplost. "Ik wil deze services niet op mijn telefoon. Ze horen daar niet thuis."
Diagnostiek
Naar aanleiding van alle ophef die ontstond gaf Apple een korte reactie, waarin het stelt dat zoals al eerder aangegeven het niet in samenwerking met inlichtingendiensten backdoors aan producten toevoegt. "We hebben iOS zo ontworpen dat de diagnostische functies de privacy en veiligheid van gebruikers niet in gevaar brengen, maar nog steeds de benodigde informatie voor IT-afdelingen, ontwikkelaars en Apple beschikbaar maken om technische problemen op te lossen", aldus de verklaring.
Een gebruiker zou zijn toestel moeten hebben ontgrendeld en de aangesloten computer moeten vertrouwen voordat de diagnostische data kan worden benaderd. Zdziarski hekelt de verklaring van Apple, aangezien het eigenlijk juist toegeeft dat er wel backdoors aanwezig zijn. Ze mogen dan een legitiem doel dienen, ze zorgen volgens de onderzoeker voor serieuze privacylekken. De NSA zou bijvoorbeeld via een besmette desktop zo toegang tot de telefoon kunnen krijgen.
"Ik begrijp dat elk OS over diagnostische functies beschikt, deze diensten breken echter de belofte van Apple tegenover elke consument als ze hun back-up wachtwoord invoeren, namelijk dat de data op hun toestel alleen versleuteld van de telefoon wordt gehaald." Daarnaast zouden consumenten niet weten dat gegevens op deze manier lekken.
Verder gelooft Zdziarski niet dat de diagnostische functies alleen voor de diagnostiek zijn toegevoegd. Een echte diagnostische tool zou gebruikers namelijk waarschuwen. De onderzoeker vraagt zich dan ook af wat het nu van een versleutelde back-up is als er een backdoor is om die te omzeilen.
Maar ja.. je leest dit soort nieuws bijna elke dag en het lijkt er ook niet op dat hier snel iets aan gaat veranderen.
Dus ligt het probleem dan bij Apple? De desktop is al besmet maar de gebruiker vertrouwd deze nog steeds. Ook voert de gebruiker zijn code in. Hoe is dit het probleem van Apple, de gebruiker doet tenslotte 2 handelingen(vertrouwen van een besmette pc en invoeren van de code) welke de beveiliging uitschakelen.
Dus om nou te zeggen dat er wel veilige telefoons zijn zou pas
echt nieuws zijn.
Het zou het artikel goed doen om de kwetsbaarheden van andere OS' ook toe te lichten en in een stukje echte journalistiek toe te passen op welk OS men het best kan kiezen op dit moment als je het meest veilige OS nastreeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.