image

Apple ontkent vermeende backdoor in iOS7

dinsdag 22 juli 2014, 10:59 door Redactie, 7 reacties

Apple ontkent dat het een backdoor aan iOS7 heeft toegevoegd zoals de afgelopen uren door de media naar buiten werd gebracht, het zou juist om diagnostische functies gaan. Beveiligingsonderzoeker Jonathan Zdziarski gaf tijdens de HOPE X conferentie in New York een lezing over de veiligheid van iOS.

Tijdens de lezing "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" besprak Zdziarski verschillende ongedocumenteerde features waardoor het mogelijk voor een aanvaller in bepaalde posities is om vertrouwelijke gegevens te achterhalen. Het gaat dan om accountgegevens voor e-mail, Twitter, iCloud en andere diensten, een volledig kopie van het adresboek waaronder verwijderde gegevens, de cache folder van de gebruiker, logs van geografische posities en een volledige dump van het fotoalbum van de gebruiker.

Al de gegevens zijn zonder het opgeven van een wachtwoord via de ongedocumenteerde features te downloaden. Zdziarski vertelde het publiek dat hij niet zeker weet of de functies niet met opzet door Apple waren toegevoegd om bijvoorbeeld surveillance door de NSA of andere opsporingsdiensten te faciliteren.

Geen paniek

Volgens de onderzoeker is er echter geen reden tot paniek. "Voordat journalisten het buiten proporties opblazen, deze lezing is aan een kamer vol hackers gegeven waarin werd uitgelegd dat terwijl we aan het slapen waren, sommige features in iOS zich de afgelopen jaren hebben ontwikkeld, en natuurlijk hebben een aantal bedrijven misbruik van deze mogelijkheden gemaakt."

Zdziarski merkt op dat hij Apple niet heeft beschuldigd van het samenwerken met de NSA. "Ik vermoed dat, gebaseerd op vrijgegeven documenten, sommige van deze services mogelijk door de NSA zijn gebruikt om data over potentiële doelwitten te verzamelen. Ik zie geen grote samenzwering, er zijn echter sommige diensten in iOS die er niet zouden moeten zijn en die opzettelijk door Apple zijn toegevoegd als onderdeel van de firmware en die de back-up-encryptie omzeilen."

Nogmaals benadrukt de onderzoeker dat het hier niet om een zero-day kwetsbaarheid gaat en het geen wijdverbreid beveiligingsprobleem is. Hij hoopt dan ook dat Apple het probleem oplost. "Ik wil deze services niet op mijn telefoon. Ze horen daar niet thuis."

Diagnostiek

Naar aanleiding van alle ophef die ontstond gaf Apple een korte reactie, waarin het stelt dat zoals al eerder aangegeven het niet in samenwerking met inlichtingendiensten backdoors aan producten toevoegt. "We hebben iOS zo ontworpen dat de diagnostische functies de privacy en veiligheid van gebruikers niet in gevaar brengen, maar nog steeds de benodigde informatie voor IT-afdelingen, ontwikkelaars en Apple beschikbaar maken om technische problemen op te lossen", aldus de verklaring.

Een gebruiker zou zijn toestel moeten hebben ontgrendeld en de aangesloten computer moeten vertrouwen voordat de diagnostische data kan worden benaderd. Zdziarski hekelt de verklaring van Apple, aangezien het eigenlijk juist toegeeft dat er wel backdoors aanwezig zijn. Ze mogen dan een legitiem doel dienen, ze zorgen volgens de onderzoeker voor serieuze privacylekken. De NSA zou bijvoorbeeld via een besmette desktop zo toegang tot de telefoon kunnen krijgen.

"Ik begrijp dat elk OS over diagnostische functies beschikt, deze diensten breken echter de belofte van Apple tegenover elke consument als ze hun back-up wachtwoord invoeren, namelijk dat de data op hun toestel alleen versleuteld van de telefoon wordt gehaald." Daarnaast zouden consumenten niet weten dat gegevens op deze manier lekken.

Verder gelooft Zdziarski niet dat de diagnostische functies alleen voor de diagnostiek zijn toegevoegd. Een echte diagnostische tool zou gebruikers namelijk waarschuwen. De onderzoeker vraagt zich dan ook af wat het nu van een versleutelde back-up is als er een backdoor is om die te omzeilen.

Reacties (7)
22-07-2014, 11:27 door Anoniem
weer zo'n firma die niet luistert naar zijn klanten....
22-07-2014, 12:09 door Anoniem
Grappig hoe alle kwetsbaarheden worden bestempeld als 'features' en iedereen die kwetsbaarheden meldt verteld wordt dat er helemaal geen sprake is van een kwetsbaarheid.

Maar ja.. je leest dit soort nieuws bijna elke dag en het lijkt er ook niet op dat hier snel iets aan gaat veranderen.
22-07-2014, 13:27 door Anoniem
"De NSA zou bijvoorbeeld via een besmette desktop zo toegang tot de telefoon kunnen krijgen."

Dus ligt het probleem dan bij Apple? De desktop is al besmet maar de gebruiker vertrouwd deze nog steeds. Ook voert de gebruiker zijn code in. Hoe is dit het probleem van Apple, de gebruiker doet tenslotte 2 handelingen(vertrouwen van een besmette pc en invoeren van de code) welke de beveiliging uitschakelen.
22-07-2014, 14:30 door Anoniem
Ah, Al Sahaf werkt inmiddels bij Apple.
22-07-2014, 14:58 door Anoniem
"Apple ontkent.....". Is dat dezelfde Apple die bij hoog en laag ontkende deel uit te maken van het PRISM spionage programma? Later bleek dat Google, Facebook en Apple miljoenen hadden gekregen om hun software zo aan te passen dat gebruikers het bespioneren niet zouden merken.
22-07-2014, 15:32 door Eric-Jan H te D
We weten toch dat volgen en aftappen van telefoons mogelijk is.
Dus om nou te zeggen dat er wel veilige telefoons zijn zou pas
echt nieuws zijn.
22-07-2014, 17:05 door Anoniem
Volgens mij heeft 99% van de toestellen een backdoor en als de NSA of welke instantie dan ook in je telefoon willen, dan gebeurd dat gewoon.

Het zou het artikel goed doen om de kwetsbaarheden van andere OS' ook toe te lichten en in een stukje echte journalistiek toe te passen op welk OS men het best kan kiezen op dit moment als je het meest veilige OS nastreeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.