Apple tłumaczy się z backdoorów w iOS: „to tylko funkcje diagnostyczne”
Wczoraj informowaliśmy o nietypowym odkryciu w systemie iOS, które mogło oznaczać, że urządzenia mobilne firmy Apple posiadają backdoory. Korporacja zdecydowała się odpowiedzieć na zarzuty stawiane jej przez specjalistę do spraw bezpieczeństwa, Jonathana Zdziarskiego, który jest odpowiedzialny za stworzenie raportu. Apple tłumaczy, że owszem, system posiada „luki”, niemniej są one wykorzystywane tylko do celów związanych z diagnostyką oraz rozwiązaniami klasy enterprise.
Oficjalna odpowiedź potwierdza, że przed uzyskaniem dostępu do danych użytkownik musi odblokować swoje urządzenie – we wczorajszej notce dokładniej opisywaliśmy, że po ponownym uruchomieniu trzeba taką operację wykonać przynajmniej raz, inaczej dane nie są dostępne (są bezpieczne). Według firmy zapewnia to dostęp do „ograniczonych danych diagnostycznych”, same informacje nie są natomiast nigdzie przesyłane bez zgody użytkownika. Apple zastrzegło również, że nigdy nie współpracowało i nie współpracuje z jakimikolwiek rządowymi agencjami w celu wbudowania w swoje oprogramowanie tylnych furtek dla służb bezpieczeństwa.
Tłumaczenia te są co najmniej pokrętne i wymijające. Problem w tym, że jak wspominaliśmy wczoraj, podejrzane funkcje nie są dostępne w żadnych dokumentacjach. Oczywiście może to być narzędzie typu „wyjście zapasowe” przygotowane jedynie dla jej pracowników, dlaczego jednak informacja o jego istnieniu wyszła na światło dzienne właśnie w taki sposób? Kolejnym problemem jest sam sposób działania. Czy deweloperzy naprawdę potrzebują funkcji, które pozwolą im ominąć systemowy mechanizm szyfrowania danych? Czy potrzebują funkcji, które pozwalają na odczytywanie danych użytkownika, jego wiadomości i kontaktów z ukrycia i bez jego wiedzy? Czy nasze prywatne dane, to właśnie wspomniane wcześniej „dane diagnostyczne”? Tłumaczenie wygląda śmiesznie, choć jeżeli brać pod uwagę jaki to problem związany z prywatnością, śmieszne wcale nie jest.
Samych funkcji pozwalających na wykradanie danych nie można w żaden sposób wyłączyć, nie jest to coś, czym użytkownik lub administrator może sterować. Przecież z tego typu urządzeń korzystają na świecie miliony ludzi. W efekcie trudno uwierzyć amerykańskiej firmie w to, że w jej działaniu nie ma nic podejrzanego. Nawet gdyby faktycznie nie była to tylna furtka stworzona na potrzeby służb bezpieczeństwa, wykorzystać ją mogą inne osoby o złych zamiarach. Podobnie jest z problemem parowania, który umożliwia łatwe przechwycenie kluczy umożliwiających dostęp poprzez USB lub sieć Wi-Fi. Wystarczy sparować sprzęt Apple z niezaufanym urządzeniem, aby włamywacz zdobył potrzebne mu do ataku dane.
Jak zauważa sam autor feralnego dla Apple raportu, usługi diagnostyczne nie powinny zachowywać się w taki sposób. Przed tego typu działaniem powinny one wyraźnie pytać użytkownika o zgodę. Właśnie tak powinno być to realizowane w systemie, który szanuje swoich użytkowników i który nie ma nic do ukrycia. Dlaczego więc Apple miałoby zdecydować się na dodanie takich funkcji w sposób ukryty, dodatkowo pozwalając na znacznie więcej, niż faktycznie potrzeba do diagnostyki? Na to, czy możemy jeszcze Apple zaufać odpowiedzieć musi sobie każdy z osobna.
