Az Apple iPhone-okon tárolt adatokhoz az NSA a korábban kiszivárgott dokumentumok szerint egy DROPOUTJEEP nevű malware használatával már 2008 óta hozzáférhetett.
Most Jonathan Zdziarski biztonsági szakértő (aki az online közösségekben NerveGas néven ismert, és az első iOS-es jailbreakek kifejlesztésében aktívan részt vett) a New York-i Hackers on Planet Earth (HOPE/X) konferencián az Apple által hivatalosan nem dokumentált háttérfunkciókat ismertetett. Olyan folyamatokat, amiket kihasználva illetéktelenek is hozzáférhetnek az iOS-es eszközökön, több esetben (és az Apple korábbi ígéretével szemben) titkosítás nélkül tárolt személyes adatokhoz is. Zdziarski előadásában gyakorlati példákkal demonstrálta az operációs rendszer sérülékenységét, és olyan információkhoz fért hozzá, melyekhez felhasználói beleegyezés nélkül nem lett volna joga. Hozzátette, hogy több, nyomozati elemzésre készített célszoftver gyártója ? mint a Cellebrite, AccessData vagy Elcomsoft ? jeleneg is ezeket az Apple háttérfolyamatokat használják ki a biztonsági szerveknek értékesített termékeikben.
Az Apple a bejelentésre reagálva azt nyilatkozta, hogy azért döntöttek egy ilyen megoldás mellett, hogy ?a diagnosztikai funkciók ne sértsék a felhasználó adatbiztonságot, de közben elérhetővé tegyék a szükséges információkat a vállalatoknak, fejlesztőknek és technikai segítségnyújtás esetén az Apple-nek.? A cég emlékeztetett rá, hogy a felhasználók beleegyezése nélkül sosem történik adatátvitel a készülékükről, és hangsúlyozta, hogy ?soha nem működött együtt egyetlen ország kormányügynökségével sem, hogy rejtett kiskaput építsen termékeibe vagy szolgáltatásaiba.?
Zdziarski a blogján azt írja, megérti, hogy minden operációs rendszerben vannak diagnosztikai funkciók, viszont az Apple ezzel lényegében cáfolja az állítását, hogy egy jelszóval védett iOS-es eszközről csak titkosított formában lehet adatot lehúzni. Ráadásul a fogyasztó ? szintén az Apple állításával ellentétesen ? nincs tudatában ezeknek a háttérfolyamatoknak, és semmi nem is hívja fel rá a figyelmét vagy kéri a jóváhagyását.
?Egy percig sem veszem be, hogy ezek a funkciók kizárólag diagnosztikai célokat szolgálnak. Az adatszivárgás túlságosan személyes jellegű, miközben a felhasználó mit sem tud róla. Vajon mi értelme teljes körű titkosítást ígérni, ha egyúttal egy megkerülő kiskaput is beépítenek?? - teszi fel a kérdést Zdziarski.
via VS.hu, HWSW, Zdziarski Blog
