211service.com
Apple opent iPhone-code in wat een slimme strategie of beveiligingsfout kan zijn
Een tweede artikel over dit verhaal bevat aanvullende informatie van Apple.
Toen Apple vorige week in San Francisco een nieuwe versie van zijn mobiele besturingssysteem aankondigde, schepten leidinggevenden op over functies als een slimmere Siri en verbeterd kopiëren en plakken. En zoals gewoonlijk kondigden ze aan dat softwareontwikkelaars een previewversie van de software konden downloaden voorafgaand aan de herfstrelease.
Sommige beveiligingsexperts die die nieuwe versie van iOS hebben geïnspecteerd, kregen een grote verrassing.
Ze ontdekten dat Apple de werking van het hart van zijn besturingssysteem niet had verduisterd met behulp van codering, zoals het bedrijf eerder heeft gedaan. Cruciale stukjes van de code die bestemd waren om miljoenen iPhones en iPads van stroom te voorzien, werden voor iedereen zichtbaar gemaakt. Dat zou iedereen helpen die op zoek is naar zwakke plekken in de beveiliging van de vlaggenschipsoftware van Apple.

Tim Cook op de ontwikkelaarsconferentie van Apple vorige week in San Francisco.
Beveiligingsexperts zeggen dat het bekende geheimzinnige bedrijf misschien een gewaagde nieuwe strategie heeft aangenomen die bedoeld is om meer mensen aan te moedigen bugs in zijn software te melden, of dat het een gênante fout heeft gemaakt. Apple weigerde commentaar te geven op de reden waarom het zijn gebruikelijke procedure niet volgde.
(Noot van de redactie: Apple heeft later commentaar gegeven, zie 'Apple zegt nu dat het bedoeld was om iPhone-code te openen'.)
De beveiliging van de software van Apple is extra onder de loep genomen sinds de FBI tevergeefs probeerde het bedrijf te dwingen een apparaat binnen te dringen dat werd gebruikt door een dader van de massale schietpartij vorig jaar in San Bernardino, Californië (zie Wat als Apple verkeerd is? ). Apple heeft aangegeven de beveiligings- en privacyfuncties te versterken.
Het hart van een besturingssysteem is een component die bekend staat als de kernel en die bepaalt hoe programma's de hardware van een apparaat kunnen gebruiken en de beveiliging afdwingt. Apple heeft de kernel eerder versleuteld in iOS-releases, waardoor de exacte werking ervan wordt verborgen en onderzoekers worden gedwongen om er omheen of erdoorheen te vinden. Maar de kernel werd ongemoeid gelaten in de preview-versie van iOS 10 die vorige week aan ontwikkelaars werd vrijgegeven voor de meest recente Apple-apparaten.
Dat betekent niet dat de beveiliging van iOS 10 in het gedrang komt. Maar het zoeken naar fouten in deze versie van het besturingssysteem zal veel gemakkelijker zijn, zegt Jonathan Levin, auteur van een diepgaand boek over de interne werking van iOS. Het vermindert de complexiteit van reverse-engineering aanzienlijk, zegt hij.
De goodies die voor het eerst publiekelijk worden onthuld, omvatten een beveiligingsmaatregel die is ontworpen om te voorkomen dat de kernel wordt gewijzigd, zegt beveiligingsonderzoeker Mathew Solnik . Nu het openbaar is, kunnen mensen het bestuderen [en] mogelijk manieren vinden om het te omzeilen, zegt hij.
Sommige mensen die softwarefouten vinden, geven deze door aan bedrijven zodat ze kunnen worden verholpen, maar ze kunnen ook worden gebruikt om malware te maken of om jailbreaks te ontwikkelen, wijzigingen die niet zijn goedgekeurd door Apple.
Waarom Apple plotseling zijn code heeft opengesteld, is onduidelijk. Een hypothese in de veiligheidsgemeenschap is dat, zoals Levin het stelt, iemand binnen het bedrijf het royaal heeft verpest. Maar hij en Solnik zeggen allebei dat er redenen zijn om te denken dat het opzettelijk was. Als we meer mensen aanmoedigen om zich over de code te buigen, kunnen er meer bugs aan Apple worden bekendgemaakt, zodat Apple ze kan repareren.
Jonathan Zdziarski , een andere iOS-beveiligingsexpert, is voorstander van die hypothese, omdat het per ongeluk vergeten de kernel te versleutelen zo'n elementaire fout zou zijn. Dit zou een ongelooflijk flagrante vergissing zijn geweest, zoals het vergeten om deuren van een lift te plaatsen, zegt hij.
Het openen van de code zou logisch zijn in het licht van Apple's recente confrontatie met de FBI, merkt Zdziarski op. Oorspronkelijk wilde het bureau dat Apple zou helpen bij het binnendringen van de San Bernardino-iPhone, maar het liet dat plan vallen nadat het een derde partij had gevonden die in het apparaat kon inbreken. Het was het laatste bewijs van een groeiende handel die software-exploits verkoopt aan wetshandhavers (zie The Growing Industry Helping Governments Hack Terrorists, Criminals and Political Opponents). Het openstellen van iOS voor iedereen om te onderzoeken zou die markt kunnen verzwakken door het voor bepaalde groepen moeilijker te maken om kennis over kwetsbaarheden op te potten, zegt Zdziarski.
Apple is er zelfs van beschuldigd die markt effectief aan te moedigen, omdat het niet zo vriendelijk is geweest voor beveiligingstips van buiten het bedrijf als rivalen zoals Google en Microsoft. In tegenstelling tot die bedrijven biedt Apple geen contante betalingen voor bug bounty aan mensen die bijvoorbeeld gebreken onthullen die ze in zijn producten hebben gevonden. Als Apple probeerde meer welkom te heten voor hulp van buitenaf, zou het eenvoudigweg starten van een bug bounty-programma misschien minder riskant zijn geweest dan het plotseling openstellen van een seizoen op de iOS-kernel. Dit is een gok, zegt Zdziarski. Maar ik kan de mogelijke reden zien waarom Apple heeft besloten deze gok te wagen.