Apple zegt dat onderzoekers de veiligheidsfuncties voor kinderen kunnen onderzoeken. Maar het klaagt een startup aan die precies dat doet.

iPhone-beveiligingslek

mevrouw Tech





Toen Apple aankondigde nieuwe technologie dat zal controleer de Amerikaanse iCloud-service op bekend materiaal van seksueel misbruik van kinderen , kreeg het felle kritiek over de zorgen dat de functie zou kunnen worden misbruikt voor breed overheidstoezicht . Geconfronteerd met publieke weerstand, stond Apple erop dat zijn technologie ter verantwoording kan worden geroepen.

Beveiligingsonderzoekers kunnen voortdurend introspecteren wat er gebeurt in de [telefoon]software van Apple, zei Apple vice-president Craig Federighi in een interview met de Wall Street Journal. Dus als er wijzigingen zijn aangebracht die de reikwijdte hiervan op de een of andere manier zouden uitbreiden - op een manier die we hadden beloofd niet te doen - is er verifieerbaarheid, ze kunnen zien dat dat gebeurt.

Apple klaagt een bedrijf aan dat software maakt om beveiligingsonderzoekers precies dat te laten doen.



Apple verdedigt zijn nieuwe technologie tegen kindermisbruik tegen privacykwesties

De radicaal nieuwe antimisbruiktechnologie van Apple lokte zowel kritiek als lof uit door rechtstreeks op iPhones te scannen.

In 2019 heeft Apple een rechtszaak aangespannen tegen Corellium, waardoor beveiligingsonderzoekers goedkoop en gemakkelijk mobiele apparaten kunnen testen door hun software te emuleren in plaats van dat ze toegang moeten krijgen tot de fysieke apparaten. De software, die ook Android-apparaten emuleert, kan worden gebruikt om die problemen op te lossen.

In de rechtszaak, Apple betoogd dat Corellium zijn auteursrechten heeft geschonden, de verkoop van software-exploits voor hacking mogelijk heeft gemaakt en niet zou moeten bestaan. De startup reageerde door te zeggen dat het gebruik van de code van Apple een klassiek beschermd geval van redelijk gebruik was. De rechter heeft tot nu toe grotendeels de kant van Corellium gekozen. Een deel van de tweejarige zaak was: beslecht vorige week - dagen nadat het nieuws over de CSAM-technologie van het bedrijf openbaar werd.



Op maandag, Corellium bekend gemaakt een subsidie ​​van $ 15.000 voor een programma dat het specifiek promoot als een manier om iPhones onder een microscoop te bekijken en Apple verantwoordelijk te houden. Op dinsdag diende Apple een hoger beroep de rechtszaak voortzetten.

In een interview met MIT Technology Review zei Corellium's chief operating officer, Matt Tait, dat de opmerkingen van Federighi niet overeenkomen met de werkelijkheid.

Dat is heel goedkoop voor Apple om te zeggen, zegt hij. Er wordt veel zwaar getild in die verklaring.



iOS is zo ontworpen dat het voor mensen eigenlijk heel moeilijk is om systeemdiensten te inspecteren.

'iOS is zo ontworpen dat het voor mensen eigenlijk heel moeilijk is om systeemdiensten te inspecteren.'

Matt Tait, Corellium

Hij is niet de enige die het standpunt van Apple in twijfel trekt.



Apple overdrijft het vermogen van een onderzoeker om het systeem als geheel te onderzoeken, zegt David Thiel, chief technology officer bij Stanford's Internet Observatory. Thiel, de auteur van een boek genaamd iOS-toepassingsbeveiliging , getweet dat het bedrijf veel geld uitgeeft om te voorkomen dat het mogelijk is.

Het vereist een ingewikkeld systeem van hoogwaardige exploits, twijfelachtige binaire bestanden en verouderde apparaten, schreef hij. Apple heeft enorme bedragen uitgegeven om dit te voorkomen en dergelijk onderzoek moeilijk te maken.

Toezichtverantwoordelijkheid

Als je precies wilt zien hoe de complexe nieuwe technologie van Apple werkt, kun je niet zomaar in het besturingssysteem van de iPhone kijken die je net in de winkel hebt gekocht. De ommuurde tuinbenadering van beveiliging van het bedrijf heeft geholpen enkele fundamentele problemen oplossen , maar het betekent ook dat de telefoon is ontworpen om bezoekers buiten te houden, of ze nu gewenst zijn of niet.

(Android-telefoons zijn ondertussen fundamenteel anders. Hoewel iPhones beroemd zijn vergrendeld, hoeft u alleen maar een USB-apparaat aan te sluiten om een ​​Android-apparaat te ontgrendelen, ontwikkelaarstools te installeren en roottoegang op het hoogste niveau te krijgen.)

De aanpak van Apple betekent dat onderzoekers vastzitten in een nooit eindigende strijd met het bedrijf om te proberen het niveau van inzicht te krijgen dat ze nodig hebben.

Er zijn echter een paar mogelijke manieren waarop Apple en beveiligingsonderzoekers kunnen verifiëren dat geen enkele overheid de nieuwe kinderbeveiligingsfuncties van het bedrijf bewapent.

Apple zou de code ter beoordeling kunnen overhandigen, hoewel het niet heeft gezegd dat het zal doen. Onderzoekers kunnen ook proberen de functie op een statische manier te reverse-engineeren, dat wil zeggen, zonder de daadwerkelijke programma's in een live-omgeving uit te voeren.

Realistisch gezien kunt u echter met geen van beide methoden kijken naar de code die live wordt uitgevoerd op een up-to-date iPhone om te zien hoe deze in het wild werkt. In plaats daarvan vertrouwen ze nog steeds op het vertrouwen dat Apple niet alleen open en eerlijk is, maar ook dat het de code heeft geschreven zonder noemenswaardige fouten of onoplettendheid.

Een andere mogelijkheid zou zijn om toegang tot het systeem te verlenen aan leden van Apple's Security Research Device Program om de verklaringen van het bedrijf te verifiëren. Maar die groep, stelt Thiel, bestaat uit onderzoekers van buiten Apple, is gebonden aan zoveel regels over wat ze kunnen zeggen of doen dat het niet noodzakelijkerwijs het vertrouwensprobleem oplost.

'Apple heeft veel geld uitgegeven om te voorkomen dat mensen telefoons kunnen jailbreaken.'

David Thiel, Stanford Internet Observatorium

Dat laat eigenlijk maar twee opties over. Ten eerste kunnen hackers oude iPhones jailbreaken met behulp van een zero-day kwetsbaarheid. Dat is moeilijk en duur, en het kan worden afgesloten met een beveiligingspatch.

Apple heeft veel geld uitgegeven om te voorkomen dat mensen telefoons kunnen jailbreaken, legt Thiel uit. Ze hebben specifiek mensen uit de gevangenisbrekende gemeenschap ingehuurd om het breken van de gevangenis moeilijker te maken.

Hackers vinden manieren om zich te verstoppen in de ommuurde tuin van Apple

De vergrendelde benadering van beveiliging van de iPhone breidt zich uit, maar geavanceerde hackers hebben ontdekt dat hogere barrières geweldig zijn om gevangenneming te voorkomen.

Of een onderzoeker kan een virtuele iPhone gebruiken die de beveiligingsfuncties van Apple kan uitschakelen. In de praktijk betekent dat Corellium.

Er zijn ook grenzen aan wat een beveiligingsonderzoeker kan observeren, maar als Apple dingen scant die verder gaan dan foto's die worden gedeeld met iCloud, kan een onderzoeker dat misschien zien.

Als er echter iets anders dan materiaal over kindermisbruik in de databases terechtkomt, is dat onzichtbaar voor onderzoekers. Om die vraag te beantwoorden, zegt Apple dat het vereist dat twee afzonderlijke kinderbeschermingsorganisaties in verschillende rechtsgebieden hetzelfde misbruikbeeld in hun eigen databases hebben. Maar het bood weinig details over hoe dat zou werken, wie de databases zou beheren, welke jurisdicties erbij betrokken zouden zijn en wat de uiteindelijke bronnen van de database zouden zijn.

Echte moeilijkheden

Thiel wijst erop dat het probleem dat Apple probeert op te lossen reëel is.

Het is geen theoretische zorg, zegt hij over materiaal met seksueel misbruik van kinderen. Het is niet iets dat mensen naar voren brengen als een excuus om toezicht te implementeren. Het is een echt probleem dat wijdverbreid is en moet worden aangepakt. De oplossing is niet zoiets als het afschaffen van dit soort mechanismen. Het maakt ze zo ondoordringbaar mogelijk voor toekomstig misbruik.

Maar, zegt Tait van Corellium, Apple probeert tegelijkertijd opgesloten en transparant te zijn.

Apple probeert hun taart te hebben en op te eten, zegt Tait, een voormalig informatiebeveiligingsspecialist voor de Britse inlichtingendienst GCHQ.

Met hun linkerhand maken ze het breken van de gevangenis moeilijk en klagen ze bedrijven als Corellium aan om te voorkomen dat ze bestaan. Nu zeggen ze met hun rechterhand: 'O, we hebben dit echt gecompliceerde systeem gebouwd en het blijkt dat sommige mensen er niet op vertrouwen dat Apple het eerlijk heeft gedaan - maar het is oké, want elke beveiligingsonderzoeker kan doorgaan en het bewijzen aan zich.'

Ik zit hier te denken, wat bedoel je met dat je dit zomaar kunt doen? U hebt uw systeem zo ontworpen dat zij dat niet kunnen. De enige reden waarom mensen dit soort dingen kunnen doen, is ondanks jou, niet dankzij jou.

Apple heeft niet gereageerd op een verzoek om commentaar.

zich verstoppen