Meglepődtem, amikor megtudtam, hogy Jeff Bezos mobilja egy iPhone X volt. Ebből is látszik, mennyit érnek azok az előítéletek, amiket az Apple ültet el bennünk a biztonsággal kapcsolatban: ha sok pénzed van, és te vagy Mohammed bin Salman, akkor simán átküldesz egy videót a világ leggazdagabb embereinek, és megkapod az adataikat.
És ha azt hinnéd, hogy Bezos nem járt el körültekintően, vagy mondjuk hackelt iOS-t használt, tévednél. A WhatsApp-on, egy Apple által aláírt programon keresztül kapott egy 4,4 megás videót, amiben egy kód telepített malware-t. Nem kellett kattintani semmire, a videó lejátszásán kívül, nem kellett engedélyezni semmit.
Több olyan hackercsoport van a világban, akik egyáltalán nem a világtól rejtetten tevékenykednek, és a megfelelő összegért elvégeznek ilyen munkát. Ilyen a tel-avivi NSO Group is, akiket maga a WhatsApp fejlesztőcége perelt nemrég, mert a hackerek épp az ő programjukba rejtett technológiát alkalmazták újságírók és emberi jogvédők megfigyelésére. Persze közben befoltozták azt a rést.
Az eset azt mutatja, hogy ha megvan a megfelelő összeg, legyen bármennyire is szofisztikált a rendszer biztonsága, mindegy, hogy Android vagy iOS, átjáróház a telefonunk.
Vicces, hogy eközben az FBI az Apple-t támadja, újra, azért, mert nem segítenek neki feltörni egy iPhone 5-öst, és egy iPhone 7 Plust. Persze egészen más a két eset: előbbinél a júzer használja a telefonját, és a támadó ismerőse is, tehát küldhet neki fájlokat, amiket lejátszik, a második esetben a telefon lezárt, a júzer pedig halott.
Az FBI persze nincs magára hagyva ebben az esetben. Az iPhone 5-ös annyira régi, hogy nyitott könyv, és olcsón feltörhető szinte bárki által. Nincs benne Secure Enclave processzor, ami a legfőbb oka annak, hogy ezek a készülékek nehezen törhetőek. Akit érdekel jobban a chip, amiről publikusan kevés infó kering, itt talál egy diasort, a lényeg, hogy elvileg megakadályozza, hogy túl sokszor próbálkozzanak a jelszó beadásával, és két próbálkozás között beiktat egy kötelező szünetet, hogy a brute force támadásoknak elejét vegye.
A hackerek épp ezen korlátozások kiiktatásán fáradnak, és az iPhone 7 Plus esetén pont van is egy létező, befoltozhatatlan rés, amit a Checkm8 nevű hack használ ki. Egy négyjegyű numerikus passcode feltörése így hét perc átlagosan. A hatjegyű 11 óra.
Vagyis az FBI azt akarja, hogy az Apple ingyen végezze el azt a munkát, amit az FBI által megbízott hackerek pénzért vállalnak. De nem is kellenek ehhez külön szakértők: nemrég a Fast Company kapott bebocsátást a New York-i High Technology Analysis Unit laborba, ahol látogatásukkor közel 3000 telefon várt arra, hogy feltörjék. Legtöbb aktív nyomozás bizonyítékai. A részletek miatt érdemes elolvasni a cikket, de mivel nem értek ehhez, csak leírom, hogy a labor számítógépe másodpercenként 26 millió passcode-ot tud kipróbálni, és van egy készülékük, ami képes memóriachipet hőfejlesztés nélkül eltávolítani. Nem tudom, ez mennyire menő, de annak hangzik.
És ez nem azt jelenti, hogy az Apple nem segít az FBI-nak. Továbbra is átadják a teljes iCloud backupokat a nyomozáshoz, így aztán ha valaki a felhőbe menti a telefonja tartalmát, ezek a backupok az üzeneteket is tartalmazzák end-to-end titkosítás nélkül. Így van: ha bekapcsolt a felhőbe backup, akkor semmit nem ér az üzeneteid end-to-end titkosítása, az Apple-nél ilyenkor már ott a kulcs.
Rebesgették, hogy az Apple fontolgatta a teljes backup end-to-end titkosítását is, vagyis hogy eldobják a kulcsot ahhoz is, így szinte semmilyen infót nem tudnak majd átadni a hatóságoknak, legfeljebb a programokban külön tárolt dokumentumokat. Azt is rebesgették, hogy a cég feladta ezt a kezdeményezését, pont az FBI-jal való harca miatt. Erről a riportról az Apple-hez közel álló, az ottani emberekkel rendszeresen érintkező újságírók koronahercege, John Gruber írta, hogy nem hihető. Egyszerűen a cég DNS-éből hiányzik az ilyesféle megfontolás, náluk fel sem merül az ilyesféle gondolatmenet. Inkább arról van szó, hogy az Apple napi rendszerességgel segít a maguk által kizárt felhasználóknak, hogy visszanyerjék az adataikat, és amennyiben az. egész end-to-end lesz, a kizártak ott is maradnak, és nem tud nekik segíteni semmit a cég.
Ha betartunk pár szabályt, nekünk sem eshet bajunk. Ha kapunk egy videót WhatsAppon koronahercegektől, ne nyissuk meg. És változtassuk meg a passcode-unkat egy tízjegyű alfanumerikusra, azzal ellesz jó pár évig a labor (ezt így kell megtenni). Ne lőjünk le senkit, hogy a telefonunk ne kerüljön a rendőrség kezébe. Szeressük egymást.