Zakatol az Error 53 ügy, amit annyira felkapott a sajtó, hogy kezdem azt gondolni, Tim Cook csak csalinak dobta be, hogy egy kicsit ne az autóról beszéljünk. Bár ahogy az ügy kinéz, hamarosan inkább kitolnak valami béna gépszörnyet a garázsból, hogy egy pillanatra az Error 53-at felejtsük el.
Apropó. Valamelyik éjjel állítólag motorzúgást lehetett hallani az Apple titokzatos autófejlesztő üzeméből, ami ugye azért furcsa, mert az elektromos autóknak nincs hangja. Lehet, hogy kiadnak gyorsan egy dízelt Apple Car SE néven, műanyag házban.
Na de hagyjuk a hülyeséget, komoly dolgokról kell beszélnünk.
Itt van ez az Error 53, amiről Csaba itt írt meg mindent, amit az első napokban tudni lehetett. Aztán kiderült, hogy az ügyvédek elég sok pénzt látnak abban, ha az Apple-t csoportos garázdasággal vagy valami hasonlóval betámadják, és a bíróság elé viszik, hogy szétcseszték egy rakás ember telefonját. Ami nagyjából meg is állná a helyét, hacsak nincs valami olyan körülmény, amiről egyelőre nem tudunk.
Mert simán lehet. Ez az Error 53 egyáltalán nem egy evidens valami.
Kezdjük ott, hogy nem újkeletű, a fórumokon egy 2014 év végi bejegyzés már ugyanerről panaszkodott. Egy iOS update után dobta a rendszer ezt a számot, ami után nem kelt fel többé a telefon.
Ez egybecsengene azzal, amit az Apple állít: ez egy biztonsági ficsör, és ha bárki megbabrálja az ujjlenyomat-olvasót akár otthon, akár egy nem elismert szervizben, fennáll a veszélye, hogy...
Na igen. Minek is áll fenn a veszélye?
Annak, hogy a Touch ID nem fog működni többé. És ez a helyzet? Teljes mértékben, de ennek nincs köze az Error 53-hoz. Az iFixit kipróbálta: kiszerelte két iPhone 6S ujjlenyomat-olvasóját, és kicserélte őket egymással. A Home gomb ezután mindkét készüléken működött tovább, a rendszer ment, mint a kisangyal, csak épp az ujjlenyomat-olvasást tagadta meg a vas. Ugyanis még a gyárban párosítják a hardvert az adott készülékhez, így más készüléken nem fog működni.
Ez az, amit úgy nevezünk, biztonsági ficsör.
Azt azonban nem tudom, minek nevezzük, ha a fenti két telefon a következő iOS update-nél nem indul többé újra. Merthogy ez történt, a fenti esetben is. Nem beszélhetünk szervizes hibáról - előtte működött a rendszer, kivéve a Touch ID-t, aminek ilyenkor nem is szabad -, és kizárhatjuk az idegen hardver behelyezését is, mert gyárit cseréltek gyárira. Az iFixit ezután visszacserélte a két Touch ID-t a helyükre, és láss csodát: minden működött újra, és az update is felmászott.
Megkerestük az iFixitet, akik válaszoltak a kérdésinkre, és kifejtették a jelenlegi álláspontjukat:
Úgy találtuk, hogy a hiba szórványos, és nem jelentkezik minden új hardvernél. A technikusaink jelenleg is nyomozzák az ügy hátterét, a jelenlegi tudásunk szerint egy párosítási probléma lép fel az alaplappal valamiféle elmaradott Apple biztonsági képesség miatt, miután egy új hardvert telepítettek az eszközbe.
Tehát még most, egy héttel az eset kirobbanása után is több a kérdés, mint a válasz. Különösen ha hozzávesszük egyik olvasónk, Jani levelét, aki meg azt állítja, ő is Error 53-ra futott, úgy, hogy a telefonja sohasem volt szervizben. Az egyik hazai mobilszolgáltatótól vásárolta, azóta a zsebét sem nagyon hagyta el. Egy restore után mégis elszállt az egész.
Amikor megfogtam forró volt a Touch ID, nem csak amolyan iPhone-os melegedés volt hanem tényleg forró, és szerintem szaga is volt (de ezt már lehet, hogy csak bebeszélem magamnak). A telefon soha nem volt semmiféle szervizben és vigyáztam rá mint a hímes tojásra, azt pedig végképp nem hinném, hogy amíg aludtam valaki kicserélte volna a Touch ID-t egy “nem szakszervizből”
Jelenleg szervizbe jár a telefonnal, amint van fejlemény, értesítünk titeket is.
Micsoda kupi. Az Apple azt állítja biztonsági ficsör, ami azonban nemcsak túlzónak, de jogsértőnek, sőt feleslegesnek is tűnik. A másik oldal azt állítja, hogy az Apple a külsős szervizeket akarja a lépéssel megszívatni, így kényszerítve az embereket arra, hogy inkább új telefont vegyenek. Ezt azért nehéz elhinni, mert a bíróságon ezzel majd nem védekezhetnek.
Az Apple újdonságai, a News és az Apple Music sokaknak csak egy újabb ficsör, de az iparágban dolgozók közül sokan kapták fel miattuk a vizet. Ezenkívül elég súlyos biztonsági résről is hírt adtak szakértők, amiket az Apple hat hónapja sem volt képes kijavítani.
Menjünk sorban.
Kezdjük a leglazább anyázással, Anton Newcombe tweetjeivel, amikben sátáni cégnek nevezi az Apple-t, valamint ördögként hivatkozik rájuk. Mindezt a három hónapos ingyenes próbaidő miatt. Az Apple ugyanis szólt a frontember kiadójának, hogy ha nem egyezik bele, hogy felhasználónként negyed évig nem kap semmit a zenéjéért, akkor szerződést bontanak.
Annyira belelovallta magát a dologba, hogy még ezt is leírta, ami súrolja a büntethetőség határait:
Remélem, a szegények értéktelennek ítélik a törvényeket, és porig égetik a Bay Area-t, kezdve Cupertinóval
Egyébként a csávó nincs egyedül, többen is kifejezték a félelmüket az új szabályozással kapcsolatban. Az Apple a freemium modell elleni harcban pont ugyanarra a céltáblára került, ahol az általuk démonizált cégek.
A másik mikrobotrány a lapkiadóknál kezdett el gyűrűzni. A BBC írt róla, hogy lapok és bloggerek kapnak az Apple-től olyan emailt, amiben engedélyt kérnek, hogy az RSS-ből kinyert tartalmukat kiadhassák a saját szolgáltatásukon belül.
A felkérés opt-out. Ez benne a meglepő. Vagyis az Apple úgy veszi, hogy beleegyezel az emailes felkérésre, ha nem válaszolsz nekik, hogy nem.
Beleegyezel abba, hogy a tartalmadat felhasználják, újra kiadják, reklámot helyezzenek mellé, amiből lehetséges, hogy semmilyen bevételed nem lesz, és amennyiben nem veszed fel a kapcsolatot az Apple-lel, ezek a feltételek elfogadottak.
Én hallottam már korábban is cinkes húzásokról az Apple-től, és arroganciában Steve Jobsot nehezen lehetett felülmúlni, de ezzel most Tim Cookéknak sikerült.
Most pedig következzen a hab a tortán. Az Indiana University és a Georgia Institute of Technology biztonsági mérnökei az iOS-ben és az OS X-ben is találtak egy biztonsági rést, amivel egy másik alkalmazás könnyűszerrel lophat jelszavakat és más érzékeny információkat a többi alkalmazásból. A cross-app resource access (XARA) támadás az iOS és OS X-es alkalmazások 88,6 százalékán simán átment, ezek átengedték az érzékeny információkat egy másik appnak, noha az Apple épp azon dolgozott sokat, hogy elzárja egymástól a futó alkalmazásokat, és a megfelelő kerítéssel vegye körbe a folyamatokat.
Kérdezhetitek, hogy hogyan kerül fel egy ilyen ártó program a vizsgált gépekre: az App Store-ból. Az Apple ellenőrzésén simán átment a kód.
A biztonsági szakértők még tavaly októberben jelentették a problémát az Apple-nek, akik hat (6!) hónapot kértek, amíg javítják. Azóta sem történt semmi.
Hát erről beszélek, amikor azt mondom, hogy az Apple-nek komolyabban kell vennie a biztonságot. Erre nincs értelmes magyarázat.
Tim Cook az utóbbi időben egyértelműen és határozottan kezdett kommunikálni a magánszféra védelme mellett. Rendszeresen összehasonlítja a cégét a Szilícium-völgy többi óriásával, akik arra építették a bevételi struktúrát, hogy a rólunk összegyűjtött adatokból építsenek várakat. Kihangsúlyozta a privacy védelmét a Touch ID bemutatásánál - az ujjlenyomat nem hagyja el a készüléket -, és elbüszkélkedett vele a Proactive Sirinél. "Nem érdekelnek minket az adataid" - állította az Apple vezetője, annak kapcsán, hogy a Google Now-hoz hasonló szolgáltatást vezetnek be az iOS 9-cel, egy különbséggel: a bizalmas keresési előzményeket nem lehet összekötni velünk, és ezeket nem adják oda harmadik félnek.
Lépjünk egy lépést hátra, és helyezzük el kontextusba ezeket az állításokat: az iPhone ott csücsül kiszolgálóként egy hatalmas, világméretű ökoszisztéma közepén, amit az adatok begyűjtésének és visszaosztásának dinamikája tart fenn, és sok-sok cég érdekelt. Ezek nélkül a folyamatok nélkül nem lennének ingyenes szolgáltatások, ingyenes appok, ez pedig ahhoz vezetett volna, hogy az online szolgáltatások adaptációja, elfogadása, fejlődése lassabban ment volna végbe. Mindenki maga döntheti el, miként értékeli ezt a tempót, jónak vagy rossznak tartja, de a fejlődés gyorsaságának általában örülnek. Látva, hogy mit áldoztunk fel, ez itt nem egyértelmű.
De vajon mennyire igaz az Apple állítása, és mennyi benne a marketing? Az Apple láthatóan az a cég akar lenni, aki állítja: a prémium termékeket birtokló ügyfeleik kiváltsága, hogy nem használják az adataikat profittermelésre. Tényleg megnyugtató a tudat, hogy egy olyan ökoszisztéma részei vagyunk, ahol nem az adatbányászatra, hanem a hardvergyártásra helyezik a hangsúlyt. Tisztább a helyzet: pontosan tudod, hogy miért mennyit fizetsz, és mi marad nálad.
Egy Pedro Vilaca nevű biztonsági kutató fedezte fel minden idők talán legdurvább biztonsági rését a Maceken. Kiderült, hogy simán lehet BIOS-t újraíró kártevőt készíteni az Apple gépeire, és a munka legjavát maga az Apple végezte el. Ha pedig egy kártevő a BIOS-hoz hozzáfér, ott már nem segít az újratelepítés, vagy akár a meghajtó fizikai cseréje sem.
Egy másik szakértő korábban már talált egy módszert ugyanerre, Vilaca azt fejlesztette tovább. Akkor ugyanis még fizikai kapcsolat kellett a célszemély gépével: Thunderbolt-kapcsolaton keresztül, egy külső lemezről mászott fel a kártevő a gépre, és így írta újra a ROM-ot.
Jogos a kérdés, hogy ha egyszer read-only, hogyan lehet újraírni? Ezen Vilaca is nagyon csodálkozott:
amikor a Macek felébrednek sleepből, a BIOS védelme megszűnik.
Az Apple Payről nagyjából annyit hallunk, hogy a legbiztonságosabb és egyben legegyszerűbb fizetési mód. A biztonságnál azonban először mindenki a bejárati ajtóról beszél: milyen a zárszerkezet, hány ponton záródik az ajtó, milyen vastag az acéllemez. Ujjlenyomat, token, azonosító kulcs.
Később kerülnek csak szóba az ablakok, neadjisten a hátsó bejárat, ami tárva-nyitva.
Az Apple Paynél persze nincs szó nyitva felejtett bejáratról. Mégis, mostanában egyre több biztonsági szakértő szólal fel az Apple fizetési rendszere ellen, mert szerintük nem tartalmaz elég biztonsági réteget. Visszaélnek ugyanis adattolvajok az Apple Pay-jel, így:
A hackerek első körben megszerzik a bankkártya biztonsági kódját, illetve egy iTunes account belépési adatait (fontos tehát, hogy az egész adatlopással indul, ami eleve egy már feltört biztonsági rendszert, vagy személyiséglopást jelent). Ez eleve nehéz dolognak tűnik, de nem az: a CVV-t (kártya azonosító szám) állítólag egy dollárért, az iTunes belépési adatokat pedig 8 dollárért árulnak online Brian Krebs biztonsági szakértő szerint.
A tolvajok ezután beállítanak egy új iPhone-t a meglévő adatokkal. Regisztrálják a kártyát, belépnek az Apple ID-vel, és megadják az ujjlenyomatukat. Igen, a sajátjukat, innentől az tökéletesen elég. A bank sem nagyon cicózik a gyakorlat szerint azon, hogy beazonosítsa az új szereplőt, gyorsan átfut a processz, hogy a felhasználónak minél kényelmesebb legyen. Ezután pedig már mehet is a vásárlás az üzletben, gyorsan, kényelmesen.
Adatlopással ugye eddig is simán kilophatták a szemünket, csak míg korábban kizárólag online vásárlásokra voltak használhatóak a bankkártyaadatok, addig most az iTunes-hozzáféréssel a való életben is lehet vinni a cuccokat, azonnal.
Az Apple elvileg tett ennek megelőzéséért: amikor a felhasználó egy új kártyát érvényesít a rendszerben, az Apple becsomagol és titkosít egy csomó információt, amit aztán elküld a banknak. Ebben az iTunes forgalmat, a használt készülék információit, a készülék nevét és a pontos helyzetét is megosztja a bankkal. Innentől viszont ott a labda, hogy elfogadják vagy elutasítják a regisztrációt. A pénzintézet kérhet tovább infókat is a regisztráló személytől, de általában simán megy minden. Talán túl simán.
A megoldás lehet, hogy a bankok szigorúbbak a regisztrációnál. A másik - amibe az Apple nem megy bele -, hogy a vásárlásnál igazolják a személyazonosságukat a vásárlók.
A blogon található valamennyi írás, valamint a fényképek egy része a szerző saját tulajdonát képezik, amelyek másolása, terjesztése kizárólag előzetes engedéllyel lehetséges.
