Nemrég egy New York-i HOPE/X konferencián az iOS hacker Jonathan Zdziarski súlyosnak hangzó kijelentéseket tett. Azt állította, az iOS-nek olyan háttérfolyamatai vannak, amik látszólag nem köthetőek diagnosztikai folyamatokhoz, de lehetséges, hogy kormányzati szervek vagy hackerek személyes adatokhoz juthatnak ezeken keresztül. Ennél persze sokal több hangzott el, a hacker a dokemntálatlan, felhasználói titkosítást nélkülöző szolgáltatásokról is beszélt, akit részletesen érdekel, itt elolvashatja, érdemes.
A kijelentésben a megfelelő helyeken vannak a feltételes módok ahhoz, hogy ne lehessen falhoz állítani érte a hackert, az Apple mégis válaszolt. Na nem direktben, de az iMore-hoz eljuttatott válaszban tagadják, hogy kormányzati szervekkel működnének együtt, és szerintük nem titok senki előtt, hogy diagnosztikai adatokat megosztanak a párosított számítógépekkel.
E mellett frissítették a webodalukat, sorra vették az iOS (eddig ezek szerint dokumentálatlan) háttérszolgáltatásait. Három folyamatot részleteznek.
A com.apple.mobile.pcapd diagnosztikai csomagokat továbbít az iOS eszköz és a vele párosított (trusted) számítógép között. Célja a hibajavítás, a diagnosztika és az enterprise VPN kapcsolatoknál is jól jön.
A com.apple.mobile.file_relay a diagnosztikai adatok részleges megosztására jó, az iOS Data Protection elveit figyelembe véve. Az AppleCare használhatja ezeket az adatokat a felhasználó beleegyezésével.
A com.apple.mobile.house_arrest eszközt az iTunes használja, hogy dokumentumokat másolhasson olyan alkalmazásokba, amik támogatják ezt a funkciót. Az Xcode is használja.
Az EFF rendszeresen értékeli a cégeket aszerint, hogy milyen módszerekkel védik meg az adatainkat a kormánytól érkező lekérésekkor. A “Who has your back” felmérésen összesen hat csillagot lehet kapni, ezt is csak akkor, ha a cég minden tőle telhetőt megtesz a tájékoztatás és az adatvédelem érdekében.
Az Apple az elmúlt három évben egyetlen csillagot kapott a hatból.
Most meg hatot.
Az Apple belehúzott.
Egyébként nem csoda, a 2011-es, siralmas állapotokat mutató felmérés után egyre több cég gyűjtötte az elismerést jelentő badge-eket. Ezek azt vizsgálják, hogy az adott cég megköveteli-e a bírósági végzést az adat kiadása előtt, elmondja-e a felhasználónak, hogy kiadta az adatokat, átláthatósági jelentést készít-e, közzéteszi-e a hatóságokkal való együttműködés feltételeit, a bíróságon megvédi-e a felhasználói adatokat, valamint a kongresszusban is megteszi-e ugyanezt.
Az Apple kitolt egy frissített dokumentumot az iPhone in Business oldalára, amit a Techcrunch vett észre. Ez leírja, pontosan hogyan működik a Touch ID rendszer, és hogyan osztja meg egymás között az információkat és a feladatokat az A7 és a Secure Enclave nevű segédprocesszor, aminek kizárólag az ujjlenyomat-kezelés a feladata.
Az Apple kiadott egy dokumentumot, amiben elárulják, hányszor keresték meg őket a világ különböző pontjairól a kormányzati szervek, hogy adatokat kérjenek a felhasználókról. Mint a közleményben leírják, az Apple úgy gondolja, mindenkinek joga van tudni arról, hogyan kezelik a személyes adatait, és szükséges, hogy ezeket az adatokat a legjobb védelemmel lássák el. Éppen ezért - a Google-höz, a Microsofthoz és a Facebookhoz hasonlóan - ők is felszólaltak az Egyesült Államok kormányának gyakorlata ellen, ami szerint nagyon korlátozott információkat tehetnek közzé az ilyen megkeresésekkel kapcsolatban.
Mint a dokumentumban írják, mivel az Apple - ellentétben "más cégekkel" - nem érdekelt a felhasználói adatok felhalmozásában, tárolásában, így a megkeresések legnagyobb része ellopott vagy elveszett készülékekkel kapcsolatos, ilyenkor tehát a pórul járt vásárló védelmében jár el a hatóság, és keresi meg az Apple-t. Az esetek kisebb részében a hatóságok a felhasználók személyes adataira kíváncsiak, akár fotókról vagy emailekről legyen szó. Ezt az alapvetően két kategóriát az Apple két külön táblázatban szerepeltette.
A táblázatok adatai 2013. január 1. és 2013. június 30. közötti időszakra vonatkoznak.
Látható, hogy az Egyesült Államok még arra sem ad engedélyt, hogy pontos számot közöljenek a személyes adatokkal kapcsolatos lekérésekkel összefüggésben, így egy tág intervallumot közölt csak az Apple. A második legkíváncsibb nemzet a németeké, de láthatóan ők sem kaptak annyi információt, amennyit szerettek volna.
Magyarország csak készülékinfókat kért le, összesen 13 Apple-termékkel összefüggésben. Mindössze hárommal kapcsolatban szolgáltatott ki az Apple adatokat.
A gyakorlat szerint az Apple felé minden esetben bírósági határozat formájában fordulnak az információkért a kormányzati szervek. Ezután az Apple jogi osztálya alaposan megvizsgálja ezt a kérelmet, és ha bármi kétség merül fel a lekérdezés jogosságát illetően, vagy akár formai hiányosságot látnak, visszautasítják az adatok kiszolgáltatását (mint a fenti táblázatból látszik, ez sűrűn előfordul). Amennyiben a kérés elbírálása pozitív az Apple részéről, megpróbálják a lehető legszűkebb mennyiségű információt kiszolgáltatni, ami csak az ügyben lehetséges.
Néhány nappal a telefon megjelenése után a Chaos Computer Club (CCC) nevű szervezet már rá is jött, hogyan játszható ki az iPhone 5s ujjlenyomat-olvasója.
A srácoknak ebben egyébként nagy tapasztalatuk van, csoda, hogy ilyen sokat tököltek vele. Mint egy blogposztban leírták, az volt a nehézség, hogy az Apple szenzora a korábbiaknál sokkal nagyobb felbontásban vizsgál. Így aztán a "lopott" ujjlenyomatot nekik is nagyobb felbontásban kellett kinyomtatniuk (1200 dpi), de végül megoldották.
A srácnak úgy remeg a keze, hogy a videó nézése közben könnyezem.
Itt egy részletes leírás, hogyan lehet egy megfelelő helyen ottfelejtett ujjlenyomatból megalkotni a spéci, iPhone 5s-feltörő ragacsot.
A CCC-s srácok ezzel fel akarják hívni a figyelmet arra, hogy nem jó ötlet biztonsági kulcsnak megadni olyan dolgot, amit naponta ezer helyen ottfelejtesz. Hozzátenném, ha végigolvassuk, miket kell tenni egy ujjlenyomat ellopásához, szerintem ez sokaknál a belefér kategória lesz. Akiknél nem, használjanak négy számot továbbra is.
A blogon található valamennyi írás, valamint a fényképek egy része a szerző saját tulajdonát képezik, amelyek másolása, terjesztése kizárólag előzetes engedéllyel lehetséges.
