De Week

Zijn iPhone-gebruikers nu kwetsbaar?

Tinder schendt je privacy – wat jij kunt doen
DOSSIER: Versleuteling

Gisteren trok de FBI haar verzoek aan Apple in om de beveiliging van een telefoon te verzwakken. “The government has now successfully accessed the data stored on the […] iPhone and therefore no longer requires the assistance from Apple […],” zegt de FBI nu. Wat ons betreft zijn er nu twee belangrijke vragen.

In de eerste plaats is het belangrijk dat helder wordt hoe de FBI de telefoon nu opeens wél heeft kunnen uitlezen. Heeft de FBI daar een tot op heden nog onbekende kwetsbaarheid voor gebruikt of een andere truc toegepast? Het belang laat zich makkelijk uitleggen: als de FBI een onbekende kwetsbaarheid gebruikte, dan zijn alle gebruikers met diezelfde telefoon nog altijd kwetsbaar. Want criminelen kunnen die kwetsbaarheid ook misbruiken. Alleen als Apple wordt geïnformeerd over de kwetsbaarheid kan zij de kwetsbaarheid dichten. En alleen dan kunnen gebruikers hun telefoon zo veel mogelijk vertrouwen.

Overigens is dat ook een boodschap aan ons eigen kabinet. Onze maatschappij wordt veiliger als kwetsbaarheden in onze digitale systemen zo snel mogelijk worden opgelost. Dat betekent dat de overheid, als zij onbekende kwetsbaarheden tegenkomt, die zo snel mogelijk moet melden aan de ontwikkelaars van die software. De makers moeten gestimuleerd worden om die kwetsbaarheden zo snel mogelijk te repareren. En de overheid moet zichzelf onthouden van het misbruik van die kwetsbaarheden – en dat is precies de voornaamste reden waarom het hackvoorstel zo’n slecht idee is.

In de tweede plaats moet duidelijk worden wat de FBI nou eigenlijk écht wilde met die rechtszaak tegen Apple. Het voelt wat gek dat de FBI de rechter om zo’n ingrijpende oplossing vraagt, maar naderhand schijnbaar eenvoudig de telefoon van de verdachte kan ontsleutelen. Ging het de FBI écht om de gegevens van die specifieke telefoon, of gebruikte ze de casus om een ander punt te maken? Hoe kan de FBI de nu toegepaste oplossing eerder over het hoofd hebben gezien? En hoe serieus moeten we de FBI nog nemen als ze voor de rechter verklaart dat ze écht meer bevoegdheden nodig heeft?

De achtergrond van dit verhaal? In het onderzoek naar de schietpartij in San Bernardino vorig jaar probeerde de FBI de gegevens van een telefoon van een van de schutters uit te lezen. Dat wilde niet lukken, onder meer ook doordat de politie direct na het incident cruciale fouten maakte. Daarom vroeg de FBI via de rechter Apple om speciale software te schrijven waarmee de beveiliging van de telefoon wordt verzwakt. Apple weigerde dat: die software verzwakt potentieel de beveiliging van alle soortgelijke telefoons en maakt elke gebruiker kwetsbaar. Een paar weken later kwam de FBI terug op haar verzoek: “als gevolg van de wereldwijde aandacht voor deze zaak hebben anderen contact met ons opgenomen over mogelijkheden om in te breken op de telefoon.” Of die hulp er nu ook daadwerkelijk aan bijgedragen heeft dat de FBI de telefoon nu wel kan uitlezen, is niet bekend.

  1. Joost Rekveld

    De FBI heeft naar het schijnt een Israelisch bedrijf ingeschakeld dat het uitlezen van iPhones aanbiedt als een dienst.

    http://blogs.alternet.org/grayzone-project/israel-newspaper-israeli-tech-company-outside-source-offering-hack-terrorists

    • Rejo Zenger

      Dat gerucht gaat de ronde. Het is echter onduidelijk of dat bedrijf ook echt de hulp aangeboden heeft, waar die hulp dan uit zou bestaan en of die hulp ook echt instrumenteel was voor het verkrijgen van de toegang tot de telefoon.

    • Peter

      Dit gedeelte vind ik vreemd aan het verhaal. Cellebrite is een van de weinige bedrijven die forensische software levert voor het decrypten van telefoon aan overheden. Zeer waarschijnlijk heeft de FBI reeds een contract met dit bedrijf en maakt al gebruik van deze software. Als er dan opeens gezegd wordt ze hulp hebben gekregen, kan ik dat moeilijk geloven.

      Je kan trouwens gewoon de press releases van dit bedrijf bekijken om te kunnen zien welke telefoons ze claimen te kunnen decrypten en welke niet.

  2. Sebastian

    Boeiend. Heeft Apple al gereageerd?

    • Rejo Zenger

      Apple heeft in ieder geval gereageerd bij TechCrunch. Interessant aan die reactie: Apple zegt de veiligheid van de gegevens van gebruikers interessant te vinden, maar zegt helemaal niets over de manier waarop de FBI ingebroken heeft op de telefoon. Het is daardoor onduidelijk of de FBI een kwetsbaarheid van de telefoon heeft misbruikt en of Apple daarvan op de hoogte is en of Apple die kwetsbaarheid gaat dichten (als aanwezig).

  3. Snokie

    Raar. Zou het bluf kunnen zijn van de FBI? Dreigen met imagoschade voor Apple? Ze hebben er namelijk publiekelijk een punt van gemaakt altijd gegevens te beschermen etc. Als FBI nu bewijs op tafel legt, wie kan dan controleren of het daadwerkelijk uit de telefoon kwam?

    • Rejo Zenger

      Precies. Eén van de dingen die helder moet worden is wat de precieze beweegredenen van de FBI waren. Waarom stapten de FBI naar de rechter met zo’n ingrijpend verzoek? In het verlengde daarvan: het is ook moeilijk inschatten wat de precieze rol van Apple hierin was.

    • Tom

      Een mogelijke verklaring van de raarheid (wel met een hoge complottheorie-score):

      Het is een bewust opgezet theaterstukje kunnen zijn waarin de Amerikaanse techbedrijven aan de Europeanen kunnen laten zien dat ze toch echt wel verantwoord omgaan met de gegevens die ze verwerken en ze al helemaal niet zomaar uitdelen aan Amerikaanse drie-letter-instanties. Want Safe Harbor. En eigen economie eerst.

  4. Mark

    Interessant statement:

    Onze maatschappij wordt veiliger als kwetsbaarheden in onze digitale systemen zo snel mogelijk worden opgelost.

    Volgens mij wordt de maatschappij veiliger als de inlichtingen dienst vrije toegang hebben tot alle communicatie over internet.

    Niet dat ik dat wenselijk vind, maar stellen dat een betere privacy leidt tot een betere veiligheid is volgens mij onjuist.

    • Rejo Zenger

      Als je telefoon kwetsbaarheden heeft, dan kan iedereen met kennis van die kwetsbaarheden inbreken op je telefoon. Dat is een groot risico: voor jezelf (als je foto’s op straat komen te liggen, je telefoon niet meer te gebruiken is tot het moment dat je losgeld hebt betaalt of als je opeens geld blijkt over te maken naar een andere rekening dan bedoeld) en voor onze maatschappij. Als die kwetsbaarheden veel misbruikt worden, dan heeft dat immers impact op de mate van vertrouwen van mensen in de digitale infrastructuur.

      Wanneer de geheime of opsporingsdiensten onderzoek doen, dan is dat onderzoek gericht op een of meerdere verdachte. Als de diensten, om dat onderzoek makkelijker te kunnen doen, een kwetsbaarheid in alle telefoons laten inbouwen, betekent dat dat de beveiliging van onze hele digitale infrastructuur wordt verzwakt. En niet alleen van de telefoon van de verdachte.

      Onze maatschappij wordt misschien iets veiliger als de geheime diensten toegang hebben tot de communicatie op een bepaalde telefoon, maar het zou een slecht idee zijn om, ten einde dat doel te bereiken, de beveiliging van elke telefoon te verzwakken. Toch?

  5. Peter

    Heel vaak is de meest simpele verklaring ook de juiste. Ik denk daarom dat de FBI haar eigen succeskansen heeft ingeschat en heeft besloten om het een andere keer (met een zwakkere tegenstander) opnieuw te proberen.

    Indien er uiteindelijk door de rechter een negatief oordeel voor FBI zou komen, zou dat veel schadelijker zijn, dan dit ene geval opgeven. Ze hebben zich mogelijk wat vergist in de (PR) tegenstand van Apple (en het leger aan advocaten). De verklaring die gegeven wordt en de wijze waarop het technisch uitgevoerd is, zijn dan ook niet meer (of veel minder) relevant.

    • Rejo Zenger

      Maar ook dat zou interessant zijn om te weten: het betekent namelijk ook dat de FBI op dit moment een ander verhaal vertelt aan de rechtbank dan dat er werkelijk speelt. Ook zou FBI’s standpunt zodanig robuust moeten zijn dat het voor de rechter standhoud (of niet), onafhankelijk van de mate van tegenstand. Toch?

    • Peter

      Goede vraag. Maar hangt het robuust zijn van standpunten ook niet af van het verweer van de tegenstander? Slecht verweer is winst voor de FBI, aangezien de rechter volgens mij niet aan waarheidsvinding doet, maar alleen de argumenten van de partijen weegt.

      Verder heb ik natuurlijk ook nog veel vragen en ben benieuwd naar het vervolg. Ik snap de rol die Apple speelt namelijk ook niet helemaal. Ze werken namelijk wel volledig mee bij het verstrekken van iCloud backups, die kennelijk wel makkelijk de kraken zijn. Hier gaat nauwelijks aandacht naar uit. Als je de veiligheid van iPhone gebruikers wilt verbeteren, kunnen ze beter ook de encryptie van iCloud zodanig verbeteren dat alleen de gebruiker er bij kan.

  6. Klaske Wijkstra

    Het blijft een kat-en-muisspel.

  7. Ben

    Het is bijzonder waarschijnlijk dat het Cellebrite is geweest;

    http://www.zdziarski.com/blog/?p=6020

  8. Adrie

    Kan de FBI in dit geval vervolgd worden wegens het plegen van meineed? Er waren al eerder contacten gesloten tussen FBI en Celebrite, mocht inderdaad blijken dat Celebrite hen hulp heeft geboden. Dan valt toch sterk te betwijfelen dat de FBI onder ede heeft verklaard dat ze alles hebben geprobeerd om zelf (of met behulp van derden) in te breken in de telefoon?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.