Apple: Hintertür in iOS für IT-Abteilungen und AppleCare vorgesehen
Apple hat zugegeben, dass in iOS Hintertüren eingebaut sind. Diese seien jedoch nur Diagnosefunktionen für IT-Abteilungen. Sicherheitsforscher Zdziarski glaubt nicht, dass sie nur für die Diagnose bestimmt seien. Dafür seien die herausgegebenen Daten von zu persönlicher Art.
Apple hat eingeräumt, dass in iOS Hintertüren verbaut sind. Allerdings seien die “Diagnosefunktionen” nötig, um “benötigte Informationen für IT-Abteilungen in Unternehmen, Entwickler und Apple für die Fehlersuche bereitzustellen”, heißt es in einer Stellungnahme. Der Konzern betonte abermals, dass es nicht mit Regierungsbehörden zusammenarbeite. Der Forensiker und Autor Jonathan Zdziarski hatte zu Beginn der Woche vor Hintertüren in iOS gewarnt.
Die Stellungnahme hat Tim Bradshaw von der New York Times via Twitter veröffentlicht. Darin heißt es zum konkreten Zugriff auf Gerätedaten: “Nutzer müssen ihr Gerät entsperrt und einem anderen Rechner das Vertrauen ausgesprochen haben. Der Nutzer muss einwilligen, die Daten bereitzustellen, und nie werden Daten ohne seine Zustimmung übertragen. Wie schon früher mitgeteilt hat Apple nie mit irgendeiner Regierung irgendeines Landes zusammengearbeitet, um eine Hintertür in irgendeinem Produkt oder Dienst zu schaffen.”
Apple bezieht sich dabei auf die Veröffentlichungen von Zdziarski. Auf der Konferenz “Hackers on Planet Earth” hatte er mehrere “undokumentierte, hochwertige forensische Dienste” vorgeführt, die seinen Angaben nach auf sämtlichen iOS-Geräten laufen. Er zeigt außerdem “verdächtige Design-Fehler in iOS”, mit denen es möglich sein soll, Daten einfacher zu sammeln. In seinem Vortrag (PDF) lieferte er auch Beispiele für Informationen, die ohne Zustimmung eines Nutzers “niemals das Gerät verlassen sollten”.
Mittlerweile hat Zdziarski einen ergänzenden Blog veröffentlicht. Darin steht: “Ich habe nicht behauptet, dass Apple mit der NSA zusammenarbeitet. Aufgrund der veröffentlichten Dokumente habe ich aber den Verdacht, dass einige dieser Dienste von der NSA genutzt worden sein könnten, um Daten von Zielpersonen zu sammeln. Ich unterstelle keine großartige Verschwörung. Es gibt aber Dienste in iOS, die es nicht geben sollte, die Apple bewusst in die Firmware eingebaut hat und die die Backup-Verschlüsselung umgehen, wobei sie mehr persönliche Daten kopieren, als je dem Smartphone eines durchschnittlichen Nutzers entnommen werden sollten. Ich glaube, dass dies gegenüber rund 600 Millionen iOS-Nutzern zumindest eine Erklärung rechtfertigt.”
Mit der von Apple veröffentlichten Stellungnahme zeigt sich Zdziarski nicht zufrieden, wie er in einem weiteren Blog erklärte. Apple habe “ungewollt” eingeräumt, dass in iOS Hintertüren verbaut seien, auch wenn sie für die Diagnose und für Unternehmenskunden bestimmt seien. Es sei einfach eine Schwächung der Privatsphäre, wenn sich die Passwortsicherheit umgehen lasse.
“Mir ist klar, dass jedes Gerät über Diagnosefunktionen verfügt”, schreibt er. “Diese Dienste brechen jedoch Apples Versprechen, das es Kunden gibt, die ein Backup-Passwort eingeben – nämlich dass ihrem Gerät nur verschlüsselte Daten entnommen werden können. Zudem sind den Nutzern diese Mechanismen nicht bekannt, und das Gerät gibt keinen Hinweis darauf. Es gibt schlicht keine Rechtfertigung für ein derart massives Datenleck, über das der Kunde nicht informiert wird.”
Zudem bleibt der Sicherheitsforscher skeptisch, was Apples Aussage angeht, die Umgehung der Verschlüsselung diene nur der Diagnose. “Ich kann keine Sekunde lang glauben, dass diese Dienste nur für Diagnose bestimmt sind. Die von ihnen herausgegebenen Daten sind von äußerst persönlicher Art. Der Nutzer wird nicht informiert. Ein echtes Diagnosetool wäre so konzipiert, dass es den Anwender respektiert, wie eine Anwendung um Erlaubnis für Datenzugriffe bittet und die Backup-Verschlüsselung respektiert. Sagen Sie mir bitte, was der Sinn einer Verschlüsselung ist, wenn sie sich umgehen lässt?”
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.