Apple og sikkerhed

Det fremstilles ofte som en fordel for brugerne af Apple iOS produkter – iPod, iPhone og iPad – at apps først skal igennem en godkendelsesprocedure hos Apple før de kan installeres. Godkendelsesproceduren undersøger ikke kun om koden kan køre, eller om den indeholder kode der må anses for at være skadelig, men også om app’en falder indenfor Apple’s rammer af hvilke produkter der må installeres på deres enheder.

Der er en grund til at sætningen ovenfor betegner enhederne som Apple’s. Forbrugerne har nok købt dem men det er Apple der bestemmer hvad de må bruges til. At Apple ikke vil acceptere porno er en ting, men reglerne rammer dermed også klassiske værker.

På trods af dette er det alligevel ikke en sikkerhedsmæssig fordel for brugerne af Apple’s produkter at de kommer igennem denne godkendelsesprocedure. Apple har nemlig et klart andet syn på hvilke forbrugerbeskyttelser der skal overholdes end de fleste forbrugere har.

Tag f.eks. den nye sag om Path. Path er en app der giver adgang til et socialt netværk hvor brugerne har mulighed for at dele fotos og beskeder via deres mobiltelefoner, og har siden starten i november 2010 fået over en million brugere. For nylig viste det sig at tjenesten siden starten har hentet alle brugernes adressebøger fra deres telefoner, og gemt dem på deres servere. Eller rettere, det viste sig at selvom Path i deres allerførste måned ved et tilfælde (af altid aktive Dave Winer) var blevet afsløret i at gøre netop dette og havde lovet at 1) det var en fejl og 2) det ville de lave om på, så var det ikke sket.

Nu skulle dataene så være slettet. Igen. Eller måske, for de blev jo aldrig gemt. Det er svært at vide når nu det allerede har vist sig at man ikke kan stole på virksomheden.

Det er nok der den historie slutter for de fleste, men en række udviklere har stillet det meget relevante spørgsmål: Hvordan kunne Path overhovedet få adgang til at uploade adressebøgerne, uden at brugere blev spurgt og uden at Apple reagerede på det i deres kodegennemgang?

Svaret er enkelt: Det er ligegyldigt for Apple og derfor kan enhver app installeret på en iOS enhed tilgå adressebogen. Og musikbiblioteket. Og de billeder man har taget. Og ens kalender. Og hvilke mobiltelefontårne man har været i nærheden af, og hvornår.

Ligegyldigt for Apple men ikke ligegyldigt for forbrugere. Og selvom det er ubehageligt at tænke på for os der lever et stille og beskyttet liv, så overvej hvad dette kunne betyde i de lande eller de steder hvor et forkert bekendtskab kan koste en livet.

Eller en mildere mellemsituation, hvad kan det betyde for en journalist der vil beskytte sine kilder? Tænk på hvor meget virksomheder spænder ben for deres egne folk for at forhindre dem i at kopiere kundeinformationer, af frygt for at de tager disse med i forbindelse med skift af arbejdsplads.

Alle disse informationer har værdi og dermed vil der snart, hvis ikke det allerede er sket, være apps der alene fungerer som honeytraps for at give kriminelle organisationer adgang til i stor stil at indsamle og sammenstille disse informationer. Man kan overveje om risikoen er størst for at det bliver anvendt til afpresning eller virksomhedsspionage – eller en kombination af begge.

Apple har haft rig mulighed for at tænke dette ind i deres produkter men har i stedet valgt at der kun er to ting der er reelt er beskyttet: Real-time informationer om ens lokationer og indholdet af ens iMessage beskeder. Begrundelsen er nok deprimerende: Apple er fuldstændig ligeglad med disse ting, ligesom et årtis beretninger om horrible arbejdsforhold hos leverandører først nu – måske – får konsekvenser. For Apple handler det om dem selv og ikke deres kunder.

Sikkerhedsmæssigt er konklusionen er desværre enkel:

Can users store private information on iPhones and iPads and at the same time use apps?

If you install even one app on your iPhone or iPad, all your data is compromised.
Dave Winer

Dette indlæg blev udgivet i IT sikkerhed og tagget , , , . Bogmærk permalinket.

3 svar til Apple og sikkerhed

  1. Pingback: Apple’s Gatekeeper og sikkerhed | Hennings blog

  2. Pingback: Mobiltelefoner og privatliv | Hennings blog

  3. Jeg fik dette link om hvordan Path, og dermed andre, kunne have undgået hele miseren og stadig understøtte den ønskede funktionalitet: http://mattgemmell.com/2012/02/11/hashing-for-privacy-in-social-apps/ (tak, Henrik)

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s