Nyt Apple-tiltag: Macbooks går i sort efter reparation uden særlig service-software

Det er meget fint, han er jo så også pænt biased af 1) selv at tjene rigtig rigtig mange penge på at være Apple-reparatør, 2) at være rykket rundt af Apple før, på grund af ting han har meldt ud på YouTube.

Rossmann har -altid- været anti-Apple når det kommer til deres hardwaredesign (som han gang på gang sviner til) over til deres opretholdelse af intellectual property.

Videoen du linker til, indeholder intet argument imod at det handler om security, han siger bare "Det er ikke det det handler om, det handler om kontrol". ... faktum er bare, at det er kontrol, fra hans subjektive synspunkt, og fra hans forretning - det kan lige så vel handle om security, når man ser det fra en konsumers synspunkt. Uagtet, så er Rossman ikke, og har aldrig været, neutral eller objektiv, når det kommer til Apple.

Man kan se Louis Rossmann's vinkel på sagen her:https://www.youtube.com/watch?v=vA_em-0VYWYstart evt. 8 min inde.

Christoffer Kelm Kjeldgaard, tak for dine gode indlæg. Den slags er alt for sjældne her.

Som svar til kommentaren:

Du kan roligt regne med, at den software har en unik kode for hver enkeltperson i Apple-værksteder, samt at disse er blevet grundigt oplyst om, at de vil blive retsforfulgt til fulde, dvs. at de vil hæfte for al den tabte omsætning, som lækning af softwaren vil medføre, hvilket nemt løber op i milliarder.
Hvis den bliver lækket, så skal det være fra en meget centralt placeret person i Apple, hvor den kan lækkes uden unikke koder, hvilket er ekstremt usandsynligt.

Jeg finder det ekstremt usandsynligt at Apple skulle være i stand til at retsforfølge 3. parts leverandører alle steder i verdenen. Kineserne eksempelvis har det med at beskytte deres egne.

At Apple skulle lave aftaler med alle 3 parts reparatører i alle de lande de opererer i, hvor aftalerne samtidigt skulle være juridisk gyldige samt at Apple har de fornødne kompetencer til at juridisk følge en evt retssag til dørs er i mine øjne ikke et specielt sandsynligt scenarie. Jura er godt til at sikre hjemmemarkedet men globalt set er det bare ikke en sikkerhedsfaktor man skal regne med.

Ud fra et sikkerhedsmæssigt perspektiv er det bekymrende, at Apple tilsyneladende kan aktivere funktionen remote, I og med at funktionen ikke er aktiv endnu - og at den må kunne slås fra igen til diagnostisk analyse.

For at sammenligne arbejder nogle mobilproducenter med såkaldte "fuses" I processor arkitekturen, som sikrer systemets integritet - f. Eks. Om Bootloaderen er modificeret, eller om der en skærm med et uoriginalt serienummer. Når man brænder en "fuse" så kan man ikke umiddelbart slå den til igen - enheden fungerer stadig fint, men alle krypterede funktioner er slået fra, og programmer der kræver dem holder op med at virke. Jeg har ikke indtryk af at det er den model Apple bruger her.

Tillæg til den oprindelige Motherboard artikel:https://motherboard.vice.com/en_us/article/yw9qk7/macbook-pro-software-locks-prevent-independent-repairUpdate: iFixit testing has found that Apple’s software locks are not yet operative. “This service document certainly paints a grim picture, but ever the optimists, we headed down to our friendly local Apple Store and bought a brand new 2018 13” MacBook Pro Touch Bar unit. Then we disassembled it and traded displays with our teardown unit from this summer. To our surprise, the displays and MacBooks functioned normally in every combination we tried. We also updated to Mojave and swapped logic boards with the same results.

That’s a promising sign, and it means the sky isn’t quite falling—yet.” iFixit concludes that Apple has a “kill switch” in the new MacBook Pros. The service bulletin Apple sent to AASPs is genuine, but is not yet operational.

Macrumors har også en tilføjelse til den oprindelige artikel:https://www.macrumors.com/2018/10/04/t2-macs-must-pass-diagnostics-for-certain-repairs/Update: Despite the specific wording of Apple's document, which says failure to run Apple diagnostics after certain parts are replaced in T2-equipped Macs "will result in an inoperative system," the repair experts at iFixit swapped out the display and logic board on a 2018 MacBook Pro, and it remained operational without passing diagnostics.

iFixit is not an Apple Authorized Service Provider, so at this time, it appears that independent repair shops should be able to repair the iMac Pro and 2018 MacBook Pro without issue. It's unclear why Apple's document suggests otherwise.

Det udelukker naturligvis ikke, at Apple aktiverer en eller flere hardware låse på et senere tidspunkt, men som nævnt af “iFixit” er himlen ikke faldet ned endnu.

Så længe man ikke selv “piller ved loddestederne” er der en ganske interessant mulighed for at redde “dødt” T2 maskineri med denne fremgangsmåde:

Restore Apple T2 firmware on 2018 MacBook Pro:https://help.apple.com/configurator/mac/2.7.1/#/apd0020c3dc2Der lader til at være enkelte, der har problemer med fremgangsmåden, men jeg har ingen mulighed for at vurdere, hvor udbredt det er.

Det er meget muligt at data på target maskinen nu er “tabt”, men man har vel altid en backup. Hvis ikke, er man ikke værre stillet, end hvis en disk med roterende rust opgiver ævred. Vel?

Om “Sikker start” skriver Apple:https://support.apple.com/da-dk/HT208330Her har kunden tilsyneladende også fuld kontrol. Også til at parkere sig på øretævernes holdeplads.

Ellers har jeg ingen kommentarer.

...er rigtig god. Der findes en del ting som du ikke KAN udføre på en moderne bil uden noget helt mærkespecifikt software som IKKE bliver solgt til andre end autoriserede værksteder - jf. devisen "Hvis du ikke har autorisation og dermed de nødvendige kurser kan du ikke finde ud af at bruge værktøjet". Det eneste krav fra EU er at enhver som vil betale for kurserne og autoriseringen kan autoriseres - hvilket ikke er spor anderledes end i IT-branchen... elektrikerfaget eller vvs-faget.

Når det kan ske hos producenten kan det også ske hos den autoriserede reparatør, der i denne case tilsyneladende har noget software der kan validere nyt hardware - Jeg vil nødigt være Apple når det software bliver lækket og reverse-engineered; så kan forbrugerne stå med et potentielt mindre sikkert system.</p>
<p>Og lækket det bliver det - det er bare et spørgsmål om tid.

Når det så er sagt, er jeg enig i, at det i EU tilsyneladende er ulovligt at låse computeren ved reparation hos ikke-autoriseret reparatør, og Apple ville stå med et problem i retten, når de skulle forklare hvordan de ville tabe omsætning på det. P.t. må løsningen for den enkelte forbruger være ikke at købe Apple-produkter.

For nogle år siden havde jeg problemer med airbag i rattet, der fejlmeldte konstant.

At man i EU har krav på teknisk beskrivelser, og software og hardware til udskiftning.

Det betyder jo ikke, at der ved mere kompliceret fejl, ikkekan betale sig at finde et værksted som har mere erfaring, hvor personalet formodentlig har været på uddannelse /kursus i produktet, samt kender mere til fejl og mangler på deres produkt. Desuden vil man jo også nogle gange, se mere kulance fra et autoriseret værksted, hvis man har fået lavet alt service ved dem.

At du har været for "nærigt" og ikke ville have lavet din gamle bil, har vel i sidste ende ikke sparet dig for nogle penge. Du har vel, hvis du har handlet moralsk og etisk korrekt, oplyst køber om fejlen på din bil, og har derfor fået det mindre for din bil.

Ud over rust, er sådan fejl noget der typsik tager livet af gamle biler, Man bliver træt. Især hvis man ser på folkevogn hvor det meste begynder at gå i stykker efter 12-15 år.

så kan der være god grund til at opsøge en autoriseret Apple service-leverandør.

fordi jeg tror at grunden her er, at der er en masse kryptografiske sammenkoblinger mellem hardwaren for at sikre den mod hardware-level hacking, fuldstændig ligesom de har gjort på iPhone. Det er også derfor, at de har smidt hardware-niveau kryptering på hele harddisken.

I så tilfælde, burde Apple for længst have være ude og reklamere med denne sikkerhed, og gøre opærksom på at produktet af sikkerhedsmæssige grunde kun kan repareres af autoriserede reparatører.

Opsummeret går debatten på hvad formålet med implementationen er. Der er 2 bud; sikre hardwaren - eller sikre et cash-flow hos Apple's autoriserede reparatører. Jeg vil sådan set ikke gøre mig til dommer over, hvad hensigten er - der er kun en der ved det, og det er den designchef i Apple der har taget beslutningen. Debatten indeholder dog en række faktuelle fejl, disse kommenterer jeg på nedenfor.

Det udgør lidt et problem, for hvordan laver man et produkt, som kan tilfredsstille begge?</p>
<p>Svar: Det gør man ikke.

Det kan sagtens lade sig gøre at lave et produkt som kan repareres uden at det kompromitterer data direkte - Det er en konkret afvejning ifht. kompleksitet af designet og økonomien i produktionen - En simpel løsning kunne være, at hvis bundkortet detekterer ændret hardware, så bliver nøglen på TPM-chippen deaktiveret. Den eneste måde at genaktivere TPM-chippen er at bruge en specifik kode, der er printet på et ark papir der følger med computeren - Husk på, at selvom reparatøren kører noget software der validerer alle hardware komponenter, så er det ingen garanti for at systemet er sikkert. Lenovo havde et problem i 2014, hvor PCere blev produceret med malware installeret: https://www.makeuseof.com/tag/lenovo-pc-owners-beware-computer-preinstalled-malware/

Når det kan ske hos producenten kan det også ske hos den autoriserede reparatør, der i denne case tilsyneladende har noget software der kan validere nyt hardware - Jeg vil nødigt være Apple når det software bliver lækket og reverse-engineered; så kan forbrugerne stå med et potentielt mindre sikkert system.

Og lækket det bliver det - det er bare et spørgsmål om tid.

Fordi det handler jo netop om kryptering og være sikker på at hardware og software ikke kompromiteres. Men vinklen på artiklen bliver, at de udelukker de små forretninger - fordi det er meget sjovere at Apple-bashe end at skrive om virkeligheden

Som jeg beskrev ovenfor er løsningen kun sikker til værktøjet bliver lækket - derefter kan enhver hacker med lidt snilde kigge koden igennem for exploits, der potentielt kan kompromittere systemet, og sikkerheden er falsk. Med hardware adgang kunne jeg sagtens lodde en USB enhed på PC'ens HUB mens PC'en var inde til reparation. Her kunne jeg så ligge de mest kendte eksploits på - som angriber behøver jeg ikke bekymre mig om dekryptering af enheden - det klarer brugeren for mig når han får den tilbage.

Apple har lavet nogle tiltag, så de dele der bruges i sikkerhedssammenhænge (T2-chippen i MacBooks og Secure Enclave i iPhone/iPads) er kryptografisk signeret til andre komponenter og bundkortet, så jeg synes ikke at sætningen "... skal forhindre uafhængige tredjepartsreparationer af MacBook Pro" er korrekt. Det handler nok nærmere om, at man ikke bare skal kune smide en hacket fingeraftrykslæser på en Mac og så kunne låse den op den vej.

Som før - kommer der en ny fingeraftrykslæser skal den aktiveres af brugeren med den unikke aktiveringskode for hardware der følger med computeren. At sætte sin tillid til reparatøren synes jeg personligt ikke giver nogen sikkerhed.

Historien er, helt kort fortalt; de vil sikre sig systemets integritet - en bieffekt af det er at ikke-autoriserede ikke kan pille ved hardwaren. Det giver mening for dine krypteringsnøgler, hvorfor skal det ikke give mening for din computer ?</p>
<p>Læs Casper Pedersens kommentar. Den indeholder al den visdom der ellers så grusomt mangler i denne artikel.

Egentligt er der ikke så meget visdom i det - Der er mange andre væsentlige komponenter som principielt er langt mere interessante for en hacker end eksempelvis en skærm - USB HUBen eller netkortet eksempelvis.

Når jeg først har købt noget,

Han kunne heller ikke tage at man så porno på HANS "rene" og pæne enheder. At han så udelukket mindst halvdelen af køberne er noget helt andet.

Men du har ret i spørgsmålet om digitale indhold og dine egne data. Som der ikke er kommet styr på endnu, med hensyn til forbruger beskyttelse.

Hvis steam går konkurs, hvad så med de spil man har købt der ?

Hvis du har købt en digital kopi og retten til at se en film, også den "lokale" afdeling som har solgt den, og har DMA beskyttelsen går konkurs. Kan man man kræve at få den ved de oprindeligt rettighedshaver, eller må man så frit bruge en "piratkopi" ?

Hvis WOW stopper, fordi der engang måske ikke er spiller nok, til at det er rentable, og man ger ser spillerne flytte til en anden platform. Hvad så med alle de ting som der er købt og tjent i spillet. ?

Selv om man har købt en fysisk udgave af spillet, så vil et spil som battlefield kun være noget ved(værd), hvis man kan bruge online delen. Hvordan er det med rettigheder og adgang til game servers. Især hvis spillet bliver lidt gamle ?

Ja ja, Apple gør hvad de kan for at jeg ikke skal blive deres kunde. De kunne ellers godt have stoppet for længst, for det er mange år siden jeg så meget som overvejede et apple-produkt. Jeg tror egentlig at det var den dér med censur i deres boghandel-app, og dét at folk kunne miste bøger de allerede havde købt og var begyndt at læse, der slog hovedet på sømmet. Når jeg først har købt noget, så skal sælgeren ikke fortsat bestemme hvordan jeg må bruge dette noget. Eller hvor jeg må få foretaget vedligeholdelsen. Apple gør begge dele.

Det handler nok nærmere om, at man ikke bare skal kune smide en hacket fingeraftrykslæser på en Mac og så kunne låse den op den vej.

Tror stadig det er mest for at man - ikke bare smider en billigt 3 parts fingeraftrykslæser på en Mac og så kunne spare en masse penge på det.

Apple har jo langt historik, for at prøve på at forhindre andre end dem selv, i at lave noget på en Apple. Steve Jobs mente jo hans produkter var perfekte, og der ikke skulle røres ved dem. Samme tankegang, var vel også det som lå bag firewire, og som har lagt det i graven. Proprietær tilgange er svær. hvis man har monopol kan det være ulovligt, hvis man ikke har monopol dør det tit.

Så tror jeg vil give de fleste kommentator her ret. Det tiltag er ikke for at beskytte brugeren, det er for at beskytte Apples indtjening.

Man kan jo også bare købe et andet mærke.... der er masser af fine bærbare med gode skærme, tynde design osv. De har kæmpet med det samme i USA, når det kommer til f.eks traktore:https://www.youtube.com/watch?v=F8JCh0owT4w

Apple har lavet nogle tiltag, så de dele der bruges i sikkerhedssammenhænge (T2-chippen i MacBooks og Secure Enclave i iPhone/iPads) er kryptografisk signeret til andre komponenter og bundkortet, så jeg synes ikke at sætningen "... skal forhindre uafhængige tredjepartsreparationer af MacBook Pro" er korrekt. Det handler nok nærmere om, at man ikke bare skal kune smide en hacket fingeraftrykslæser på en Mac og så kunne låse den op den vej.

Fordi det handler jo netop om kryptering og være sikker på at hardware og software ikke kompromiteres. Men vinklen på artiklen bliver, at de udelukker de små forretninger - fordi det er meget sjovere at Apple-bashe end at skrive om virkeligheden. Når der ikke rigtig er en historie, kan vi jo bare skabe en.

Historien er, helt kort fortalt; de vil sikre sig systemets integritet - en bieffekt af det er at ikke-autoriserede ikke kan pille ved hardwaren. Det giver mening for dine krypteringsnøgler, hvorfor skal det ikke give mening for din computer ?

Læs Casper Pedersens kommentar. Den indeholder al den visdom der ellers så grusomt mangler i denne artikel.

Hvis kryptering og hardware-låsning er involveret - og det er hele formålet med T2 chip’en - da vil det være et eklatant brud på enhver sikkerhed, hvis enhver handels- og omkringrejsende loddekolbesvinger med adgang til millivoltmeter (!) kan læse krypterede data og overføre dem til en ny maskine, hvorefter data igen er krypterede og låst til den nye hardware.

Det vil “lissom” vække udelt glæde i alle tre- eller flerbogstavsetablissementer med higen efter data af enhver art om enhver på ethvert tidspunkt.

Apples T2 omgivelse svarer meget godt til de forhold, der skal tages hensyn til, hvis man benytter Windows 10 Pro m.fl. Bitlocker på maskineri udstyret med TPM 2.0 chip.

Hvis maskinen “dør”, men SSD’en (typisk) stadig lever, kan chip-indholdet ikke længere “dekrypteres”, når SSD’en placeres i ny hardware (MEDMINDRE man råder over bitlocker-genoprettelsesnøglen).

På de nye computere med aktiv T2 kryptering tillader værktøjet (gætter jeg) en “flytning” af krypteret indhold (!), så dette indhold efter flytningen igen er tilgængeligt i krypteret form for brugeren på den nye hardware (kræver ‘en eller anden form for “genoprettelsesproces”). Det ville nok være mere end almindeligt “upraktisk”, hvis enhver tekniker blot kunne “(af)bryde” krypteringen efter behag, så han/hun i ro og mag kan kopiere og derefter genkryptere indholdet på nyt maskineri.

Jeg har ikke haft mulighed for at kigge på detaljerne i Apples metode, der også involverer hardware (ikke kun software), men processen KUNNE foregå via “blackbox-udstyr”, så de egentlige data ikke er tilgængelige i læsbar form uden for “transportudstyret”. Og uden at teknikerne kan læse indholdet. Apple har så åbenbart - også - noget software, der skal sikre fortsat gyldighed af det krypterede indhold efter operationen.

I bitlocker omgivelser skal du enten udlevere genoprettelsesnøglen til teknikeren (der nu har fuld og frit læsbar adgang til alt indhold), eller du må selv finde en fremgangsmåde, der muliggør genskabelse af dataadgang i nye kørselsomgivelser.

Jeg benytter en virtuel disk med “image” backup, der er bitlocker krypteret og låst til en maskine. Den kan åbnes på en anden maskine og dekrypteres med genoprettelsesnøglen, hvorefter det er muligt at oprette et nyt system, der så igen krypteres og låses til en fysisk maskines hardware. Meget omstændeligt og uhyre tidskrævende ved større datamængder (det sidste er også tilfældet ved Apple’s fremgangsmåde, der i særligt omfangsrige tilfælde kan kræve dage, så vidt jeg er informeret).

Den proces vil jeg - og sikkert også de fleste firmaer - ikke have, at enhver “hobbysnedker” skal kunne udføre (dvs. dekryptere indholdet).

Jeg går ud fra at autoriserede teknikere både får træning i omgang med udstyret og Apple’s hard- og software, samt underskriver en “håndfæstning” der skal mindske teknikerens lyst til at plapre vidt og bredt om kundeforhold.

Det er muligt, at Apple ikke er den store modstander af restriktionerne, men taler vi om krypteret indhold, der er låst til fysisk hardware - formålet med både T2 og for eksempel TPM 2.0) - da bliver det svært at garantere de krypterede datas fortrolighed på anden vis. Hvis reparation og datagenbrug bagefter skal være mulig for almindeligt dødelige, der typisk heller ikke efter første datatab får snoldet sig sammen til at lave backup (og da slet ikke en krypteret backup med hardware-lås).

I mine øjne er der næppe nogen anden - fornuftig og betalbar - løsning, der kan bevare både data og fortrolighed.

Hvis du har bedre indsigt - og ikke bare tro - omkring HELE materien lytter jeg gerne.

at udøve forskelsbehandling mellem deres autoriserede reparatører og uafhængige
reparatører med hensyn til adgangen til de nødvendige inputs, som er helt under
bilproducentens kontrol, og som ikke kan fås fra andre kilder

Og der er lige meget hvad du har skrevet under på, eller "acepteret" i købsaftalen.

Formoder, hvis nogle anlægger en sag, eller EU selv reagere at det vil komme et direktiv for hele markedet eller lignende.

Ligesom med biler, hvor bilproducent SKAL give 3part adgang til at kunne reparere og servicer bilen. Et forsøg på at sætte sig på service og reparationer ses som en konkurrenceforvridende situation. Det koster normalt MEGET dyrt i bøder, at lave noget sådan.

Når vi taler biler så må garantien heller ikke bortfalde hvis en 3part har lavet reparationer/service efter fabrikkens foreskrifter.

Noget tilsvarende kan sikkert komme til at gælde for Apple

Formoder at værktøj også dækker diagnoserings "værktøj" som skal sørge for at den ikke går i sort.

Uddrag- " uafhængige reparatører generelt har svært ved at skaffe monopolreservedele fra de autoriserede distributører af disse reservedele, kan det være i strid med EU's konkurrenceregler, hvis motorkøretøjsleverandøren nægter at levere dem direkte til uafhængige reparatører"

og

"Med hensyn til uafhængige reparatørers adgang til teknisk information og værktøj tager de supplerende retningslinjer sigte på at forhindre motorkøretøjsproducenterne i at udøve forskelsbehandling mellem deres autoriserede reparatører og uafhængige reparatører med hensyn til adgangen til de nødvendige inputs, som er helt under bilproducentens kontrol, og som ikke kan fås fra andre kilder.24 Formålet er altså at sikre, at uafhængige reparatører kan få adgang til mærkespecifikt værktøj på samme vilkår som reparatørerne i det autoriserede net. "

http://ec.europa.eu/competition/sectors/motor_vehicles/legislation/mv_faq_da.pdf

Hvis det klart fremgår af købskontrakten

Nix. En kontrakt som ikke overholder gældende lovgivning er ugyldig. Den holder m.a.o. Ikke i retten.

• En evig kilde til overraskelse og lommesmerter for et særligt uheldigt segment af arbejdsgivere og udlejere.

Godt spørgsmål, jeg har en mistanke om at EU sikkert på et eller andet tidspunkt vil kigge på det, da det er konkurrence forvridende (på et eller andet niveau).

På den anden side, så er ikke så mange ting man kan skifte på en MacBook Pro som er produceret efter 2016 (inkl), alting er lodet sammen, man kan vel skifte batteried, skærmen, og tastaturet som indgå i den øverste del af boksen.

På den anden side er T2 på et eller andet niveau også lidt beskyttende, man kan ikke bare lodde SSD'en ud af dyret og læse udeholdet hvis man har kryptering ... så uden password er der ikke nogen chance for at komme til data uden hjælp fra Apple.

Men stadig... det er en lidt lortet holdning overfor forbrugerne.

Hvis det klart fremgår af købskontrakten, så er det vel ikke et problem - Der er ingen, der er tvunget til at købe produktet.

I de fleste industrier, nej. Men hardware branchen har, af en eller anden grund, fået lov til at slippe afsted med det. I hvert fald ind til videre. Jeg synes det er en rigtig skidt udvikling, men det er lidt mere kompliceret...

Som forbruger vil jeg sige, at det er en opvejning, fordi jeg tror at grunden her er, at der er en masse kryptografiske sammenkoblinger mellem hardwaren for at sikre den mod hardware-level hacking, fuldstændig ligesom de har gjort på iPhone. Det er også derfor, at de har smidt hardware-niveau kryptering på hele harddisken.

I teorien kunne man vel få T2 chippen til at advare, men hvordan? Hvis der er hardware modifikationer kan disse jo i så fald omgås. Hele idéen er, at alt er koblet til T2 chippen, og hvis du forsøger at udskifte eller hacke T2 chippen, så mister du dine login informationer.

Jeg tror dog, at for den almene forbruger gør det mere ondt end godt. Det er en fed mulighed for enterprise og andre institutioner med vigtig og følsom data, men den almene forbruger vil nok gerne have mulighed for at reparere deres hardware. Det udgør lidt et problem, for hvordan laver man et produkt, som kan tilfredsstille begge?

Svar: Det gør man ikke.

Det bliver spændende at se, om det samme sker med deres ikke Pro line-up. Hvis det gør, så går jeg 100% ind for at smække Apple en på næsen.

Er det lovligt med vilje at lave ting sådan at de ikke kan repareres af andre end én selv? Én ting er sikkerhedsudstyr ol., men her snakker vi om at skifte keyboard i en laptop.

Lovligt eller ej, finder jeg det forkasteligt at Apple vil bestemme over et produkt man har købt og betalt.