Udvikler om opdatering af låste iPhones: »Det var jeg bestemt ikke klar over«

Det kommer bag på dansk udvikler, at Apple kan opdatere telefoner, selvom de er låst, og ad den vej omgå de indbyggede sikkerhedsmekanismer.

Sagen om FBI, der vil have Apple til at installere ny software på en iPhone, så det er muligt at omgå telefonens sikkerhedsmekanismer, bliver som bekendt diskuteret frem og tilbage.

Når der overhovedet er en diskussion hænger det sammen med, at Apple åbenbart er i stand til at opdatere låste iPhones med ny firmware, som gør det nemmere at komme til krypteret indhold. Og den mulighed vil FBI gerne benytte sig af for at komme til en iPhone tilhørende en af gerningsmændene bag et skyderi i San Bernardino, der kostede 14 mennesker livet.

Apples mulighed for at opdatere låste iPhones på den måde er tilsyneladende ikke noget, virksomheden ligefrem har skiltet med. I hvert fald er det en nyhed for solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard, der gennem flere år beskæftiget sig med udvikling af software til Apples iOS-platform.

»Det var jeg bestemt ikke klar over, at man kunne. Omvendt vil jeg sige, at det jo er sådan med enheder, der kører closed source, at man altid skal tage sikkerheden med et gran salt. Når man ikke ved, hvordan det er lavet i maven, så er det umuligt at forudsige, om der er styr på det,« siger han og tilføjer:

»Det er jo altid en præmis, når man kører noget, der er closed source. Man ved jo ikke, hvordan det virker.«

Sikkerhedsproblem, hvis man kan ændre på låst telefon

Version2-blogger og blogger på ing.dk Poul-Henning Kamp har i forbindelse med FBI/Apple-sagen beskrevet det som en bagdør, at Apple overhovedet er i stand til at opdatere firmwaren på en låst mobiltelefon.

Og det synspunkt deler Esben Bjerregaard.

»Som næsten altid med Poul-Henning, så har han jo fuldstændig ret. Det er grundlæggende et problem omkring datasikkerhed, hvis en leverandør er i stand til at ændre på en låst telefon,« siger han og tilføjer:

»Problemet er jo, at det tyder på, Apple kan lave en update, så man kan komme uden om krypteringen. Og det burde man jo i udgangspunktet ikke kunne.«

I udgangspunktet bliver indholdet på telefonen slettet, når en forkert pinkode bliver indtastet for mange gange. Men opdateringen, FBI beder om, skal gøre det muligt at prøve uendeligt mange gange, hvilket selvsagt også vil gøre det uendeligt meget lettere at tilgå telefonens krypterede indhold.

Hvis Apple derimod ikke havde haft mulighed for at opdatere firmwaren på de låste enheder, og dermed gøre det muligt at tilgå det krypterede indhold, så havde sagen været en anden.

Esben Bjerregaard nævner som muligt, at eksempelvis tælleren, der holder øje med antallet af forkert indtastede pinkoder, kunne have ligget på et lavere niveau i telefonen, som ikke ville blive berørt af en opdatering, skubbet ud af Apple.

»Så havde det været ret simpelt, så havde Apple kunne sige til FBI: Vi kan ikke hjælpe jer med det her. Det er selvfølgeligt utroligt uheldigt, at I ikke kan komme ind til det her, men vi har ikke nogen værktøjer, der gør det muligt at tilgå data.«

Apple har netop bebudet, at virksomheden arbejder på ændringer i blandt andet iOS, så muligheden for at pushe sikkerhedsmæssigt svage udgaver af styresystemet ud til virksomhedens enheder, selvom de er låste, skulle forsvinde.

Politisk løftestang

Poul-Henning Kamp har i et blogindlæg peget på, at hvis Apple sætter hårdt mod hårdt, så vil det ende med, at der kommer lovmæssige begrænsninger på brugen af stærk kryptering. Og det er Esben Bjerregaard helt enig i.

»Hvis FBI ikke får lov til det her, så kan det jo bruges som politisk løftestang til at få taget et opgør med retten til kryptering i det hele taget,« siger han.

I den konkrete sag fra San Bernardino er der tale om en iPhone 5C, som er af en lidt ældre model. Siden er der kommet nye telefoner med nye sikkerhedstiltag. Esben Bjerregaard mener dog ikke, der er nogen indikationer på, at det ikke skulle være muligt for Apple også at opdatere de nye telefoner, så sikkerheden bliver svækket, selvom de er låste.

»Det tror jeg bestemt godt de kan. Jeg kan ikke forestille mig, at det er noget, der er unikt for de ældre enheder,« siger han med det forbehold, at koden er closed source, og at det derfor ikke er muligt at sige med sikkerhed for udenforstående, hvordan den er skruet sammen.

Android

Men hvad med Android? Esben Bjerregaard har forhørt sig hos nogle af iDeal Developments Android-udviklere, og de tvivler umiddelbart på, at det på samme måde ville være muligt for Google af flashe låste Android-enheder, så krypterede data på dem ville blive tilgængelige for ordensmagten.

I en opfølgende mail skriver Esben Bjerregaard efter at have talt med udviklerne:

»Umiddelbart er de særdeles skeptiske overfor om det skulle kunne lade sig gøre. Ikke så meget fordi, Google er bedre end Apple, men simpelthen fordi næsten alle devices kører en eller anden afart af Android, med Drivers specielt til netop dette device. I praksis ville det derfor nok kræve at en Producent (Samsung, LG eller HTC f.eks) gik sammen med Google om at lave noget tilsvarende,« står der i mailen som fortsætter:

»Omvendt kunne en producent principielt set vælge at gemme en del data i et område uden for Googles sikkerhedsmodel, og dermed give adgang til disse data i en f.eks svagere krypteret udgave. Dette er ren spekulation, men en reel mulighed så længe der er tale om closed source.«

I udgangspunktet bygger Android på et open source-projekt, som kan inspiceres for eksempelvis bagdøre, der skulle gøre det muligt at opdatere låste telefoner. Men de enkelte producenters enheder, kører der proprietære drivere og en tilpasset udgave af styresystemet. Og derfor mener Esben Bjerregaard heller ikke, det med open source i forhold til Android skal tillægges for stor en værdi i praksis:

»Jeg ville tage open source delen med et gran salt - man ved reelt set ikke ret meget om det kode, der kører på telefonerne efter producenterne (særligt de rigtig store) har rodet rundt med det,« skriver han i en mail.

Følg forløbet

Kommentarer (14)

Johnnie Hougaard Nielsen

Når nu Apple udviklere ikke ved det?

Hvad mener du?

Det at en eller anden, som udvikler til iOS platformen, ikke vidste alt om hvad udviklerne hos Apple er i stand til, har da ikke noget at gøre med FBI.

Selvfølgelig har de rette hos Apple da været fuldt ud klar over hvordan de kan håndtere en låst telefon, og jeg har da set en række andre skribenter gøre rede for hvordan det måtte kunne lade sig gøre. FBI har da også folk der kan tænke tanker omkring teknik. Det blev jo så ekstra tydeligt når Apple samtidig trampede ud i miseren med error 53, så de ligefrem måtte udbasunere "ja, vi kan fixe en låst iPhone".

Finn Thøgersen

Som jeg forstår det kræver de nyere telefoner (5S, 6 og 6S) med TouchID og Secure Enclave reelt kun en mindre ændring:

Opdatering af software i Secure Enclave kan tilsyneladende bages ind i et iOS binary og lægges ind som første step den iOS sw laver ved opstart. Hokus pokus og der er frit spil for at gætte pinkoder.

Det giver muligvis en lidt anden situation ift at bruge data i en retssag, da men har ændret på telefonen (sw i SE), hvorimod den model FBI foreslår til 5C'eren kan køres fra en RAM disk og dermed ikke nødvendigvis ændrer noget.

Fidusen med at lægge en SE opdatering ind i et iOS binary er tilsyneladende allerede benyttet, da en tidligere version af SE softwaren åbenbart reagerede mærkeligt hvis telefonen blev slukket efter et eller flere forkerte pinkode gæt.

Morten Faurholt

En tilfældig udvikler kender ikke alle detaljer og muligheder i Apple's mekanisme til opdatering af firmware. Bemeldte udvikler kunne med fordel undersøge DFU mode.

Johnnie Hougaard Nielsen

The Daily Beast: Apple Unlocked iPhones for the Feds 70 Times Before

Med det rutinemæssige samarbejde mellem FBI og Apple om oplåsning af iPhone, har det selvfølgelig været helt tydeligt for FBI at Apple kunne "bryde ind", og rimelighedsvis også en vis indsigt i vilkår derfor.

Det var jo først da Apple synes at det belastede deres image for meget (efter Snowden) at de begyndte at frygte for deres brandværdi. Så det har nok været lidt af en overraskelse for FBI at det ikke længere var en stille rutinesag.

Jan Lunddal Larsen

Apple har ikke låst telefoner op, de har udleveret iCloud backups, hvilket de også har gjort i den pågældende sag.

The Daily Beast har misforstået noget.

Jeg tvivler på at FBI overhovedet er interesseret i denne specifikke iPhone. De ved godt, at chancen for at der er noget relevant på den er minimal.

Til gengæld udnytter de terror-frygten til at få lavet præcedens for en bagdør.

Johnnie Hougaard Nielsen

Apple har ikke låst telefoner op, de har udleveret iCloud backups, hvilket de også har gjort i den pågældende sag.

Den påstand er i modstrid med hvad Apple selv skriver.

For iOS devices running iOS versions earlier than iOS 8.0, upon receipt of a valid search warrant issued upon a showing of probable cause, Apple can extract certain categories of active data from passcode locked iOS devices. Specifically, the user generated active files on an iOS device that are ...

Der kan da godt ordkløves lidt om forskellen mellem at låse op, og at gå udenom låsen for at trække data ud. Men det gør nu ikke The Daily Beast historien substantielt forkert.

Jakob Damkjær

http://money.cnn.com/2016/02/25/technology/android-apple-police-encrypti...

"Google spokesman said that encryption is now required for all "high-performing devices" -- like the Galaxy S7 -- running the latest version of Android, Marshmallow. But only 1.2% of Android phones even have that version, according to Google."

"New York City's top prosecutor, Cyrus Vance, has noted that Android phones have been easier to crack in the past, especially because Google can reset passcodes on older models."

"If it's an Android phone, the FBI can approach each manufacturer -- Huawei, Lenovo (LNVGF), LG, Samsung (SSNLF) -- and demand the company key to alter the code that first boots up the phone."

Soooo much better...

Allan Jensen

Problemet er ikke en låst telefon. En låst telefon som stadig er tændt og logget på er triviel at bryde. Problemet er en slukket telefon.

Hvis FBI bare sørger for at give telefonerne strøm, så kan vil diskkrypteringen aldrig blive fuldt låst, det sker nemlig kun når telefonen er sluttet.

Mikkel Kruse Johnsen

Kan de ikke bare bryde backuppen. Vil det ikke være mere enkelt at få en dommerkendelse og få udlevere backuppen af telefonen. Den kan man vel prøve at bryde lige så mange gange man vil.

Eller hvordan er den krypteret !!

(De kan selvfølgelig have slået backup fra)

Kjeld Flarup Christensen

Kan de ikke bare bryde backuppen. Vil det ikke være mere enkelt at få en dommerkendelse og få udlevere backuppen af telefonen. Den kan man vel prøve at bryde lige så mange gange man vil.


Har man en backup og et apple ID behøver man end ikke telefonen, så er man inde med det samme.

Som jeg har forstået det, så er det de sidste dage efter seneste backup som FBI vil have fat .

Dog burde de blot kunne tænde telefonen og lade den ligge til den tager en ny backup.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen