Tohle bude trochu složitější: na začátku je Jonathan Zdiarski a odhalení podezřelých nezdokumentovaných služeb běžících v mobilním systému iOS (Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices - PDF). Cestou se přidala média se svou touhou po senzaci a svůj díl na výsledku mají i některé klasické komunikační chyby Applu. Tedy hlavně ta, že nejdřív vše vehementně odmítá a později (některé) popsané aplikace dodatečně popíše ve vývojářské dokumentaci.
Bohužel jsme došli tak daleko, že nemůžeme věřit nikomu a ničemu. Fantastická odhalení Edwarda Snowdena v drtivé většině sice jenom popisují to, co rozhodně NSA dělat musí, ale pro technicky nevzdělaná média a novináře jsou vděčným krmivem.
Včetně toho, že se Snowden postupně mění v propagátora určitých služeb a pohřebáka jiných (viz například jeho nedávno zatracení Dropboxu a bezdůvodné vyzdvižení jiné služby do nebes). A podobně tomu je i u výše zmíněného objevení zadních vrátek a potenciálně zneužitelných aplikací v iOSu.
Na jedné straně pak najdete extrémně ironický a odmítavý článek o tom, že se žádné backdoory v iOSu nekanají (The Apple backdoor that wasn't). Na druhé straně ale také text Apple has installed security backdoors on 600m iPhones and iPads, claims security researcher, který si vůbec neláme hlavu s tím, že nejenom tvrdí něco, co není pravda, ale co Zdiarski ani nenapsal, neřekl a netvrdí. Byť na jeho hlavu může snadno padnout to, že se přeci jen snaží tlačit na pilu trochu víc, než je zdrávo. A taky to, že bohužel špatně nese, když jeho objevy někdo zpochybňuje.
Je to příliš jednoduché? Pak to tak jednoduché nebude
Připusťme, že by iOS obsahoval zadní vrátka, která by Apple implementoval, protože by si to přáli v NSA. Je dost absurdní, že by tato zadní vrátka byla objevitelná tak snadno, jako ta, která popisuje Zdiarski. A hlavně, že by se jednalo o poměrně klasické pomůcky pro ladění či vývoj. Je samozřejmě možné, že by to firma provedla buď zoufale amatérsky, nebo naopak záměrně nápadně, aby něco takového někdo jednoho dne objevil. Ale to už se opravdu pohybujeme v rovině zábavných konspirací (které ale na druhou stranu lidé i média milují).
Zdiarski vcelku realisticky upozorňuje, že v okamžiku, kdy zapnete a odemknete telefon, dojde ke zpřístupnění dat, které byly do té doby uloženy šifrovaně. A říká také podstatnou věc: pokud máte telefon jenom uzamčený, neznamená to, že jsou v něm data v bezpečí.
A pak pokračuje v popisování potenciálně zneužitelných služeb, které jsou součástí iOSu a které by NSAměla aktivně využívat pro získání přístupu ke kontaktů, obsahu SMS, poznámkám i lokačním informacím. Co je ale podstatné, Zdiarski dodává, že to NSA dělá „infiltrací počítače, který osoba používá pro synchronizaci telefonu“. Což je poměrně klíčová podmínka, kterou samozřejmě senzacechtivá média později raději ignorují.
Jedním ze zásadních „objevů“ je existence com.apple.pcapd, což není nic jiného, než klasické odchytávání paketů (packet sniffer), které je možné aktivovat „na dálku“ a „bez aktivace vývojářského režimu“. Osobně si nejsem jist, jestli něčemu takovému dokážu připsat tak vysoký význam, protože v předmětných případech je NSA schopna odchytávat komunikaci z mobilu velmi pravděpodobně stejně efektivně „někde“ jinde. A pokud infiltrovali váš počítač, tak toho nakonec mohou ještě více.
Podobné je to s nálezem velkého množství dat přístupných prostřednictvím apple.mobile.file_relay, kde se bez bližších informací těžko rozhoduje o tom, jak vážný problém tato služba je. A nakolik dává smysl zmiňovaná data důsledně šifrovat a znemožňovat jejich získání. Byť je velmi zajímavé si pročíst vše, co vlastně o nás (nejenom) iOS ví – málo z toho si vůbec uvědomujeme.
Závěr?
Zdiarski na závěr doporučuje podstatně vyšší rozsah šifrování, včetně použití asymetrické kryptografie. Dodatečnou úroveň zabezpečení pro data ukládána do paměti, přidání bootovacího hesla a hlavně ošetření párovacího mechanismu, který je podle něj možné obejít. Doporučení rozhodně zajímavá, ale jako vždy s otázkou, zda se něco podobného vyplatí z hlediska věcí s tím souvisejících.
Jedno zásadní poučený, závěr, by tu přeci jen byl. Více a více platí, že nelze věřit ničemu a nikomu.
