Apple sagt, dass Forscher seine Kindersicherheitsfunktionen überprüfen können. Aber es verklagt ein Startup, das genau das tut.

iphone sicherheitsleck

Frau Tech





Als Apple das ankündigte neue Technologie das wird Überprüfen Sie seinen US-iCloud-Dienst auf bekanntes Material über sexuellen Missbrauch von Kindern , Es wurde heftig kritisiert, weil das Feature befürchtet wurde könnten für eine umfassende staatliche Überwachung missbraucht werden . Angesichts des öffentlichen Widerstands bestand Apple darauf, dass seine Technologie zur Rechenschaft gezogen werden kann.

Sicherheitsforscher sind ständig in der Lage, selbst zu prüfen, was in Apples [Telefon]-Software passiert, sagte Apple-Vizepräsident Craig Federighi in einem Interview mit dem Wall Street Journal. Wenn also Änderungen vorgenommen wurden, die den Anwendungsbereich in irgendeiner Weise erweitern würden – auf eine Weise, zu der wir uns verpflichtet hatten, dies nicht zu tun –, gibt es eine Überprüfbarkeit, sie können erkennen, dass dies geschieht.

Apple verklagt ein Unternehmen, das Software herstellt, um Sicherheitsforscher genau das tun zu lassen.



Apple verteidigt seine neue Anti-Kindesmissbrauchs-Technologie gegen Datenschutzbedenken

Apples radikal neue Anti-Missbrauchs-Technologie hat sowohl Kritik als auch Lob hervorgerufen, indem sie direkt auf iPhones gescannt wurde.

Im Jahr 2019 reichte Apple eine Klage gegen Corellium ein, die es Sicherheitsforschern ermöglicht, mobile Geräte kostengünstig und einfach zu testen, indem sie ihre Software emulieren, anstatt von ihnen den Zugriff auf die physischen Geräte zu verlangen. Die Software, die auch Android-Geräte emuliert, kann verwendet werden, um diese Probleme zu beheben.

In der Klage, Apple argumentiert dass Corellium seine Urheberrechte verletzt, den Verkauf von Software-Exploits ermöglicht, die zum Hacken verwendet werden, und nicht existieren sollte. Das Startup konterte damit, dass es sich bei der Verwendung von Apples Code um einen klassischen geschützten Fall von Fair Use handele. Der Richter hat sich bisher weitgehend auf die Seite von Corellium gestellt. Ein Teil des zweijährigen Falls war erst letzte Woche beigelegt – Tage, nachdem Neuigkeiten über die CSAM-Technologie des Unternehmens bekannt wurden.



Am Montag, Corellium angekündigt ein Zuschuss von 15.000 US-Dollar für ein Programm, das speziell beworben wird, um iPhones unter die Lupe zu nehmen und Apple zur Rechenschaft zu ziehen. Am Dienstag reichte Apple eine Klage ein appellieren Fortführung des Rechtsstreits.

In einem Interview mit MIT Technology Review sagte Matt Tait, Chief Operating Officer von Corellium, dass Federighis Kommentare nicht der Realität entsprechen.

Das ist eine sehr billige Sache für Apple, sagt er. In dieser Aussage passiert eine Menge schweres Heben.



iOS ist so konzipiert, dass es für Benutzer tatsächlich sehr schwierig ist, Systemdienste zu inspizieren.

'iOS ist so konzipiert, dass es für Leute eigentlich sehr schwierig ist, Systemdienste zu inspizieren.'

Matt Tait, Corellium

Er ist nicht der einzige, der Apples Position bestreitet.



Apple übertreibe die Fähigkeit eines Forschers, das System als Ganzes zu untersuchen, sagt David Thiel, Chief Technology Officer bei Stanfords Internet Observatory. Thiel, der Autor eines Buches namens iOS-Anwendungssicherheit , getwittert dass das Unternehmen viel Geld ausgibt, um dasselbe zu verhindern, von dem es behauptet, es sei möglich.

Es erfordert ein verschlungenes System aus hochwertigen Exploits, Binärdateien aus zweifelhaften Quellen und veralteten Geräten, schrieb er. Apple hat enorme Summen ausgegeben, um dies zu verhindern und solche Forschungen zu erschweren.

Überwachungsverantwortung

Wenn Sie genau sehen möchten, wie Apples komplexe neue Technologie funktioniert, können Sie nicht einfach in das Betriebssystem des iPhones schauen, das Sie gerade im Geschäft gekauft haben. Der Walled-Garden-Ansatz des Unternehmens zur Sicherheit hat geholfen einige grundlegende Probleme lösen , aber es bedeutet auch, dass das Telefon darauf ausgelegt ist, Besucher fernzuhalten – ob sie erwünscht sind oder nicht.

(Android-Telefone sind dagegen grundlegend anders. Während iPhones bekanntermaßen gesperrt sind, müssen Sie zum Entsperren eines Android-Geräts lediglich ein USB-Gerät anschließen, Entwicklertools installieren und Root-Zugriff auf oberster Ebene erhalten.)

Apples Ansatz bedeutet, dass Forscher in einen nie endenden Kampf mit dem Unternehmen verwickelt sind, um zu versuchen, das Maß an Erkenntnissen zu gewinnen, das sie benötigen.

Es gibt jedoch einige Möglichkeiten, wie Apple und Sicherheitsforscher überprüfen könnten, ob keine Regierung die neuen Kindersicherheitsfunktionen des Unternehmens als Waffe nutzt.

Apple könnte den Code zur Überprüfung übergeben – obwohl es nicht gesagt hat, dass es dies tun wird. Forscher können auch versuchen, die Funktion statisch zurückzuentwickeln – das heißt, ohne die eigentlichen Programme in einer Live-Umgebung auszuführen.

Realistischerweise erlaubt Ihnen jedoch keine dieser Methoden, sich den Code anzusehen, der live auf einem aktuellen iPhone ausgeführt wird, um zu sehen, wie er tatsächlich in freier Wildbahn funktioniert. Stattdessen verlassen sie sich immer noch darauf, dass Apple nicht nur offen und ehrlich ist, sondern auch, dass es den Code ohne nennenswerte Fehler oder Versehen geschrieben hat.

Eine andere Möglichkeit wäre, Mitgliedern des Security Research Device Program von Apple Zugriff auf das System zu gewähren, um die Aussagen des Unternehmens zu verifizieren. Aber diese Gruppe, so argumentiert Thiel, besteht aus Forschern von außerhalb von Apple und ist an so viele Regeln gebunden, was sie sagen oder tun dürfen, dass das Vertrauensproblem nicht unbedingt gelöst wird.

'Apple hat viel Geld ausgegeben, um zu verhindern, dass Menschen Handys jailbreaken können.'

David Thiel, Stanford Internet Observatory

Das lässt wirklich nur zwei Möglichkeiten. Erstens können Hacker alte iPhones mithilfe einer Zero-Day-Schwachstelle jailbreaken. Das ist schwierig und teuer und kann mit einem Sicherheitspatch abgeschaltet werden.

Apple hat viel Geld ausgegeben, um zu verhindern, dass Menschen Handys jailbreaken können, erklärt Thiel. Sie haben speziell Leute aus der Jailbreaking-Community eingestellt, um das Jailbreaking zu erschweren.

Hacker finden Wege, sich in Apples ummauertem Garten zu verstecken

Der gesperrte Sicherheitsansatz des iPhones verbreitet sich, aber fortgeschrittene Hacker haben herausgefunden, dass höhere Barrieren großartig sind, um eine Erfassung zu vermeiden.

Oder ein Forscher kann ein virtuelles iPhone verwenden, das Apples Sicherheitsfunktionen ausschalten kann. In der Praxis bedeutet das Corellium.

Es gibt auch Grenzen für das, was Sicherheitsforscher beobachten können, aber wenn Apple Dinge scannt, die über Fotos hinausgehen, die an iCloud weitergegeben werden, kann ein Forscher dies möglicherweise erkennen.

Wenn jedoch etwas anderes als Material über Kindesmissbrauch in die Datenbanken gelangt, wäre dies für die Forscher unsichtbar. Um diese Frage zu beantworten, sagt Apple, dass es verlangen wird, dass zwei separate Kinderschutzorganisationen in unterschiedlichen Gerichtsbarkeiten das gleiche Missbrauchsbild in ihren eigenen Datenbanken haben. Aber es bot nur wenige Details darüber, wie das funktionieren würde, wer die Datenbanken betreiben würde, welche Gerichtsbarkeiten beteiligt wären und was die endgültigen Quellen der Datenbank sein würden.

Echte Schwierigkeiten

Thiel weist darauf hin, dass das Problem, das Apple zu lösen versucht, real ist.

Es ist kein theoretisches Anliegen, sagt er über Material zum sexuellen Missbrauch von Kindern. Es ist nicht etwas, das die Leute nur als Entschuldigung für die Implementierung von Überwachung anführen. Es ist ein tatsächliches Problem, das weit verbreitet ist und angegangen werden muss. Die Lösung besteht nicht darin, diese Art von Mechanismen loszuwerden. Es macht sie so undurchlässig wie möglich für zukünftigen Missbrauch.

Aber, sagt Tait von Corellium, Apple versucht, gleichzeitig gesperrt und transparent zu sein.

Apple versuche, seinen Kuchen zu haben und ihn auch zu essen, sagt Tait, ein ehemaliger Informationssicherheitsspezialist des britischen Geheimdienstes GCHQ.

Mit der linken Hand erschweren sie Jailbreaks und verklagen Unternehmen wie Corellium, um deren Existenz zu verhindern. Jetzt sagen sie mit ihrer rechten Hand: „Oh, wir haben dieses wirklich komplizierte System gebaut, und es stellt sich heraus, dass einige Leute nicht darauf vertrauen, dass Apple es ehrlich gemacht hat – aber es ist in Ordnung, weil jeder Sicherheitsforscher weitermachen und es beweisen kann sich.'

Ich sitze hier und denke, was meinst du damit, dass du das einfach tun kannst? Sie haben Ihr System so konstruiert, dass sie es nicht können. Der einzige Grund, warum Menschen in der Lage sind, so etwas zu tun, ist trotz dir, nicht dank dir.

Apple reagierte nicht auf eine Bitte um Stellungnahme.

verbergen