Apple: Backdoor in iOS ist für IT-Abteilungen vorgesehen

In der Debatte um mindestens eine Backdoor in iOS hat Apple eine detaillierte Stellungnahme abgegeben. Darin räumt es die Existenz von bestimmten “Diagnosefunktionen” ein, die “benötigte Informationen für IT-Abteilungen in Unternehmen, Entwickler und Apple für die Fehlersuche bereitstellen.” Das Unternehmen wiederholte bei der Gelegenheit auch noch einmal, dass es nicht mit Regierungsbehörden zusammenarbeite.

Tim Bradshaw von der New York Times hat Apples Erklärung via Twitter veröffentlicht. Zum konkreten Zugang zu Geräteinformationen heißt es darin: “Nutzer müssen ihr Gerät entsperrt und einem anderen Rechner das Vertrauen ausgesprochen haben. Der Nutzer muss einwilligen, die Daten bereitzustellen, und nie werden Daten ohne seine Zustimmung übertragen. Wie schon früher mitgeteilt, hat Apple nie mit irgendeiner Regierung irgendeines Landes zusammengearbeitet, um eine Hintertür in irgendeinem Produkt oder Dienst zu schaffen.”

Diese Aussage bezieht sich auf die jüngsten Publikationen von Forensiker und Autor Jonathan Zdziarski. Er hatte auf der Konferenz Hackers on Planet Earth mehrere “undokumentierte, hochwertige forensische Dienste” gezeigt, die ihm zufolge auf jedem iOS-Gerät laufen. Zudem beschrieb er “verdächtige Design-Fehler in iOS”, die die Datensammlung vereinfachen sollen. In seinem Vortrag (PDF) gab er auch von Beispielen für Daten, die ohne vorherige Zustimmung eines Nutzers “niemals das Gerät verlassen sollten”.

Inzwischen hat Zdziarski einen ergänzenden Blogbeitrag veröffentlicht. Darin erklärt er: “Ich habe nicht behauptet, dass Apple mit der NSA zusammenarbeitet. Aufgrund der veröffentlichten Dokumente habe ich aber den Verdacht, dass einige dieser Dienste von der NSA genutzt worden sein könnten, um Daten von Zielpersonen zu sammeln. Ich unterstelle keine großartige Verschwörung. Es gibt aber Dienste in iOS, die es nicht geben sollte, die Apple bewusst in die Firmware eingebaut hat und die die Backup-Verschlüsselung umgehen, wobei sie mehr persönliche Daten kopieren, als je dem Smartphone eines durchschnittlichen Nutzers entnommen werden sollten. Ich glaube, dass dies gegenüber rund 600 Millionen iOS-Nutzern zumindest eine Erklärung erforderlich macht.”

Die von Apple tatsächlich abgegebene Erklärung findet Zdziarski allerdings unzureichend, wie er in einem weiteren Blogbeitrag erklärt. Apple habe “ungewollt” eingeräumt, dass es Hintertüren in iOS gebe, auch wenn sie für die Diagnose sowie für Unternehmenskunden bestimmt seien. Eine Möglichkeit, die Passwortsicherheit zu umgehen, bleibe aber einfach eine Schwächung der Privatsphäre.

“Mir ist klar, dass jedes Gerät über Diagnosefunktionen verfügt”, schreibt er. “Diese Dienste brechen jedoch Apples Versprechen, das es Kunden gibt, die ein Backup-Passwort eingeben – nämlich dass ihrem Gerät nur verschlüsselte Daten entnommen werden können. Zudem sind den Nutzern diese Mechanismen nicht bekannt, und das Gerät gibt keinen Hinweis darauf. Es gibt schlicht keine Rechtfertigung für ein derart massives Datenleck, über das der Kunde nicht informiert wird.”

Zudem bleibt der Sicherheitsforscher skeptisch, was Apples Aussage anbetrifft: “Ich kann keine Sekunde lang glauben, dass diese Dienste nur für die Diagnose bestimmt sind. Die von ihnen herausgegebenen Daten sind von äußerst persönlicher Art. Der Nutzer wird nicht informiert. Ein echtes Diagnosetool wäre so konzipiert, dass es den Anwender respektiert, wie eine Anwendung um Erlaubnis für Datenzugriffe bittet und die Backup-Verschlüsselung respektiert. Sagen Sie mir bitte, was der Sinn einer Verschlüsselung ist, wenn sie sich umgehen lässt?”

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.