600 milionů přístrojů od Apple se dá zneužít ke sledování

Jeden z nejuznávanějších odborníků na počítačovou bezpečnost a spolutvůrce App Storu upozornil na zadní vrátka v iPhonech či iPadech. Alarmující podle něj je, že problémové funkce jsou základní výbavou operačního systému iOS. Zneužít by se dalo až 600 milionů produktů Apple.

Forenzní expert a vývojář Jonathan Zdziarski patří k nejuznávanějším ve svém oboru. Školí zaměstnance bezpečnostních složek a je také armádním poradcem. Nyní upozorňuje na bezpečnostní rizika u produktů společnosti Apple, které pomáhal s vývojem obchodu App Store.

600 milionů nových přístrojů od Apple včetně iPhonů či iPadů má v operačním systému iOS rovnou nainstalované funkce, které se dají použít ke sledování nebo tajnému získání osobních dat. Patří mezi ně sms zprávy, zvukové vzkazy, informace o účtech na emailovém klientu, Twitteru, iCloudu, Facebooku, kontakty z adresáře včetně smazaných záznamů nebo všechny fotografie z přístroje, i když byly třeba dávno vyhozené do koše.

Nebezpečí? Ne hackeři, ale exmilenci

„Zadní vrátka nejsou žádným tajemstvím, ale jsou nebezpečné, když se zneužijí. Nechci vzbudit paniku, netvrdím, že jde o konspiraci,“ říká Zdziarski, který na problémy upozornil o víkendu v rámci přednášky na newyorské konferenci Hackers On Planet Earth. Kladl si otázku, proč Apple  takové funkce do svých výrobků vůbec implementuje, protože většinou nemají žádný smysluplnější účel než zpřístupnění ohromného množství osobních dat.

Zadní vrátka

V informatice název metody, která umožňuje obejít běžnou autentizaci, která za běžných okolností brání uživateli v neoprávněném využívání počítačového systému. Zadní vrátka jsou součástí softwaru či hardwaru a mohou být využívána k seriózním účelům (například servisní přístup), avšak často jsou zneužívána hackerem nebo vládními organizacemi jako NSA, takže jsou klasifikována jako bezpečnostní riziko. (Wikipedia)

Jedná se o tři funkce, které zdánlivě slouží pouze programátorům z Applu, aby mohli provádět diagnostiku, získávat informace o poruchách a pracovat na updatech. Jsou to com.apple.mobile.house_arrest, com.apple.pcapd a podle Zdziarského nejznepokojivější com.apple.mobile.file_relay, která před víkendem nebyla veřejně zdokumentovaná. Přitom dokáže vyfiltrovat ohromující množství dat jako cache (mezipaměť vytvořená například pro často navštěvované webové stránky), informace o osobních účtech na sociálních sítích, fotky, záznamy o tom, kde se uživatel pohyboval, nebo screenshot s poslední aktivitou. 

Sám Zdziarski připouští, že není lehké zmiňované funkce zneužít, a proto se nestanou plošnou hračkou hackerů. Nebezpečnější jsou technicky zdatní kolegové v práci, spolužáci nebo expartneři, zkrátka ti, kterým uživatel v minulosti dobrovolně povolil a potvrdil spárování mezi přístroji. Během něj si výrobky vytvoří složky digitálních klíčů, kdokoli s přístupem k takové složce později může funkce zneužít i bezdrátově a „sosat“ data, dokud se přístroj neresetuje do továrního nastavení.

Nejnešťastnější děti na světě

Aby dokázal praktické využití, Zdziarski připustil, že podobné funkce používá k hlídání svých dětí, které mají iPhony. Dokáže je spárovat se stolním počítačem a následně vidí data z jejich aplikací, s kým se baví a jak vypadá jejich online život. „Moje děti musí být nejnešťastnější na světě, když mají tátu forenzního experta,“ říká s nadsázkou.

Za třetí čtvrtletí prodal Apple 13,3 milionu iPadů, což je o devět procent méně než za stejné období loni. Naopak meziročně stoupl prodej iPhonů o 13 procent na 35,2 milionu kusů. Nejvíc narostl prodej počítačů a notebooků – od dubna do června se jich prodalo přibližně 4,4 milionu.