Apple sieht Hintertür in iOS für IT-Abteilungen und AppleCare vor

Apple hat in der Diskussion um Hintertüren in iOS eine ausführliche Stellungnahme abgegeben. Darin räumt es die Existenz von „Diagnosefunktionen“ ein, die „benötigte Informationen für IT-Abteilungen in Unternehmen, Entwickler und Apple für die Fehlersuche bereitstellen.“ Es wiederholte, es arbeite mit keinen Regierungsbehörden zusammen.

Apples Stellungnahme hat Tim Bradshaw von der New York Times via Twitter veröffentlicht. Zum konkreten Zugriff auf Gerätedaten heißt es darin: „Nutzer müssen ihr Gerät entsperrt und einem anderen Rechner das Vertrauen ausgesprochen haben. Der Nutzer muss einwilligen, die Daten bereitzustellen, und nie werden Daten ohne seine Zustimmung übertragen. Wie schon früher mitgeteilt hat Apple nie mit irgendeiner Regierung irgendeines Landes zusammengearbeitet, um eine Hintertür in irgendeinem Produkt oder Dienst zu schaffen.“

Diese Aussage bezieht sich auf die jüngsten Veröffentlichungen von Forensiker und Autor Jonathan Zdziarski, der in der iPhone-Entwickler-Community auch als „NerveGas“ bekannt ist. Er hatte auf der Konferenz Hackers on Planet Earth mehrere „undokumentierte, hochwertige forensische Dienste“ demonstriert, die ihm zufolge auf jedem iOS-Gerät laufen. Zudem beschrieb er „verdächtige Design-Fehler in iOS“, die die Sammlung von Daten vereinfachen sollen. In seinem Vortrag (PDF) lieferte er auch Beispiele für Informationen, die ohne Zustimmung eines Nutzers „niemals das Gerät verlassen sollten“.

Zdziarski hat inzwischen einen ergänzenden Blogbeitrag veröffentlicht. Darin steht: „Ich habe nicht behauptet, dass Apple mit der NSA zusammenarbeitet. Aufgrund der veröffentlichten Dokumente habe ich aber den Verdacht, dass einige dieser Dienste von der NSA genutzt worden sein könnten, um Daten von Zielpersonen zu sammeln. Ich unterstelle keine großartige Verschwörung. Es gibt aber Dienste in iOS, die es nicht geben sollte, die Apple bewusst in die Firmware eingebaut hat und die die Backup-Verschlüsselung umgehen, wobei sie mehr persönliche Daten kopieren, als je dem Smartphone eines durchschnittlichen Nutzers entnommen werden sollten. Ich glaube, dass dies gegenüber rund 600 Millionen iOS-Nutzern zumindest eine Erklärung rechtfertigt.“

Die von Apple tatsächlich abgegebene Stellungnahme fand Zdziarski dann nicht ausreichend, wie er in einem weiteren Blogeintrag erklärte. Apple habe „ungewollt“ zugegeben, dass es Hintertüren in iOS gebe, auch wenn sie für die Diagnose und für Unternehmenskunden bestimmt seien. Eine Umgehung der Passwortsicherheit bleibe einfach eine Schwächung der Privatsphäre.

„Mir ist klar, dass jedes Gerät über Diagnosefunktionen verfügt“, schreibt er. „Diese Dienste brechen jedoch Apples Versprechen, das es Kunden gibt, die ein Backup-Passwort eingeben – nämlich dass ihrem Gerät nur verschlüsselte Daten entnommen werden können. Zudem sind den Nutzern diese Mechanismen nicht bekannt, und das Gerät gibt keinen Hinweis darauf. Es gibt schlicht keine Rechtfertigung für ein derart massives Datenleck, über das der Kunde nicht informiert wird.“

Zudem bleibt der Sicherheitsforscher skeptisch, was Apples Aussage angeht, die Umgehung der Verschlüsselung diene nur der Diagnose. „Ich kann keine Sekunde lang glauben, dass diese Dienste nur für Diagnose bestimmt sind. Die von ihnen herausgegebenen Daten sind von äußerst persönlicher Art. Der Nutzer wird nicht informiert. Ein echtes Diagnosetool wäre so konzipiert, dass es den Anwender respektiert, wie eine Anwendung um Erlaubnis für Datenzugriffe bittet und die Backup-Verschlüsselung respektiert. Sagen Sie mir bitte, was der Sinn einer Verschlüsselung ist, wenn sie sich umgehen lässt?“

[mit Material von Lance Whitney, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.