Wat als Apple een ‘onhackbare’ iPhone maakt?

Mocht je het gemist hebben: de Amerikaanse veiligheidsdienst FBI wil dat Apple hen helpt de iPhone van Syad Farook, de man die december 2015 een bloedbad aanrichtte in San Bernardino, te hacken zodat ze toegang hebben tot zijn gegevens. Apple weigerde, en nu probeert de FBI het bedrijf met een gerechtelijk bevel te dwingen om software te schrijven waarmee de beveiliging van iOS omzeild kan worden – een bevel dat Apple weigert in te willigen.

Of het de FBI nu gaat lukken of niet om Apple te dwingen; het zou in de toekomst wel eens nagenoeg onmogelijk kunnen worden om iPhones überhaupt te hacken. Apple zegt namelijk plannen te hebben om toekomstige iPhones zo te programmeren dat het onmogelijk is om de wachtwoordbeveiliging van een uitgeschakelde telefoon te omzeilen – in ieder geval op de manier waarop de FBI het wil doen.

Het rechterlijk bevel waartegen Apple zich verzet, betreft een specifiek beveiligingsmechanisme waardoor alle data op de telefoon gewist wordt na 10 onsuccesvolle pogingen om het wachtwoord in te voeren. Dit mechanisme weerhoudt de FBI ervan om het systeem te kraken door elke mogelijke wachtwoordcombinatie in te voeren. De FBI wil dat Apple een speciale, hackbare versie van iOS schrijft, die ze vervolgens willen installeren in de Device Firmware Upgrade (DFU)-modus van de iPhone – een herstelmodus die ingeschakeld kan worden door een bepaalde toetsencombinatie in te drukken terwijl de telefoon opstart.

Volgens een recentelijk verslag van de New York Times werkt Apple aan een functie die ervoor zal zorgen dat het wachtwoord van de telefoon ingevoerd moet worden voordat je een software-update kan installeren in de herstelmodus. Dit zal betekenen dat het voor de FBI onmogelijk wordt om zonder het wachtwoord van een telefoon software te installeren die de beveiliging verzwakt, zelfs als deze software door Apple zelf geschreven is.

Volgens Jonathan Zdziarski, een forensisch expert die gespecialiseerd is in het besturingssysteem iOS, zijn er verschillende manieren waarop Apple de wachtwoordbeveiliging zou kunnen versterken. De meest vergaande methode is echter om hele nieuwe hardware te ontwikkelen.

"Als ze de OS zouden versleutelen op de manier die ik op mijn website beschreven heb, wordt het onmogelijk om de DFU-modus in te schakelen zonder het wachtwoord," zei Zdziarski tegen Motherboard in een email. "Maar als je aanpast hoe de DFU-modus op zich werkt, is dat enkel een update van de manier waarop het besturingssysteem opstart."

In gewone mensentaal: Apple zou de hardware van iPhones op zo'n manier kunnen aanpassen dat het zelfs voor hen onmogelijk wordt om het besturingssysteem van een iPhone aan te passen zonder de medewerking van de eigenaar van de telefoon – een onhackbare telefoon.

Natuurlijk betekent dit niet dat de telefoon echt onmogelijk te hacken zal zijn – dit is op zichzelf namelijk onmogelijk –, maar het zou desalniettemin een grote overwinning betekenen voor Apple, alsmede voor mensen er waarde aan hechten van privacy verzekerd te zijn. Toch is het alsnog belangrijk dat Apple de rechtszaak tegen de FBI niet verliest. De eigenaar van de telefoon waar de FBI in geïnteresseerd is, is namelijk dood en de telefoon staat uit – maar in zaken waar dit niet geval is, zijn er veel meer verschillende mogelijkheden voor de FBI om toegang te krijgen tot de gegevens op de telefoon.

Oftewel: ook al zou Apple het zichzelf onmogelijk maken om nieuwe software op een iPhone te installeren zonder het wachtwoord van de eigenaar, zal de FBI in gevallen waar de telefoon niet uit staat of de eigenaar nog wel in leven is, wel degelijk bij machte zijn om de telefoon te kraken, met of zonder de hulp van Apple. Daarnaast bestaan er manieren om de extra beveiligingsfuncties die Apple wil ontwikkelen alsnog te omzeilen. De FBI zou Apple bijvoorbeeld kunnen dwingen om een programma te schrijven dat eruit ziet als een normale software-update maar dit niet is, en zo een telefoon zodanig voor de gek houden dat het een kwaadaardige update installeert.

Wat Apple ook gaat doen om de beveiliging van hun producten te versterken, het zal heel slechts nieuws zijn voor de veiligheid van de privégegevens van Amerikanen als Apple de rechtszaak tegen de FBI verliest. Daarnaast zal het vertrouwen van mensen in de legitimiteit en veiligheid van automatische updates ernstig ondermijnd worden als overheden bedrijven kunnen dwingen om kwaadaardige software-updates te schrijven. Want wie weet wat er precies op je telefoon geïnstalleerd wordt?

"De reden waarom mensen die zich bezighouden met digitale beveiliging wereldwijd door het lint gaan, is niet het feit dat een overheid Apple wil dwingen om bepaalde code te schrijven, maar omdat ze Apple willen dwingen het als legitieme Apple-software te presenteren," zei Chris Soghoian van de American Civil Liberties Union. "Dit heeft niet alleen gevolgen voor Apple, maar voor elk bedrijf dat software-updates aanbiedt."