Nagły zwrot w sporze Apple'a z FBI

[KopalniaWiedzy.pl 366]

W sporze pomiędzy Apple'em a FBI nastąpił niespodziewany zwrot. FBI, które domagało się, by sąd zmusił Apple'a do odblokowania iPhone'a należącego do zamachowca z San Bernardino, złożyło do sądu wniosek o odwołanie dzisiejszej rozprawy i przeniesienia jej na przyszły miesiąc. FBI poinformowało, że potrzebuje czasu na przetestowanie alternatywnej metody złamania zabezpieczeń telefonu. Metody, która nie wymagałaby zaangażowania Apple'a w cały proces.

W niedzielę 20 marca 2016 roku strona trzecia zaprezentowała FBI możliwą metodę odblokowania iPhone'a Farooka - czytamy we wniosku FBI. Konieczne jest przeprowadzenie testów, które powiedzą nam, czy metoda ta pozwala na odblokowanie telefonu bez niszczenia danych. Jeśli okaże się ona skuteczna, pomoc Apple'a nie będzie potrzebna.

Spór pomiędzy Apple'em a FBI przyciąga uwagę mediów, obrońców prywatności, prawników i wielkich koncernów. Wiele osób obawia się, że zmuszenia Apple'a do stworzenia narzędzi pozwalających na odblokowanie telefonu będzie stanowiło precedens, który może stanowić poważne zagrożenie dla bezpieczeństwa i prywatności. Istotę sporu opisywaliśmy we wcześniejszej informacji.
Obecnie nie wiadomo, o jakiej "stronie trzeciej" wspomina FBI. Może tutaj chodzić zarówno o przedsiębiorstwo prywatne jak i o NSA.

« powrót do artykułu

[yaworski 2]

Jeżeli FBI uda się skutecznie zastosować alternatywną metodę, to będą mieli opcję odblokowania każdego iPhone'a. Gdyby Apple się zgodziło pomóc przy tej jednej sprawie, mogliby przekazać FBI oprogramowanie działające jedynie na tym jednym telefonie (w oprogramowaniu mogłoby być zaimplementowane sprawdzenie po Apple ID (czy czego tam iPhone używa do unikalnego identyfikowania siebie) - czyli Apple nadal by miało jako taką kontrolę nad tym.

 

Podejrzewam, że FBI się pewnie nie podzieli z Apple swoją metodą, jeżeli będzie skuteczna, więc Apple nie będzie wiedziało jaki był wektor ataku na ich zabezpieczenia.

Edited March 22, 2016 by yaworski

[pogo 102]

Gdzieś widziałem informację, że to chyba jakaś uczelnia znalazła metodę. Jest to luka w sofcie do SMSów (jeśli dobrze pamiętam). Już z resztą załatana, bo ujawniono ją dopiero po załataniu.

Ale ten konkretny telefon nie miał aktualizacji...

[yaworski 2]

Gdzieś widziałem informację, że to chyba jakaś uczelnia znalazła metodę. Jest to luka w sofcie do SMSów (jeśli dobrze pamiętam). Już z resztą załatana, bo ujawniono ją dopiero po załataniu.

Ale ten konkretny telefon nie miał aktualizacji...

 

Wychodzi na to, że jednak nie uczelnia i Apple nie ma jednak pojęcia jaki był wektor ataku. Nie wiadomo też nic, czy na ten atak są podatne tylko stare wersje systemu, czy aktualne też.

[thikim 119]

Siłą Apple jest to że w zasadzie może zrobić dowolną aktualizację. Zastanawiam się czy tą drogą mając telefon nie dałoby się udać serwera aktualizacji dla urządzenia. Albo nawiązać połączenie z prawdziwym serwerem, tylko wrzucać własne oprogramowanie.

Edited March 30, 2016 by thikim

[pogo 102]

@@thikim, jeśli znasz metodę na ominięcie pominięcie problemu certyfikatu... a nie wiadomo czy certyfikat to jedyne zabezpieczenie przed podmianą serwera.

[thikim 119]

Poza podmianą serwera można także próbować podmienić pliki w czasie połączenia z autentycznym serwerem.

Jak ktoś dobrze pokombinuje to wystarczy jeden pakiet.

Może także być inny sposób.

Nawiązujesz połączenie z serwerem, ściągasz plik a podmianę robisz programatorami przed instalacją w pamięci RAM.

Edited March 30, 2016 by thikim