De grote Apple spionage FAQ

Het type data dat door Apple op iPhones en iPads wordt opgeslagen, verschilt niet van de data die de telecomproviders van hun klanten al jaren opslaan. Het is namelijk niet voor niets dat criminelen hun mobiele telefoon weggooien wanneer ze door de politie achterna gezeten worden.

Volgens Andrew Storms, directeur beveiliging bij nCircle, maakt Apple het niet alleen in theorie mogelijk, maar zelfs kinderlijk eenvoudig om locatieinformatie van een iOS-apparaat te krijgen zonder dat de eigenaar het doorheeft.

Er is al jaren discussie over Apple’s geheimzinnige aanpak waarbij achter gesloten deuren aan het mobiele besturingssysteem gewerkt wordt. Het heeft onmiskenbaar voordelen ten opzichte van de ‘open’ aanpak van Google’s Android OS, dat sinds kort door malware geteisterd wordt en ook lang niet iedereen van zijn beveiliging overtuigd heeft.

De onderzoekers die ontdekten dat iOS deze gegevens opslaat – Alasdair Allan en Pete Warden – zeiden niet te weten waarom Apple de data verzamelt maar wisten wel te melden dat het overduidelijk met voorbedachte rade gedaan wordt, "omdat de database gewoon mee gaat bij backups en zelfs bij toestelmigraties".

Wat slaat Apple precies op?

Als je de

en foto’s van gebruikers hebt bekeken die na bekendmaking van de hack (dankzij deze Mac-applicatie) zijn verschenen, dan zal je ongetwijfeld zijn opgevallen dat de locatiepunten op de kaart aardig verspreid uit elkaar liggen. Dit komt omdat vooral de posities van de telefoonmasten worden opgeslagen en veel minder de meer specifiekere data van de ingebouwde GPS-zender van de iPhone en iPad. Dit betekent dat een iOS-apparaat via een driehoeksmeting met drie telefoonmasten waarmee het kan communiceren ongeveer weet te bepalen waar het toestel zich bevindt. Deze geschatte locatie kan tientallen meters afwijken van de werkelijke positie, terwijl honderden meters tot kilometers verschil ook mogelijk zijn als het signaal niet optimaal is. Vandaar dat je volgens de kaart bijvoorbeeld in een weiland ver buiten de stad bent geweest, terwijl je die stad nooit verlaten hebt. Apple heeft deze (geschatte) locaties, samen met de tijdstippen waarop deze plekken bezocht zijn, sinds het uitkomen van iOS 4 opgeslagen. Apple heeft dit vorig jaar kenbaar gemaakt, maar dat de locatie door gebruikers eenvoudig zijn uit te lezen, komt als een donderslag bij heldere hemel.

Wie heeft de data in zijn bezit?

Dat is nog niet geheel duidelijk. In ieder geval is het op dit moment niet bewezen dat Apple deze gegevens op afstand uit kan lezen. Wel is het eenvoudig voor iemand die toegang heeft tot je telefoon of je computer (waarmee de data gesynchroniseerd is), om de data uit te lezen.

Wat zou dat doel kunnen zijn?

Volgens collega Ian Paul van PCWorld lijdt het geen twijfel dat Apple deze de locatiegegevens gebruikt in een database waarin de coördinaten van alle telefoonmasten en wifi-routers in de wereld worden opgeslagen. Paul zegt dat de data al zeker bijna een jaar geanonimiseerd en versleuteld naar Apple wordt verstuurd. Hij baseert zich daarbij op een brief uit juli 2010 aan twee Amerikaanse congresleden, waarin Apple toegeeft dat het versleuteld deze informatie kan binnenhengelen. Apple is met de bouw van de communicatiedatabase bezig sinds iPhone OS 3.2.

Waarom zou Apple dat doen?

Google doet het al jaren met de gegevens van routers. Het allerlaatste schandaal in Nederland wat deze week naar buiten kwam is daar andermaal een bewijs van. Wat dat betreft is er niets nieuws onder de zon.

Apple verbrak juli vorig jaar het samenwerkingsverband met Skyhook, het bedrijf dat van meerdere telefoonfabrikanten de locatiegegevens verzamelt en geanonimiseerd verkoopt. Alleen wanneer opsporingsdiensten naar de persoonlijke informatie vragen, wordt deze vrijgegeven. Dit geldt ook voor de gegevens die bij telecomproviders opgeslagen liggen. Apple weet heel goed dat deze informatie inmiddels veel geld waard is en verkoopt deze dan ook aan bijvoorbeeld partners. Daarnaast wordt de database gebruikt voor betere locatiebewuste diensten en/of apps. Geen wonder dat Google en Apple deze data liever zelf verzamelen dan dat ze dat Skyhook laten doen.

Wat is het concrete gevaar op dit moment?

Niet alleen is het mogelijk voor een dief van je iPhone of iPad je locatiegegevens op te vragen – vergeet trouwens niet die jaloerse vriend(in) – maar dat de onderzoekers Allan en Warden zo eenvoudig een applicatie rond het ‘lek’ konden bouwen, betekent dat ook malwareschrijvers nu hun slag kunnen slaan. “Het is voor een trojaans paard betrekkelijk eenvoudig om hetzelfde te doen”, zegt beveiliger Storms.

Security analist Fred Touchette van AppRiver zegt: “Bedenk je eens wat kwaadwillende personen met deze info kunnn doen; ze kunnen eenvoudig dagelijkse patronen zien en precies weten wanneer je niet thuis bent of op je werk. Het is goed mogelijk dat deze informatie met malware op afstand uitgelezen gaat worden, waarna het via de zwarte markt verkocht wordt op dezelfde manier als cybercriminelen creditcard informatie verkopen.”

Wat kun jij eraan doen?

Aangezien het om gegevens gaat die via telefooncommunicatie zijn opgepikt, heeft het uitzetten van GPS niet zoveel zin. Wat je wel kunt doen, is in iTunes de optie aanzetten om de backups van je iOS-apparaat te laten versleutelen. Dit betekent dat je iPhone of iPad nog steeds uit te lezen is, maar de gegevens op je computer zijn daarna beschermd. Als je een iPhone 3G(S) hebt en bereid bent er bloed, zweet en tranen in te investeren, kun je overwegen om naar versie 3.1.3 te downgraden. Dit betekent wel dat applicaties voor iOS 4.0 en hoger niet meer werken. Voor iPhone 4 bezitters is het niet mogelijk om te downgraden, aangezien op dat toestel geen oudere versies draaien.

Wat gaat Apple eraan doen?

Op moment van schrijven heeft Apple nog niets laten weten. Insiders verwachten dat het bedrijf op korte termijn duidelijkheid zal moeten verschaffen. Gebeurt dat niet, dan zullen instanties als overheden uitwijken naar alternatieven. De iOS-software moet zo spoedig mogelijk dichtgetimmerd worden om misbruik van dit lek te voorkomen.