Apple hat sich inzwischen zu den Fragen geäußert, die bestimmte, nur teilweise dokumentierte Systemfunktionen in iOS den sollen, die zum Beispiel unter Umgehung der Verschlüsselung Zugriff auf persönliche Nutzerdaten erlauben. Aber beantwortet wurden die Fragen damit nicht.

Neu ist es nicht, dass Apple jede Zusammenarbeit mit Geheimdiensten bestreitet, mit dem Ziel Backdoors in den eigenen Produkten unterzubringen:

Apple has never worked with any government agency from any country to create a backdoor in any of our products or services

Man könnte hier jetzt natürlich anfangen und Haare spalten, schließlich muss man nicht mit einer Regierungsbehörde zusammen arbeiten, um eine Backdoor im eigenen Produkt unterzubringen – das kann man als Entwickler des Produkts auch prima alleine… aber darum geht es ja nicht.

Apple geht auch nicht gesondert auf den jeweiligen Anwendungszweck der Funktionen ein, sondern erklärt das alles ganz allgemein:

We have designed iOS so that its diagnostic functions do not compromise user privacy and security, but still provides needed information to enterprise IT departments, developers and Apple for troubleshooting technical issues. A user must have unlocked their device and agreed to trust another computer before that computer is able to access this limited diagnostic data. The user must agree to share this information, and data is never transferred without their consent.

Aber Jonathan Zdziarski  hat in seinem Vortrag auch schon die Frage gestellt, welchen Sinn diese Daten für das Debugging von Fehlern haben sollen. Welchen Sinn sollte es machen für die Lösung eines technischen Problems auf die privaten Daten des Nutzers wie Fotos oder Kontakte zuzugreifen? Und die vier ganz konkreten Fragen an Apple sind immer noch unbeantwortet:

• Why is there a packet sniffer running on 600 million personal iOS devices instead of moved to the developer mount?
• Why are there undocumented services that bypass user backup encryption that dump mass amounts of personal data from the phone?
• Why is most of my user data still not encrypted with the PIN or passphrase, enabling the invasion of my personal privacy by YOU?
• Why is there still no mechanism to review the devices my iPhone is paired with, so I can delete ones that don’t belong?

Oder fragen wir doch einfach ganz anders: Wenn es sich bei diesen ganzen Tools nicht um Backdoors, sondern um Diagnose-Tools handelt, die im Fehlerfall oder bei der Entwicklung von Bedeutung sind, warum sind diese dann ständig aktiv und nicht nur dann, wenn man sie auch braucht? Wäre es so schwer, diese Tools einfach nur auf Zuruf des Nutzers zu aktivieren, also zum Beispiel durch einen Schalter in den Systemeinstellungen, der das Gerät in einen „Diagnose-Modus“ versetzt oder meinetwegen auch durch Aktivierung eines „Enterprise-Mode“ für zentral gemanagte Geräte? Dadurch, dass diese Dienste ständig aktiv sind, stellen sie eben auch ein potentielles Einfallstor für Angreifer dar – ob es nun Geheimdienste oder gewöhnliche Kriminelle sind.

Und ja, einige der (möglichen) Lücken kann man über den Apple Konfigurator wieder schließen und nein, das alles bedeutet jetzt nicht zwangsläufig, dass iOS komplett unsicher wäre – es ist aber unnötigerweise angreifbar und diese Punkte zeigen, dass Apple eben nicht alles tut, um die Sicherheit und Privatsphäre der Nutzer zu schützen, sondern hier auch Kompromisse eingeht. Aus welchen Gründen auch immer. Und natürlich werden damit nicht andere (potentielle) Lücken in anderen Systemen relativiert und es geht auch nicht um ein „Ätschibätschi, Dein System hat auch Löcher“. Es geht darum, dass es in Sachen Sicherheit und Privatsphäre transparent sein sollte, welche möglichen Schwachstellen existieren und was getan wird sie zu schließen, egal ob es ein System von Apple, Microsoft, Google oder wem auch immer ist. Apple hat das mit der Transparenz noch nicht wirklich raus, aber das ändert sich vielleicht noch – es dauert zwar manchmal, aber grundsätzlich gehört Apple zu den Unternehmen, die dann doch auf ihre Kunden hören (Hey, es gibt Tabs im Finder! ;))