Did Apple ever build a backdoor or master key?

Apples Kamp Mod Hemmelige Bagdøre: Din Sikkerhed På Spil

02/05/2022

Rating: 4.42 (1814 votes)

I en verden, hvor digitalt privatliv bliver stadig mere værdifuldt, har en hemmelig strid mellem teknologigiganten Apple og den britiske regering sendt chokbølger gennem tech-verdenen. Kernen i konflikten er et krav om en 'bagdør' til krypterede data, et krav der truer med at underminere den sikkerhed, vi tager for givet på vores iPhones og i vores iCloud. Denne artikel dykker ned i sagens kerne, Apples modstand, de globale konsekvenser og hvad det betyder for dig som bruger.

Did Russia 'backdoor' a Russian diplomat's iPhone?
The mass backdooring campaign, which according to Russian officials also infected the iPhones of thousands of people working inside diplomatic missions and embassies in Russia, according to Russian government officials, came to light in June.

Storbritanniens Hemmelige Krav: En Trussel Mod Kryptering

Tidligere i år kom det frem, at den britiske regering i al hemmelighed havde beordret Apple til at skabe en bagdør til krypterede data for alle iCloud-brugere verden over. Specifikt ønskede de en måde at få adgang til personlige data, der er beskyttet af Apples introduktion af Advanced Data Protection (ADP). ADP udvidede end-to-end-kryptering til stort set alle iCloud-data, hvilket betød, at selv Apple ikke kunne få adgang til dem. Kravet var ikke blot teknisk uvidende, men også uhyrligt i sin rækkevidde.

For det første er en stor del af dataene beskyttet af end-to-end-kryptering (E2EE). Dette betyder, at Apple ikke besidder en kopi af nøglen og derfor ikke ville være i stand til at dekryptere dataene. Forestil dig det som en pengeskab, hvor kun du har nøglen, og selv producenten ikke kan åbne det, hvis de mister deres egen adgang. For det andet er der allerede juridiske mekanismer på plads, som retshåndhævende myndigheder kan bruge til at anmode om data, som Apple kan levere. De skal blot henvende sig til en dommer for at ansøge om en retskendelse. Dommeren vil derefter afveje retfærdighedens interesser mod privatlivets og træffe en individuel afgørelse baseret på de specifikke omstændigheder i den pågældende sag. Hvor en dommer indvilger i at udstede en retskendelse, overholder Apple disse i det omfang, de er i stand til.

For det tredje forsøgte regeringen at undgå offentlig kontrol af sit krav ved at bruge lovgivning, der ikke tillod Apple at afsløre, at de havde modtaget kravet, og retssagen om det ville også blive holdt i al hemmelighed. Dette understreger den britiske regerings ønske om at operere i skyggerne, når det kommer til spørgsmål om digitalt privatliv.

Apples Geniale Modsvar: En Dristig Afvisning

Apple kom med et genialt modsvar. Mens de ikke direkte kunne afsløre den britiske regerings krav, meddelte de i stedet, at de ikke længere kunne tilbyde ADP i Storbritannien. Dette var en krystalklar besked: ”Vi kan ikke fortælle jer, at den britiske regering beordrede os til at bygge en bagdør til ADP, og heller ikke at vi nægtede.”

Apples officielle udmelding var utvetydig:

“Apple kan ikke længere tilbyde Advanced Data Protection (ADP) i Storbritannien til nye brugere, og nuværende britiske brugere bliver i sidste ende nødt til at deaktivere denne sikkerhedsfunktion. ADP beskytter iCloud-data med end-to-end-kryptering, hvilket betyder, at dataene kun kan dekrypteres af brugeren, der ejer dem, og kun på deres betroede enheder. Vi er dybt skuffede over, at de beskyttelser, som ADP giver, ikke vil være tilgængelige for vores kunder i Storbritannien […] Som vi har sagt mange gange før, har vi aldrig bygget en bagdør eller hovednøgle til nogen af vores produkter eller tjenester, og det vil vi aldrig gøre.”

Denne udmelding var et stærkt signal om Apples forpligtelse til brugernes sikkerhed og privatliv, selv når det betyder at trække en vigtig funktion tilbage fra et stort marked. Det understregede deres principielle holdning: at en bagdør for én er en bagdør for alle, og at den undergraver hele formålet med kryptering.

Did the British government secretly order Apple to create a backdoor?

Hvorfor er End-to-End Kryptering Så Vigtig?

End-to-end-kryptering (E2EE) er rygraden i moderne digital kommunikation og datalagring. Når data er end-to-end-krypteret, betyder det, at de kun kan læses af afsenderen og den tilsigtede modtager. Selv tjenesteudbyderen (i dette tilfælde Apple) har ikke adgang til indholdet. Dette sikrer et uovertruffet niveau af privatliv og sikkerhed. Hvis en bagdør blev indført, ville det skabe en sårbarhed, en svaghed i systemet, som potentielt kan udnyttes af ondsindede aktører – det være sig cyberkriminelle, fjendtlige nationer eller endda uærlige insidere. Som sikkerhedseksperter som Dray Agha fra Huntress Labs påpeger: “Hvis regeringer kan få adgang til data, kan modstandere også: cyberkriminelle, fjendtlige nationalstater og ondsindede insidere.” Fraværet af stærk kryptering i iCloud øger risikoen for insider-trusler, uautoriseret regeringsadgang og potentielle databrud.

En bagdør er i bund og grund et hul i muren, som alle med den rette viden kan udnytte. Selvom den er skabt med de bedste intentioner (f.eks. national sikkerhed), er det kun et spørgsmål om tid, før uønskede aktører opdager og udnytter den. Dette ville skabe en systemisk risiko for millioner af brugere verden over. Apple har konsekvent argumenteret for, at det er umuligt at bygge en bagdør, der kun kan bruges af 'de gode', uden at åbne op for 'de onde'.

De Globale Konsekvenser: En Politik-Jordskælv

Den britiske regerings insisteren på ikke at give efter, er nu tilsyneladende ved at ændre sig. Financial Times rapporterer, at den amerikanske regering har fundet en måde at presse Storbritannien til at give sig – ved at true UK-US teknologi-aftaler. En embedsmand i det britiske teknologiministerium udtalte: “Dette er noget, vicepræsidenten er meget irriteret over, og som skal løses. Indenrigsministeriet bliver i princippet nødt til at give efter.”

Dette viser, at sagen har bredere geopolitiske implikationer. Privatlivsforkæmpere frygter, at en ændring i en iPhone-sikkerhedsfunktion i Storbritannien og den igangværende kamp mellem Apple og den britiske regering kan have verdensomspændende ringvirkninger. David Ruiz, online privatlivsekspert hos Malwarebytes, kalder det for “kun dårlige nyheder, og jeg har svært ved at kalde det andet end en katastrofe.” Han påpeger, at tabet af end-to-end-kryptering for cloud-lagring er dårligt i sig selv, men de globale konsekvenser gør det “langt værre”.

Sagen har også sat fokus på de såkaldte “Five Eyes”-lande (en efterretningsalliance bestående af Australien, New Zealand, Canada, USA og Storbritannien), som potentielt kan blive opmuntret til at stille lignende krav til Apple. Som Javad Abed, assisterende professor i informationssystemer ved Johns Hopkins Carey Business School, formulerer det: “Privatlivets globale dominobrikker vælter. Dette er et politik-jordskælv.”

Kaspersky-Sagen: En Anden Type Bagdør – Hardware-Sårbarhed

Det er vigtigt at adskille den britiske regerings krav om en software-bagdør fra en anden nylig hændelse, der involverer faktiske, opdagede sårbarheder. Forskere præsenterede for nylig nye fund omkring et angreb, der i over fire år installerede bagdøre på dusinvis, hvis ikke tusindvis, af iPhones, hvoraf mange tilhørte ansatte hos det Moskva-baserede sikkerhedsfirma Kaspersky. Det mest bemærkelsesværdige blandt opdagelserne var, at de ukendte angribere var i stand til at opnå et hidtil uset adgangsniveau ved at udnytte en sårbarhed i en udokumenteret hardwarefunktion, som få, hvis nogen uden for Apple og chipleverandører som ARM Holdings, kendte til.

Did the British government secretly order Apple to create a backdoor?
We learned earlier this year that the British government had secretly ordered Apple to create a backdoor into encrypted data for all iCloud users worldwide.

Dette var ikke en bagdør, som Apple bevidst havde indbygget, men en sårbarhed, der blev udnyttet af sofistikerede aktører. Angrebet, som ifølge russiske embedsmænd også inficerede iPhones tilhørende tusindvis af personer, der arbejder i diplomatiske missioner og ambassader i Rusland, kom frem i juni. Over en periode på mindst fire år blev infektionerne leveret i iMessage-tekster, der installerede malware gennem en kompleks udnyttelseskæde uden at kræve, at modtageren foretog sig noget. Enhederne blev inficeret med fuldt udstyret spyware, der blandt andet transmitterede mikrofonoptagelser, fotos, geolokation og andre følsomme data til angribernes servere. Selvom infektionerne ikke overlevede en genstart, holdt de ukendte angribere deres kampagne i live ved simpelthen at sende enheder en ny ondsindet iMessage-tekst kort efter, at enhederne blev genstartet.

Denne sag understreger den konstante trussel fra avancerede angribere og viser, hvorfor sårbarheder – uanset om de er bevidst indbyggede 'bagdøre' eller udnyttede 'huller' – er så farlige. Det styrker argumentet for, at stærk kryptering og løbende sikkerhedsopdateringer er afgørende for at beskytte brugernes data.

Hvad Kan Brugere Gøre for at Beskytte Sig?

Midt i denne debat om regeringers adgang og teknologivirksomheders kamp for privatliv, er det vigtigt, at du som bruger forstår din egen rolle i at beskytte dine data. Mens kampen om store politiske beslutninger fortsætter, er der skridt, du selv kan tage:

  • Tjek dine privatlivsindstillinger: Gå jævnligt dine telefoners privatlivsindstillinger igennem. Sørg for, at du forstår, hvilke apps der har adgang til hvilke data, og begræns adgangen, hvor det er muligt.
  • Aktiver automatisk opdatering: Mange forbrugere har ældre telefoner, og dem, der ikke har aktiveret automatiske opdateringer, kan gå glip af kritiske sikkerhedsopdateringer. Disse opdateringer kan inkludere forbedringer til messaging-apps, der tillader end-to-end-kryptering.
  • Verificer E2EE for apps: Hvis du har aktiveret end-to-end-kryptering for apps på din tidligere telefon, er det en god idé at kontrollere, at indstillingerne også er aktiveret på den nye telefon. Indstillinger på overførte apps migrerer muligvis ikke altid med en ny telefon.
  • Vær opmærksom på alle enheder: Denne rådgivning gælder også for ikke-Apple telefonbrugere. Samsung er ikke immun, så Galaxy-fans bør også være bekymrede.

Uanset om det er i Storbritannien eller globalt, er evnen til at kontrollere din egen kryptering og data-suverænitet ved at blive en ikke-forhandlingsbar søjle for personlig sikkerhed. Brugere skal erkende, at det britiske træk er et symptom på den voksende spænding mellem regeringer og personlig sikkerhed.

Sammenligning: Krypteringsniveauer for iCloud

For at give et klarere billede af forskellen, lad os sammenligne standard iCloud-sikkerhed med Advanced Data Protection (ADP):

FunktionMed Avanceret Databeskyttelse (ADP)Uden Avanceret Databeskyttelse (ADP) (Standard)
KrypteringsniveauEnd-to-end kryptering (E2EE) for de fleste data.Visse data er E2EE, men mange er kun krypteret 'in transit' og 'at rest'.
Adgang til dataKun brugeren har de unikke nøgler; Apple kan ikke dekryptere data.Apple har krypteringsnøgler til visse data og kan, med retskendelse, give adgang.
Sikkerhed mod brudMeget høj; selv et brud hos Apple vil ikke afsløre indholdet af E2EE-data.Lavere; en målrettet angriber eller regeringsanmodning kan potentielt få adgang til visse data hos Apple.
Tilgængelighed i UKIkke længere tilgængelig for nye brugere; eksisterende brugere opfordres til at deaktivere.Standardindstilling for alle iCloud-brugere i Storbritannien.

Ofte Stillede Spørgsmål (FAQ)

Har Apple nogensinde bygget en bagdør eller hovednøgle?
Apple har gentagne gange udtalt, at de aldrig har bygget en bagdør eller hovednøgle til nogen af deres produkter eller tjenester, og at de aldrig vil gøre det. Deres handlinger i den britiske sag understøtter denne påstand, da de hellere trak en funktion tilbage end at overholde kravet.

Did the British government secretly order Apple to create a backdoor?

Hvad er Advanced Data Protection (ADP)?
Advanced Data Protection (ADP) er en valgfri sikkerhedsfunktion fra Apple, der udvider end-to-end-kryptering til stort set alle iCloud-data, herunder iCloud Backup, Fotos, Noter, iCloud Drive, Påmindelser og mere. Når ADP er aktiveret, kan kun brugeren få adgang til disse data på deres betroede enheder, hvilket gør dem utilgængelige selv for Apple.

Hvorfor er end-to-end kryptering (E2EE) så vigtig?
E2EE sikrer, at kun afsenderen og den tilsigtede modtager kan læse en meddelelse eller få adgang til data. Selv tjenesteudbyderen (f.eks. Apple) kan ikke se indholdet, fordi de ikke har krypteringsnøglerne. Dette beskytter brugernes privatliv og data mod uautoriseret adgang fra både hackere, ondsindede aktører og regeringer.

Kan andre regeringer kræve lignende adgang?
Ja, det er en stor bekymring blandt privatlivsforkæmpere. Succes for den britiske regering i denne kamp kunne anspore andre lande, især dem inden for 'Five Eyes'-alliancen, til at stille lignende krav. Spørgsmålet er, om Apple vil fortsætte med at kæmpe for globalt privatliv eller om presset bliver for stort.

Hvad kan jeg gøre for at beskytte mine data og mit privatliv?
Du kan regelmæssigt gennemgå dine privatlivsindstillinger på dine enheder, sikre at automatiske softwareopdateringer er aktiveret, og verificere, at end-to-end-kryptering er aktiv for dine foretrukne messaging-apps og cloud-tjenester, hvor det er muligt. Vær opmærksom på, hvilke apps du giver adgang til dine data, og vælg stærke, unikke adgangskoder.

Hvis du vil læse andre artikler, der ligner Apples Kamp Mod Hemmelige Bagdøre: Din Sikkerhed På Spil, kan du besøge kategorien Teknologi.

Go up