Vi skrev tidigare idag om att Apple bemött en del oroligheter kring nya Touch ID och hur lagringen av fingeravtryck hanteras i nya iPhone 5S. Själv har jag väldigt svårt att i nuläget relatera till de som uppfattar funktionen som något potentiellt riskfyllt.
Kanske är jag alldeles för naiv, men det känns i skrivande stund som en långsökt problematik med småskaliga risker; för att någon ska kunna få tag i min krypterade biometridata från iPhone 5S-processorn krävs fysisk närvaro, gedigen kompetens och ett kryddmått slarv från min sida. Detta alltså om man ska lita på det Apple säger stämmer.
Hade däremot alla iOS-användares fingeravtryck lagrats på internetuppkopplad och således NSA-vänlig server hade problemet varit betydligt mer påtagligt.
SvD slår på stora trumman
I vår geografiska närhet ger Mark Malmström på SvD sitt perspektiv kring de potentiella farornas vara eller icke vara, med en nästan överdriven lutning åt vara-hållet. Hela Malmströms resonemang grundar sig i den tveksamma frågan “Varför skulle vi vilja ge Apple våra fingeravtryck?” – något som enligt Apple själva alltså inte görs.
Malmström refererar till en annan SvD-artikel av kollegan Hannes Delling, där Christopher Kullenberg, forskare i vetenskapsteori vid Göteborgs universitet, har tagits in som sakkunnig.
Om vi för en sekund bortser från att Delling stavat fel på Kullenbergs förnamn, och även angett fel titel (Kullenberg är forskare, inte doktorand), framkommer det i artikeln att det i slutändan kommer att finnas en databas med fingeravtryck som bland andra NSA enkelt kan få tillgång till:
– I praktiken blir det ändå en databas med fingeravtryck som exempelvis NSA kan få tillgång till. NSA kan med enkla medel [få] tillgång till en sådan telefon och gå in och hämta fingeravtrycket.
NSA skulle alltså utan några större svårigheter kunna hämta fingeravtrycksdatan från iPhones, och då tillräckligt många för att det ska kunna klassas som en databas.
I artikeln citeras Kullenberg vidare, där det förklaras hur detta kan ske, även om Apple endast lagrar biometridatan lokalt:
– Det är en jättemarknad hos underrättelsetjänster. Antingen beslagtar du en iphone och har automatiska program som tar ut all data, och numera då även fingeravtryck, eller så så kan man genom en bakdörr ta sig in i telefonen via en mobilmast, då den är öppen för operatören, säger Christoffer [sic] Kullenberg.
Det låter alltså på Kullenbergs citat som att det är möjligt för någon med rätt kompetens och utrustning att via en mobilmast ta sig in i en specifik iPhone-enhet och plocka ut krypterad fingeravtrycksdata och annan känslig information som finns lagrad i en iPhones SoC-modul.
Detta är oavsett fingeravtrycksproblematiken ett oerhört intressant påstående från Kullenberg, som mer eller mindre innebär att allt som finns på en iPhone eller annan mobil nätverksuppkopplad konstant befinner sig i en potentiell fara för säkerhetsintrång. Det mest amärkningsvärda i denna artikel är att SvD:s artikelförfattare inte vidareutvecklar detta påstående. Inte en enda följdfråga om det.
Vi frågade Kullenberg
Vi har kontaktat Christopher Kullenberg som nu i efterhand ger en annan bild än den i SvD:s artikel. Han håller med vår uppfattning om att intervjun i SvD är för otydlig och svepande:
– Jag instämmer. Intervjun borde ha varit mera djuplodande. Jag fick inte möjlighet att granska vilka citat som journalisten tänkte använda. Hade jag haft den möjligheten hade jag valt att förtydliga.
Bakdörren som Kullenberg hänvisar till är exemeplvis via intrångsverktyg som säljs till myndigheter. En läckt manual från ett sådant verktyg, FinSpy, finns att läsa i sin helhet (se sida 18-20). Där framkommer det att en bakdörr först och främst måste installeras på den enhet som ska kunna ges fjärråtkomst:
“When FinSpy Mobile is installed on a mobile phone it can be remotely controlled and monitored no matter where in the world the Target is located.”
Exakt hur dessa intrångsprodukter fungerar säger sig Kullenberg inte ha kunskap om. Klart är dock att en bakdörr av något slag först måste installeras i den eller de enheter som ska kunna anslutas via fjärråtkomst. Men där är problemet lika påtagligt för datorer som mobila enheter.
– Det största problemet ligger ju i att, givet att du kontrollerar routers för webtrafik, så kan du omdirigera vanliga sidor till sidor med skadlig kod. Dock gäller en sådan attackvektor lika mycket för persondatorer som för smarttelefoner, skriver Kullenberg till Array.se.
Upp till var och en
I nuläget, innan konkret fakta läggs upp på bordet, är det helt enkelt upp till var och en av oss välja att lita på Apples säkerhet kring den lagrade fingeravtrycksdatan eller inte, och överväga om den praktiska användningen är värd de eventuella och potentiella risker som må finnas.
Klart är att man inte ska lita blint på våra stora svenska mediers rapportering kring det hela, där avlönade journalister inte ens bemödar sig med att ta reda på den sakkunnige intervjupersonens korrekta namn eller titel.
Hur känner du inför fingeravtrycksläsaren och de eventuella säkerhetsriskerna? Är du orolig?