FBI kraakt de ‘onkraakbare’ iPhone toch

Beveiliging De Amerikaanse justitie blaast een rechtszaak tegen Apple af. De iPhone van een terrorist blijkt toch toegankelijk.

De FBI heeft de hulp van Apple toch niet nodig om toegang te krijgen tot data van de iPhone van één de aanslagplegers in San Bernardino. Bij die schietpartij kwamen vorig jaar 14 mensen om het leven.

Het beroep in de rechtszaak, die de FBI in februari tegen Apple aanspande, is afgeblazen, bleek maandagnacht. Het bedrijf werd door de rechter gedwongen mee te werken aan het ontgrendelen van het toegangsslot op de telefoon. Dat wist de data op het toestel automatisch na tien verkeerde inlogpogingen.

De FBI vroeg software om toegang te krijgen tot één telefoon.„Als Apple zijn gemene waakhond in het gareel houdt, dan kunnen wij even aan het slot van de voordeur morrelen”, aldus FBI-directeur James Comey.

Apple weigerde dit. Volgens topman Tim Cook zou het een verkapt achterdeurtje zijn dat de FBI ook kan gebruiken voor andere, in beslag genomen telefoons.

Cook zette alles op alles om publieke verontwaardiging te genereren. Apple noemde de software intern ‘GovtOS’ (als een overheidsvariant op besturingssysteem iOS). Het zou gevolgen hebben voor de veiligheid van honderden miljoenen iPhones. Ieder mens heeft recht op goede beveiliging, aldus Cook. Zo leidde de rechtszaak tot een publieke discussie over gebruik van encryptie.

De FBI beriep zich op de All Writs Act, een wet uit 1789 die eind vorige eeuw nog gebruikt werd om telefoonmaatschappijen te dwingen bellers in de gaten te houden.

Apple wilde niet afhankelijk zijn van rechters en stuurde aan op politieke bemoeienis. Op 1 maart volgde een hoorzitting in het Congres. Daar bezwoer FBI-directeur James Comey dat er geen andere manier was om de telefoon te kraken. „We hebben alles geprobeerd.”

Is de iPhone toch onveilig?

De FBI stond echter al zwak. Een dag eerder had een rechter in New York een soortgelijk verzoek geweigerd; het ging daarbij om de iPhone van een drugsdealer. Bovendien gaf FBI-directeur Comey toe dat politieambtenaren hadden geblunderd met een wachtwoord op de telefoon.

Het is niet verbazingwekkend dat de FBI erin slaagt om zonder hulp van Apple toegang tot de data van een ouder type iPhone te krijgen. De betreffende iPhone 5C is nog niet op alle denkbare manieren beveiligd. Zo zit er geen aparte beveiligingschip in – bij nieuwere modellen wel.

Wat verbaast is dat het zo lang geduurd heeft. Nota bene klokkenluider Edward Snowden meldde dat de Amerikaanse geheime dienst NSA wel de middelen in huis heeft om de betreffende telefoon te kraken.

Apple vreesde dat de FBI een achterdeurtje ook zou gebruiken voor andere in beslag genomen telefoons

Specialisten zetten vraagtekens bij de technische kennis van de FBI. Wellicht hield de FBI zich bewust van de domme: een gevoelige, aan terrorisme gerelateerde zaak, zou de weg vrij maken om makkelijker toegang te krijgen tot andere telefoons.

De FBI werd overspoeld met tips van leveranciers van forensische software, waaronder Cellebrite uit Israël. Zo werd de data uit de telefoon veilig gesteld. Al is deze zaak afgeblazen, de FBI houdt de optie open om in de toekomst tech-bedrijven toch te dwingen versleutelde toestellen te openen.

Apple reageert: „Deze rechtszaak had helemaal nooit plaats moeten vinden.” Het bedrijf geeft geen commentaar op het feit dat de iPhone 5C blijkbaar te kraken is. Elke toestel is te kraken, mits je er genoeg tijd en middelen aan besteedt. De versleuteling an sich is meestal niet de zwakste plek. Dat zijn fouten in de miljoenen regels code, die door de fabrikant over het hoofd worden gezien.

Dat zulke kwetsbaarheden ontdekt worden en dan weer gerepareerd, hoort bij het spel – de wapenwedloop tussen aanvallers en verdedigers. Maar dat fouten er bewust in gestopt worden, hoort niet bij het spel.