Zijn iPhone-gebruikers nu kwetsbaar?
- 29 maart 2016
Gisteren trok de FBI haar verzoek aan Apple in om de beveiliging van een telefoon te verzwakken. “The government has now successfully accessed the data stored on the […] iPhone and therefore no longer requires the assistance from Apple […],” zegt de FBI nu. Wat ons betreft zijn er nu twee belangrijke vragen.
In de eerste plaats is het belangrijk dat helder wordt hoe de FBI de telefoon nu opeens wél heeft kunnen uitlezen. Heeft de FBI daar een tot op heden nog onbekende kwetsbaarheid voor gebruikt of een andere truc toegepast? Het belang laat zich makkelijk uitleggen: als de FBI een onbekende kwetsbaarheid gebruikte, dan zijn alle gebruikers met diezelfde telefoon nog altijd kwetsbaar. Want criminelen kunnen die kwetsbaarheid ook misbruiken. Alleen als Apple wordt geïnformeerd over de kwetsbaarheid kan zij de kwetsbaarheid dichten. En alleen dan kunnen gebruikers hun telefoon zo veel mogelijk vertrouwen.
Overigens is dat ook een boodschap aan ons eigen kabinet. Onze maatschappij wordt veiliger als kwetsbaarheden in onze digitale systemen zo snel mogelijk worden opgelost. Dat betekent dat de overheid, als zij onbekende kwetsbaarheden tegenkomt, die zo snel mogelijk moet melden aan de ontwikkelaars van die software. De makers moeten gestimuleerd worden om die kwetsbaarheden zo snel mogelijk te repareren. En de overheid moet zichzelf onthouden van het misbruik van die kwetsbaarheden – en dat is precies de voornaamste reden waarom het hackvoorstel zo’n slecht idee is.
In de tweede plaats moet duidelijk worden wat de FBI nou eigenlijk écht wilde met die rechtszaak tegen Apple. Het voelt wat gek dat de FBI de rechter om zo’n ingrijpende oplossing vraagt, maar naderhand schijnbaar eenvoudig de telefoon van de verdachte kan ontsleutelen. Ging het de FBI écht om de gegevens van die specifieke telefoon, of gebruikte ze de casus om een ander punt te maken? Hoe kan de FBI de nu toegepaste oplossing eerder over het hoofd hebben gezien? En hoe serieus moeten we de FBI nog nemen als ze voor de rechter verklaart dat ze écht meer bevoegdheden nodig heeft?
De achtergrond van dit verhaal? In het onderzoek naar de schietpartij in San Bernardino vorig jaar probeerde de FBI de gegevens van een telefoon van een van de schutters uit te lezen. Dat wilde niet lukken, onder meer ook doordat de politie direct na het incident cruciale fouten maakte. Daarom vroeg de FBI via de rechter Apple om speciale software te schrijven waarmee de beveiliging van de telefoon wordt verzwakt. Apple weigerde dat: die software verzwakt potentieel de beveiliging van alle soortgelijke telefoons en maakt elke gebruiker kwetsbaar. Een paar weken later kwam de FBI terug op haar verzoek: “als gevolg van de wereldwijde aandacht voor deze zaak hebben anderen contact met ons opgenomen over mogelijkheden om in te breken op de telefoon.” Of die hulp er nu ook daadwerkelijk aan bijgedragen heeft dat de FBI de telefoon nu wel kan uitlezen, is niet bekend.