Wanneer je een smartphone jailbreakt, pas je het besturingssysteem zo aan dat je er applicaties van derden op kunt zetten. Je bent zo niet langer afhankelijk van Apple’s iTunes App Store.
Lees ook:
'Antivirus op de Mac onontkoombaar'
Android malware: hoe open kun je zijn?
Alles over het rooten van Android
De meningen hierover verschillen. Zo wordt er gezegd dat het inbreuk maakt op de gebruiksvoorwaarden van het apparaat en dat het dus een illegale handeling is; anderen prijzen de mogelijkheid en de vrijheden die de eindgebruiker zich hiermee verwerft.
Onlangs schakelde Apple een API van iOS 4.0 uit waarmee na kan worden gegaan of een iOS-apparaat gejailbreakt is. Waarom Apple tot deze stap besloten heeft, blijft voorlopig nog onduidelijk. Wel is hierdoor een nieuw debat ontstaan over de legitimiteit van een jailbreak. Keurt Apple door deze stap immers jailbreaking niet impliciet goed?
We besloten een expert over jailbreaken en de zakelijke consequenties hiervan te interviewen. Jeremy Allen is consultant bij de Intrepidus Group, een bureau uit New York gespecialiseerd in mobiele beveiliging. Allen heeft een achtergrond in de ontwikkeling van mobiele applicaties. Zijn focus ligt bij iOS en de applicaties die op dit platform draaien.
Sommigen zeggen dat het jailbreaken van iOS een recht is en geen risico. Hoe zie jij dat?
Ik denk dat iOS-apparaten relatief veilig zijn doordat alles wat je op het apparaat installeert een digitale handtekening vereist. Wanneer je leeft in de “Afgesloten Tuin van Steve”, zoals ik al genoemd heb zien worden, dan brengt dat een hoop voordelen met zich mee. Het probleem is alleen dat veel organisaties gebruikers geen beheerderrechten toekennen op bedrijfsapparatuur [zoals bijvoorbeeld laptops]. Waarom zou je die rechten wel toekennen op een iPad?
Wat betekenen digitale handtekeningen voor mobiele beveiliging?
Ondertekende code is een gigantisch obstakel voor malware. Op een Windows pc krijg je, wanneer je een programma van internet download, een pop-up die je vertelt ‘uitgever: onbekend’ of ‘uitgever: Adobe’, enzovoorts. Windows komt daar achter doordat de code ondertekent is door een partij als Verisign, die een digitale handtekening verstrekt. Dat is voor jou, de ontwikkelaar, de bevestiging dat jij de auteur van de code en te vertrouwen bent.
Bij iOS krijg je als ontwikkelaar een certificaat ondertekend door Apple. Als de code wordt gedownload, checkt Apple of de code aan het certificaat is toegkend. Als de code niet door Apple ondertekend is, kun je het niet draaien. Hierdoor is er een veilig speelveld. Door te forceren dat de code die je op het mobiele apparaat draait ondertekend is door Apple, voorkom je een hoop problemen.
Wat doet een jailbreak precies?
Het schakelt de meeste controles op digitale handtekeningen uit. Apple biedt [in iOS] publieke en private API’s. Apps uit de App Store gebruiken enkel de publieke API’s. Private API’s zijn niet geheim, maar alleen Apple gebruikt ze en kan ze aanpassen.
Jailbreaken laat je de private API’s ook gebruiken. Hierdoor kon je al zaken als multitasking in iOS 3.0 gebruiken [voordat Apple het in iOS 4.0 toepaste]. Je hebt meer controle over de applicaties die je schrijft. Daarnaast kun je vrijwel alles op je iPhone zetten. Het is, hoe je wendt of keert, een Unix-apparaat. Dus je kunt via SSH (Secure Shell) een tunnel opzetten om bijvoorbeeld je telefoon voor tethering te gebruiken. Ook kun je de grafische look & feel van de iPhone drastisch veranderen.
Wat zijn de risicos van gejailbreakte apparaten?
Iedere code kan op je telefoon gaan draaien: denk maar aan malware die e-mail steelt bijvoorbeeld. Gebruikers installeren hun software via Cydia [een open-source applicatiewinkel], maar wie weet waar die code vandaan komt? Je kunt makkelijker een backdoor binnen zo’n app installeren dan op Apple’s servers inbreken.
Daarnaast, als je SSH installeert en configureert, dan is het zwakke punt het root-password. Als dat een zwak wachtwoord is en gekraakt wordt, dan verschaf je derden complete toegang tot je telefoon. Er zijn meerdere nare consequenties van een jailbreak.
Ik moet wel zeggen dat de kans op hackers gering is, aangezien er niet zoveel gejailbreakte toestellen zijn. Voor een ontwikkelaar van malware – die software wil schrijven die overal draait – is het maar een klein publiek.
[Apple heeft trouwens een lijst opgesteld met problemen die jailbreakers kunnen ervaren.]
Wat is jouw ervaring met jailbreaken in enterprise IT omgevingen?
Organisaties willen weten of het gebeurt. De lancering van iOS 4.0 was gericht op mobile device management: jailbreaken omzeilt alle beperkingen. Zelfs als het gaat om een persoonlijk iOS-apparaat, zegt IT: “We weten dat het jouw toestel is, maar als je zakelijke e-mail wilt gebruiken, staat beveiliging voorop.”
Veel eindgebruikers weten niet welke risico’s ze met een jailbreak lopen. Sommigen zeggen dat ‘jailbreaken niet zoveel uitmaakt’. Dat is naar mijn mening onterecht. Veel gebruikers hebben de extra functionaliteit van een jailbreak niet nodig; het maakt de telefoon onnodig onveilig. Waarom zou je het dan doen?
Waarom zeg je dat een jailbreak niet zoveel uitmaakt?
Binnen ons bedrijf voeren we veel gesprekken over dit onderwerp. We zijn het erover eens dat een jailbreak geen acuut risico vormt. Als je een IT-professional bent, weet je waarschijnlijk wel wat een jailbreak veroorzaakt. Je wordt geacht de risico’s te kennen.
Maar veel eindgebruikers passen een jailbreak toe zonder het root-wachtwoord te veranderen. Dat is het grote probleem. Als je een weloverwogen besluit neemt, is het als op je laptop beheerderrechten hebben om programma’s te installeren. Maar op de iPhone kun je dat niet legaal doen en wordt de telefoon aan zijn lot overgelaten. Als je jailbreakt, neem je zelf de verantwoordelijkheid voor wat de telefoon anders voor jou zou doen.
Daarom zou ik zeggen dat een jailbreak zeker wat uitmaakt. Maar technisch gezien verschilt het niet zoveel met andere apparaten die met internet verbonden zijn. Als gebruikers hun mobiele apparaat zakelijk willen gebruiken, zullen ze moeten accepteren dat je geen zaken weghaalt die de telefoon onveiliger maken.
Zijn er tools van derden die jailbreaks kunnen opsporen?
Apple heeft zijn management API’s aan verschillende leveranciers verstrekt, maar onder een NDA (Non-disclosure agreement). Jij en ik kunnen ze niet zien of weten hoe ze gebruikt worden. Apple geeft deze informatie zelfs niet aan het Ministerie van Defensie in de VS.
-
-
Er zijn nog geen reacties.Reageer
Preview