Teknologiayhtiö Apple on ilmoittanut korjaavansa iPhone-puhelimissa ilmenneen tietoturva-aukon, jonka avulla viranomaiset ovat päässeet käsiksi lukittujen puhelimien tietoihin.
Talousjulkaisu Forbes uutisoi maaliskuussa Applen entisen tietoturvakehittäjän luotsaamasta Grayshift-nimisestä yhtiöstä, joka markkinoi viranomaisille työkalua lukittujen puhelimien avaamiseen. Yhtiö väittää GrayKey-työkalunsa pystyvän avaamaan uusimpia iOS-käyttöjärjestelmiä pyörittävät iPhonet.
Grayshift tarjoaa viranomaisille kahta pakettia. 15 000 dollarilla viranomaiset saavat 300 avauskertaa, eli yhden puhelimen lukituksen avaamisen hinnaksi tulee 50 dollaria. 30 000 dollarilla viranomaiset saavat rajattoman määrän lukituksen murtoja.
Teknologiajulkaisu Motherboardin mukaan GrayKey-laitteita on käytössä useiden osavaltioiden viranomaisilla.
Poliisille jää tunnin aikaikkuna avata lukitus
GrayKey on hieman tupakka-askia isompi laatikko, johon voi kytkeä kaksi puhelinta. Parissa minuutissa laite asentaa alatason ohjelman puhelimelle. Tämän jälkeen kestää muutamasta tunnista muutamaan päivään kunnes puhelin kertoo lukituksen avaamiseen tarvittavan salasanan.
Forbesin haastattelemat tietoturva-asiantuntijat eivät povanneet GrayKeylle pitkää ikää. Toisin kuin iPhonen salauksen murtamisesta tunnettu Cellibrite, joka pyytää viranomaisia lähettämään puhelimen heille avattavaksi, Grayshift tarjoaa viranomaisille fyysisen laitteen puhelimien avaamiseen. On ollut vain ajan kysymys, koska Apple saa laiteen käsiinsä ja kaivaa esille sen toimintaperiaatteen.
Applen mukaan aukon korjaaminen on tosin ollut työn alla jo ennen kuin tiedot GrayKey-laitteesta tulivat julkisuuteen. Ratkaisu on yhtiön mukaan ollut olemassa uusimpien iOS-käyttöjärjestelmien kehittäjäversioissa.
Applen korjauspäivityksen jälkeen puhelin katkaisee kaiken tiedonsiirron USB-portin kautta, kun laite on ollut lukittuna yli tunnin. Tämän jälkeen USB-porttia voidaan käyttää ainoastaan puhelimen lataamiseen. Viranomaisille jää siis tunnin aikaikkuna saada takavarikoitu puhelin liitettyä GrayKey-laitteeseen.
Viranomaiset haluavat takaportin
Yhdysvalloissa viranomaiset ovat vuosien ajan vaatineet laajempia mahdollisuuksia päästä käsiksi salattuihin tietoihin. Erilaisten salausteknologioiden käyttö lisääntyi merkittävästi sen jälkeen, kun Yhdysvaltain tiedustelupalvelu NSA:n työntekijä Edward Snowden paljasti Yhdysvaltain hallinnon harjoittaman laajamittaisen verkkovalvonnan vuonna 2013.
Viranomaiset ovatkin vaatineet teknologiayhtiöitä luomaan järjestelmiinsä takaportteja viranomaisia varten. Kiista huipentui kaksi vuotta sitten, kun Yhdysvaltain oikeusministeriö yritti taivutella Applea murtamaan San Bernardinossa 14 ihmistä surmanneen miehen iPhonen salauksen.
Apple kieltäytyi toistuvasti, ja lopulta FBI löysi ulkopuolisen yhtiön, israelilaisen Cellibriten, joka onnistui avaamaan murhaajan puhelimen.
Takaportin luominen viranomaisia varten ei ole ongelmatonta. Periaatteessa kyse on uuden haavoittuvuuden luomisesta. Aukosta, josta viranomaiset pääsevät käsiksi tietoihin, pääsevät myös muutkin. Osa tiedusteluviranomaisten käyttämistä keinoista onkin vuotanut nettiin.
Tietoturva-asiantuntijat pitävätkin nykyistä toimintatapaa parhaana. Siinä Apple julkistaa puhelimen, minkä jälkeen Cellibriten ja Grayshiftin kaltaiset yritykset yrittävät löytää keinoja laitteen salauksen murtamiseksi. Seuraavassa versiossa Apple on tilkinnyt nämä aukot ja seuraava kierros alkaa.
Reilu tuhat puhelinta jää lukkoon
Vaikka puheet takaportin tarpeellisuudesta ovat viime aikoina taas nousseet esille, yhdysvaltalaisviranomaiset tuntuvat pärjäävän hyvin ilmankin.
Kaksi vuotta sitten FBI kertoi viraston pystyvän avaamaan suurimman osan sen hallussa olevista puhelimista. Liittovaltion poliisi on käyttänyt yli kaksi miljoonaa dollaria työkaluihin, joilla salauksia voidaan murtaa.
Keväällä FBI:n tuore johtaja Christopher Wray kertoi tilanteen vaikeutuneen. Hänen mukaansa liittovaltion poliisilta jäi viime vuonna avaamatta lähes 7 800 puhelinta. Wrayn mukaan yli puolet viranomaisten yrityksistä karahti kiville.
Toukokuussa Washington Post kuitenkin kertoi Wrayn liioitelleen murtamattomien puhelinten määrää. Lehden mukaan todellinen lukumäärä oli 1 000–2 000.
FBI syytti ohjelmointivirhettä väärästä tiedosta.