Jailbreaking iOS is gevaarlijk voor bedrijven

Over de gevaren van jailbreaking, het knoeien met iOS zodat je onbegrensd apps kunt downloaden, zijn de meningen verdeeld. Deskundige Jeremy Allen raadt het af binnen een bedrijfsomgeving.

Sommigen zien jailbreaking als een toegestane vrijheid van de eindgebruiker, terwijl anderen het beschouwen als de digitale Apocalyps. Onlangs heeft Apple heimelijk en zonder uitleg de in iOS 4.0 geïntroduceerde detectie-api voor iPhone jailbreaks uitgeschakeld. Softwareleveranciers van mobiele beheersapplicaties gebruiken nu andere technieken om te achterhalen of met een toestel is geknoeid.

Naar aanleiding van Apples besluit ontspon zich een nieuw debat over jailbreaking. We vroegen om meer informatie over de relatie tussen jailbreaking en het bedrijfsleven aan Jeremy Allen, een consultant van de Intrepidus Group uit New York. Allen is gespecialiseerd in veiligheid en applicatieontwikkeling en richt zich op het iOS en de toepassingen die daarop draaien.

Volgens sommigen is jailbreaking een recht in plaats van een risico. Hoe zie jij dat?

“De pas verscheepte iOS-apparaten bieden veel veiligheid dankzij code signing. Wie leeft en speelt in de “ommuurde tuin van Steve Jobs" kan daar veel profijt van hebben. Het probleem is alleen dat grote organisaties hun medewerkers over het algemeen geen beheerrechten geven voor bedrijfsapparatuur zoals laptops, dus waarom zouden gebruikers zulke rechten dan wel mogen hebben op een iPad van het bedrijf?”

Wat voegt code signing toe aan de mobiele veiligheid?

“Code signing is een groot obstakel voor malware. Als je een programma van internet downloadt op je Windows pc, dan lees je in een pop-upvenster dat de uitgever onbekend is of dat de software bijvoorbeeld van Adobe is. Dat weet Windows dankzij code signing, want de uitgever ontvangt een certificaat van Verisign en “signeert” de code. Dit bewijst dat de ontwikkelaar de software heeft gemaakt en dat deze betrouwbaar is.

Bij iOS-apparaten krijgt de ontwikkelaar een door Apple ondertekend certificaat. Als de code is gedownload, dan zorgt Apple ervoor dat deze is verbonden met het certificaat. Als de code signing niet van Apple is, dan kun je deze niet draaien op je iOS-apparaat. Het creëert dus een veilige omgeving. Doordat alle code die je op je mobiele apparaat wilt draaien door Apple moet zijn erkend, kun je een heleboel problemen voorkomen.”

Wat gebeurt er nou precies bij jailbreaking?

“Hiermee maak je de meeste code signing-controles onklaar. Apple biedt zowel openbare als private api’s aan in iOS. Apps in de App Store gebruiken alleen de openbare api’s. Private api’s zijn niet noodzakelijkerwijs geheim, maar alleen Apple kan ze gebruiken en op ieder moment aanpassen.

Dankzij jailbreaking kun je de private api’s gebruiken. Hierna kon je bijvoorbeeld multitasking in iOS 3.0, wat Apple deels mogelijk maakte in 4.0. Je hebt meer controle over de apps die je ontwikkelt. Bovendien kun je alles wat je wilt op iPhone zetten. Feitelijk is het een Unix-apparaat, dus je kan SSH (Secure Shell) installeren, een tunnel opzetten en je telefoon gebruiken voor iets als tethering. Ook kun je het grafische uiterlijk van je iPhone behoorlijk naar je hand zetten.”

Wat zijn de risico’s van ‘jailbroken’ apparaten?

“Omdat je alle soorten code op je toestel kan draaien, kun je ook malware binnenhalen waarmee e-mails of andere persoonlijke informatie wordt gestolen. Meestel installeren jailbreak-gebruikers software van Cydia (een open source beheertool en online winkel), maar niemand weet waar die code vandaan komt. Kwaadwillenden kunnen een backdoor aan die programma’s toevoegen, veel eenvoudiger dan op de servers van Apple.

Daarnaast is het gebruikerswachtwoord zwakker als je SSH installeert en configureert, waardoor iedereen gemakkelijk je mobieltje kan kapen. Dit kunnen allemaal slechte en onverwachte gevolgen zijn van jailbreaking. Toch is de kans klein dat iemand “jailbroken” iPhones aanvalt, omdat er nog maar weinig zijn. Vanuit het standpunt van de ontwikkelaar van malware is het een te klein podium.”

Welke ervaring heb je zelf met jailbreaking in het bedrijfsleven?

“Bedrijven zijn aan het experimenteren met iOS. Het iOS versie 4.0 was gericht op het beheren van mobiele apparaten, maar jailbreaking zet dat allemaal op losse schroeven. Zelfs als je je eigen iOS-apparaat meebrengt eist de systeembeheerder nog dat je veiligheidsinstellingen goed moeten zijn als je toegang wilt tot de e-mail van je organisatie.

Veel eindgebruikers zijn zich niet bewust van de risico’s van een jailbreak. Volgens sommigen is het geen groot probleem, en daar ben ik het tot op zekere hoogte mee eens. Maar veel van de functionaliteiten die je krijgt met een jailbreak zijn niet echt nodig en je toestel wordt er minder veilig door. Dus waarom zou je het dan doen?”

Hoezo is het geen groot probleem?

“Hierover hebben we altijd veel discussie bij de Intrepidus Group. We zijn het erover eens dat jailbreaking geen “doodvonnis” betekent. IT-professionals die hun apparaat jailbreaken weten wat ze doen en ze kennen de risico’s.

Maar veel eindgebruikers die het doen veranderen niet eens het root-wachtwoord. Dat is het probleem: als je weloverwogen te werk gaat, is het net zoiets als “administrator” zijn als je programma’s installeert op je laptop. Maar op je iPhone kun je dat (legaal) niet doen en het toestel is erop gemaakt om het zelf te regelen. Als je dit verandert door jailbreaking, dan neem je de verantwoordelijkheid voor iets wat de telefoon zou moeten doen.

Jailbreaking kan dus wel een groot probleem zijn voor eindgebruikers. Het resultaat is technologisch niet anders dan bij de meeste andere online apparaten. Gebruikers die hun mobiele apparaat mee naar het werk willen nemen, moeten echter accepteren dat zij geen onderdelen mogen verwijderen die het apparaat minder veilig maken.”

Zijn jailbreak detectietools van derde partijen betrouwbaar?

“Apple heeft zijn mobiele management api’s aan deze leveranciers gegeven, maar wel onder een NDA (non-disclosure agreement). Wij kunnen deze niet zien, en we weten dus ook niet hoe ze worden gebruikt. Apple geeft deze informatie niet eens aan het Amerikaanse Ministerie van Defensie.

Het is altijd een uitdaging om een applicatie te maken die dingen probeert te doen die eigenlijk niet kunnen. Bovendien is het nog maar de vraag of het over zes maanden nog werkt, want hackers zullen altijd een stap voorliggen."

Apple biedt een overzicht van problemen die worden veroorzaakt door jailbreaking.

Deel dit artikel
Voeg toe aan favorieten