Apple werkt zakelijk gebruik iOS tegen
Apple is niet open genoeg over beveiligingskwesties. Met name het verwerken van Siri-gespreksdata in de cloud roept vragen op.
Er is veel enthousiasme voor het gebruik van iPhones en iPads op de werkvloer, maar experts zeggen dat Apple’s geslotenheid over beveiligingskwesties de populariteit in bedrijven kan laten afnemen.
IBM’s CIO Jeanette Horan legde een vinger op de zere plek door te zeggen dat Big Blue de spraaktechnologie Siri op de iPhones van werknemers als kwetsbaarheid in de beveiliging beschouwt. De app wordt daarom uit voorzorg uitgeschakeld omdat de spraakinteracties naar Apple’s servers in de cloud geuploadet worden.
Cupertino hult zich in nevelen
Er heerste al enig wantrouwen over en nieuwsgierigheid naar wat Apple op de achtergrond met Siri doet. In haar licentievoorwaarden merkt Apple wel kort op dat Siri data uploadt. Maar ondanks talloze verzoeken om meer informatie over hoe Apple de spraakdata die op deze manier verzameld wordt opslaat en analyseert, geeft bedrijf geen enkele uitleg. Hier voelen sommigen zich nog onprettiger bij.
Het is niet verwonderlijk dat Apple complexe menselijke spraak in de cloud moet verwerken, zegt Chris Eng, vice-president onderzoek bij Veracode. “Er is rekenkracht voor nodig,” zegt hij. “En de iPhone 4S is daar niet krachtig genoeg voor.”
Maar wat hem dwarszit is dat er zo weinig bekend is over wat Apple met de verzamelde spraakdata van Siri doet. “Wordt deze opgeslagen? Als de data netjes verwijderd wordt, dan zou ik ook bekendmaken dat de informatie niet wordt opgeslagen. Apple moet naar buiten treden en zeggen dat de data niet wordt opgeslagen.”
Cloud van Apple blijft een mysterie
Maar aangezien Apple niet van plan lijkt om de kwestie uitgebreid te bespreken, ondanks herhaaldelijke verzoeken om informatie van onder anderen NetworkWorld.com, kunnen we niet zien wat er zich in die Apple cloud voordoet. “Je begrijpt wel waarom IBM zich zorgen maakt,” zegt Eng.
“Siri is momenteel een nieuwigheidje, een technologie die nog in de kinderschoenen staat,” zegt Daniel Ford, CSO bij Fixmo, leverancier van mobiel risicomanagement. “Siri verzamelt data over jou en stuurt deze naar de cloud van Apple.” Hij zegt dat hij niet denkt dat Apple de data met anderen deelt, maar hij erkent dat “we niet weten hoe Apple de data verwerkt.” Het verbaast hem niet dat bedrijven het uit willen schakelen.
“Ik vind Siri eerlijk gezegd doodeng,” zegt Paul Henry, beveiligings- en forensisch analist bij Lumension. Bovendien heeft Apple geen enkele uitleg gegeven over waar men de Siri-data eventueel voor gebruikt, voegt hij toe. Hij wijst erop dat Apple al eerder voor ongerustheid met betrekking tot privacy en beveiliging zorgde toen men erachter kwam dat Apple locatiedata terug naar Apple stuurde, zogenaamd om te gebruiken voor persoonlijke advertenties.
Bedroevend transparantieniveau
Het zal voor Apple lastig worden om het vertrouwen van beveiligingsmanagers van bedrijven te winnen zonder eerst Siri te bespreken, zegt Henry. Google, Microsoft en VMware zijn veel meer bereid informatie vrij te geven over de veiligheid van hun producten. Maar Apple is consumentengericht en reageert nog niet op het niveau dat IT-beveiligingsmanagers gewend zijn en vereisen.
Maar Henry merkt ook op dat Apple tekenen van verandering laat zien. Het bedrijf lijkt opener te willen zijn over veiligheid om haar Apple iOS smartphones en tablets in de bedrijfs- en overheidssector geïntroduceerd te krijgen, waar strikte veiligheidsmaatregelen worden genomen en waar men uitgebreide technische kennis van de apparatuur kan eisen.
In de eerste plaats heeft Apple afgelopen maand stilletjes “iOS Security, May 2012” gepubliceerd, waarin voor het allereerst in een simpel document uitleg wordt gegeven over de beveiliging van iOS-apparaten, zegt Henry. Niet dat niemand er voorheen ook maar iets over wist, merkt hij op. Onderzoekers zijn al jaren bezig met het onderzoeken van Apple apparatuur, maar het nieuwe document laat zien dat Apple eindelijk probeert bedrijven formeel uit te leggen wat er achter de schermen gebeurt.
Het beveiligingsdocument van Apple is een simpele technische uitleg over hoe bestand-data bescherming, encryptie, wachtwoordsystemen, certificaatsigneringsprocessen, secure boot chains, VPN-gebruik, netwerkbeveiliging, Wi-Fi en apparaattoegang allemaal veilig zouden moeten functioneren. Veel mensen zullen zeer zeker meer willen horen.
'iOS is in principe gelukkig heel veilig'
Daarnaast heeft Apple de afgelopen paar maanden samengewerkt met het ministerie van Defensie van de Australische overheid om een handleiding uit te geven voor het verharden van de beveiliging van iOS-apparaten, merkt Henry op. “Het laat duidelijk zien dat Apple de zakelijke wereld probeert te omarmen,” concludeert hij, hoewel velen zich af zullen vragen of de iPhone en iPad op dit moment bedrijfsklaar zijn. Hij voegt toe dat het fundamentele beveiligingsmodel van Apple, dat niet-geauthoriseerde apps blokkeert (zoiets als een whitelisting functie), hem wel bevalt.