In dit geheime veiligheidslab probeert Apple hackers voor te zijn: iCulture ging op bezoek

Als er een beveiligingslek wordt ontdekt in iOS, stuurt Apple simpelweg een update om het op te lossen. Bij de meest recente iOS 17.4 update was er zelfs sprake van tientallen beveiligingslekken die in één klap werden gedicht. Dat gebeurt op afstand en gebruikers realiseren zich vaak niet eens dat er een probleem was. Maar als er een beveiligingslek in de hardware van een apparaat wordt ontdekt, is het een ander verhaal. Een massale terugroepactie van alle iPhone 15-modellen zou ondoenlijk zijn en zou ook een schrikreactie bij gebruikers teweeg brengen: misschien is de iPhone toch niet zo veilig als ze hadden gedacht? Om dit te voorkomen wordt in een lab in Parijs geprobeerd om hardwarelekken voor te zijn.

iCulture kreeg de mogelijkheid om in Security Lab rond te kijken en demonstraties te volgen, waarin werd getoond hoe Apple te werk gaat bij het hacken en testen van de eigen apparaten. Tijdens hetzelfde bezoek hadden we ook een interview met Gary Davis, Data Protection Officer van Apple. Het was op de locatie niet toegestaan om foto’s te maken. De foto’s en bijschriften zijn van Apple.

Afgelopen november maakte Apple voor het eerst bekend dat er in de Franse hoofdstad een speciaal lab is ingericht, waar de hardwarebeveiliging van de iPhone, iPad en Mac wordt getest. Apple laat geen kans onbenut om te benadrukken hoe veilig de producten zijn en hoeveel aandacht er is voor privacy. Apple legde tijdens het bezoek aan Parijs dan ook uit, dat iPhones zonder grote aanpassingen te gebruiken zijn door mensen die extra risico lopen. Bij extra beveiligde telefoons en laptops is het gebruikelijk dat bepaalde apps worden verwijderd of dat er een speciale configuratie nodig is. Bij een iPhone hoeft dat niet: er is de Isolatiemodus voor mensen die doelwit zijn van kwaadaardige regimes en voor de rest van de gebruikers zijn de standaard instellingen van de iPhone volgens Apple veilig genoeg. Er is dan ook geen speciale iPhone-instelling voor mensen die een gemiddeld risico lopen, zoals journalisten.

In Parijs testen engineers en hackers potentiële beveiligingslekken, soms jaren voordat een product op de markt komt. Er wordt geprobeerd om op toekomstige lekken te anticiperen, voornamelijk in de chips en de verschillende onderdelen daarvan zoals de Secure Enclave en Touch ID. Apple zegt dat de eigen aanpak verschilt van traditionele security, waarbij functies achteraf worden dichtgetimmerd. In plaats daarvan is alles al ontworpen vanuit oogpunt van beveiliging: de belangrijkste beveiligingsinstellingen staan standaard al ingeschakeld en het gebruik van biometrie en het installeren van updates is zo eenvoudig mogelijk gemaakt.

Dat een simpele beveiligingsmaatregel zoals Touch ID enorme impact heeft gehad, blijkt wel uit de cijfers. Voorheen had ongeveer de helft van de gebruikers een toegangscode op de iPhone ingesteld. Ná de invoering van Touch ID in de iPhone 5s steeg dit naar meer dan 90%. Een enkele uitzondering daargelaten, zoals kortgeleden toen een iPhone uit een vliegtuig van Alaska Airlines werd geslingerd. De eigenaar van het toestel was gemakkelijk op te sporen omdat er geen toegangscode was ingesteld. Dit geeft ook wel aan dat Apple allerlei standaard beveiligingsfuncties kan inschakelen, maar dat je gegevens alsnog op straat kunnen liggen als je ze negeert of bewust uitschakelt.

Parijs is een bewuste keuze

Dat Apple het Security Lab in Parijs heeft gevestigd in plaats van Cupertino, is geen toeval. In Frankrijk is veel expertise aanwezig om cybercriminaliteit te bestrijden en de beveiliging van chipkaarten te verbeteren, waardoor goed personeel te vinden was. Op onze vraag of het lab zelfstandig onderzoek mag doen, of onder strikte controle staat vanuit Cupertino, kregen we helaas geen antwoord. Maar het is wel zo dat hardwarefouten en lekken die in Parijs worden ontdekt, meteen naar het Apple-hoofdkwartier worden gestuurd om te worden opgelost, voordat ze uiteindelijk in producten terecht kunnen komen. Apple is er dan ook trots op dat er nooit een grote data breach is geweest.

Bij hackers wordt vaak gedacht dat ze via software proberen je toestel binnen te dringen, maar er zijn ook manieren om hardwarematig de beveiliging te kraken. Bijvoorbeeld door het stroomverbruik van een chip te analyseren en te kijken wanneer het hardst wordt gerekend, wat mogelijk een aanwijzing is voor zware encryptie.

Het hackersteam onder leiding van Ivan Krstić heeft in Parijs allerlei apparatuur staan, zoals lasers om op nanometer-niveau transistors te manipuleren, Faraday-kooien om straling buiten houden, kasten waarmee de hardware aan enorm hoge en lage temperaturen bloot kan worden gesteld en meetapparatuur om het energieverbruik van een chip te meten. De kans dat een hacker op een zolderkamer over dergelijke apparatuur beschikt, is niet zo groot. En mocht dat wel het geval zijn, zoals bij state sponsored-aanvallers met veel grotere budgetten, dan is Apple de hackers hopelijk al vóór geweest.

Om dit te demonstreren mochten we een moeilijk te raden wachtwoord van 16 karakters invoeren op een Mac. Na versleuteling probeerde een labmedewerker met geavanceerde apparatuur de cryptografische sleutel te achterhalen… en dat lukte. In zo’n geval weet Apple dat de beveiliging verder aangescherpt moet worden. Door zelf te hacken weet Apple hoe de aanval is uitgevoerd en weet ook hoe de aanval geblokkeerd kan worden. Dit was slechts een vereenvoudigde demonstratie; de tests die daadwerkelijk in het lab worden uitgevoerd zijn een stuk geavanceerder. Uiteraard wil Apple niet dat naar buiten komt wat daadwerkelijk in het lab wordt uitgevoerd.

Dat het Security Lab bestaat is ook jarenlang geheim gehouden. Dat er nu meer openheid wordt gegeven over het bestaan ervan, is echter een bewuste keuze: Apple wil laten zien dat er hard wordt gewerkt om gebruikers veilig te houden. Met als achterliggende boodschap dat de EU-wijzigingen nieuwe aanvalsrisico’s met zich meebrengen die nu in sneltreinvaart aangepakt moeten worden.

Wat ons na het bezoek aan het lab in ieder geval wel duidelijk is geworden, is dat de kosten om de privégegevens van een gewone gebruiker te achterhalen, relatief hoog zijn. Daardoor is het voor hackers nauwelijks de moeite om een aanval uit te voeren. Het kost waarschijnlijk meer dan het oplevert. Apple vindt zelf dat het Bug Bounty-programma het interessanter maakt om beveiligingsproblemen aan Apple te melden, dan er misbruik van te maken.

Waar Apple vermoedelijk veel meer wakker van ligt, is professionele cybercriminaliteit en de opkomst van gespecialiseerde bedrijven die miljoenen kunnen steken in het de ontwikkeling van aanvallen, om de telefoons van invloedrijke mensen te kunnen aftappen.

Bekijk ook

Exclusief interview: Apple over DMA en de vrees voor onvoorziene iOS-dreigingen

De afgelopen vijftien jaar heeft Apple naar eigen inzicht het ecosysteem rondom de iPhone en iOS kunnen opbouwen. De Digital Markets Act (DMA) maakt daar een einde aan: het gesloten systeem moet in de EU op allerlei punten worden opengebroken. iCulture sprak met Gary Davis, Data Protection Officer van Apple, hoe het bedrijf daarmee omgaat. Hij vreest voor meer aanvallen op iOS en hoopt dat gebruikers voldoende heeft gedaan om het vertrouwen vast te houden.