Turvallisuusasiasiantuntijat yllättyivät Applen ratkaisusta – jätti iOS 10:n ytimen salaamatta

Apple esitteli syksyllä julkaistavaa iOS 10 -käyttöjärjestelmää kesäkuussa ja laittoi samalla sovelluskehittäjille jakoon sen ensimmäisen testiversion. Tuota testiversiota tutkineet turvallisuusasiantuntijat ovat yllättyneet, sillä Apple on jättänyt iOS 10:n kernelin eli käyttöjärjestelmän ytimen salaamatta, uutisoi MIT Techonology Review.

Apple ei ole kertonut syytä ytimen salaamattomuudelle, mikä on saanut monet arvuuttelemaan asiaa. Salaamaton ydin on kenen tahansa tutkailtavissa, mikä auttaa merkittävästi etsimään siitä haavoittuvuuksia. Kyse on sen verran merkittävästä asiasta, että Apple tuskin on julkaissut ytimen salaamattomana vahingossa.

Salaamaton ydin ei varsinaisesti vaaranna käyttäjiä, mutta se helpottaa takaisinmallinnusta (reverse engineering), mikä taas tekee haavoittuvuuksien etsimisestä helpompaa. Yksi mahdollisuus olisikin, että Apple toivoo mahdollisimman monien etsivän koodista virheitä, mikä auttaisi Applea nitistämään käyttöjärjestelmän vikoja. Applella ei kuitenkaan ole niin sanottua bug bounty -järjestelmää, eli virheiden raportoinnista ei makseta säännöllisiä palkkioita.

Toinen mahdollinen syy kernelin salaamattomuudelle saattaa liittyä San Bernardinon ammuskelijan käyttämän iPhonen avaamiseen. Apple kieltäytyi avaamasta puhelimen lukitusta, joten FBI osti palvelun ulkopuoliselta taholta, oletettavasti varsin isolla rahasummalla. Kun käyttöjärjestelmän ydin avataan kaikelle kansalla, heikentyvät tällaisia avauspalveluita tarjoavien yritysten markkinat selvästi.

iOS-turvallisuusasiantuntija Jonathan Zdziarskin mukaan kyseessä on uhkarohkea temppu Applelta, mutta hän sanoo ymmärtävänsä syyt, joiden vuoksi Apple tällaisen liikkeen on tehnyt.