Quarkslab is een bedrijf dat onderzoek doet naar beveiliging van computers, in hun eigen woorden op hun eigen site: "Quarkslab is a research company specialized in cutting edge solutions to complex security problems". Dit bedrijf trok onze aandacht omdat het een paar dagen geleden een 'white paper' publiceerde waarin ze zeiden dat Apple de boodschappen die we met Berichten (iMessage of Messages) op je Mac of iDevice verstuurd zou kunnen lezen. De inhoud daarvan zou dan aan overheidsdiensten gegeven worden als daarom gevraagd wordt of als ze daartoe gedwongen worden.

Quick answers

• What we are not saying: Apple reads your iMessages.
  
• What we are saying: Apple can read your iMessages if they choose to, or if they are required to do so by a government order.

Wat er daarna volgt is een uitgebreide uitleg van wat ze allemaal onderzocht hebben, waar twee punten staan die we interessant vonden:

• if the device is connected to iPhone Configuration Utility, Apple's enterprise solution for management of iPhones, a trusted CA is added. Consequence is that all subsequent certificates signed by that CA will be trusted to create the SSL communication. It means all companies using that are able to retrieve their employee's AppleID and password by simply proxifying the SSL communication.
  
  
• So, yes, there is end-to-end encryption as Apple claims, but the weakness is in the key infrastructure as it is controlled by Apple: they can change a key anytime they want, thus read the content of our iMessages.

Dat eerste punt lijkt ons belangrijk om te weten voor mensen die een iPhone van hun werkgever hebben in een bedrijf waarbij de iPhone met behulp van de iPhone Configuration Utility beheert wordt. Het lijkt voor de hand te liggen dat je werkgever dan controle heeft over jouw iPhone, maar het lijkt de moeite dat je dan ook weet dat die werkgever eventueel je Apple ID en wachtwoord kan achterhalen.

Het tweede punt lijkt ons een vooral een aanname, en we waren dan ook benieuwd wat Apple hierop zou zeggen. Inmiddels is die reactie er via woordvoerster Trudy Muller van Apple:

iMessage is not architected to allow Apple to read messages. The research discussed theoretical vulnerabilities that would require Apple to re-engineer the iMessage system to exploit it, and Apple has no plans or intentions to do so.

Apple tot nu altijd een bedrijf geweest dat ons als klanten ziet en niet als het product, wat bij bedrijven die ons allerlei dingen 'gratis' aanbieden bijna altijd wel het geval is, de kans dat Apple zelf data gaat bekijken en doorgeven lijkt ons in ieder geval nihil en we geloven de verklaring dan ook.

In deze context lijkt het de moeite om dit stukje tekst van Daring Fireball's John Gruber hier te herhalen:

In a discussion with a source at Apple earlier this year, I was told that some time ago word came down from the top that wherever possible, Apple’s messaging services should be designed in a such a way that there is nothing - or, at least, as little data as possible - stored or logged for law enforcement agencies to ask for. And the same is true of decrypting content while in transit.

An uncynical take on this: Apple cares about customer privacy and knows that storing nothing at all is the only way to protect it. A cynical take: Apple seeks to wash its hands of any possible involvement in such matters

De vraag lijkt ons niet of je Apple hierin vertrouwt, maar hoe gevoelig de informatie is die je online deelt en verstuurt. Met name het nieuws dat de NSA een vinger in de pap had bij het opstellen van de encryptie-sleutels die al dit soort communicatie veilig zou moeten maken doet ons afvragen of daar niet het grootste probleem zit. Want als die de versleutelde informatie onderweg kunnen oppikken en lezen dan heeft Apple daar natuurlijk geen invloed op, maar maakt dat onze communicatie wel veel minder vertrouwelijk.