Apple erkjenner eksistensen av noen tidligere udokumenterte tjenester som kan hente ut persondata fra iPhone og iPad, men avviser alle påstander om at dette er noe skummelt.

Det var i helgen at sikkerhetsekspert Jonathan Zdziarsk beskrev det han hevder er bakdører som kjører på 600 millioner iOS-enheter. Ifølge ham er innholdet kryptert bare når enheten er skrudd av.

Straks enheten er på og låst opp minst én gang, så skal disse tjenestene kunne omgå enhver backup-kryptering, pinkode eller tastelås for å hente ut persondata over USB-kabel eller WiFi.

Zdziarsk mente funksjonene var mistenkelige, og fant det lite sannsynlig at de blir brukt til feilsøking, utvikling eller av Apples egen kundestøtte. Videre hevdet han at dette åpner for misbruk.

Apple svarer
I går rykket Apple ut og beskrev offentlig for første gang tre av disse tjenestene. Hver av dem er nettopp ment brukt til feilsøking, og er myntet på IT-avdelinger, utviklere og Apples kundeservice, oppgir selskapet i en helt ny supportartikkel.

Apple har også sendt ut en uttalelse der de avviser enhver påstand om at de noensinne har samarbeidet med myndigheter eller statlige etater i noe land om å skape bakdører i produkter eller tjenester. En journalist i Financial Times har delt uttalelsen i en twittermelding.

– Misledende
Jonathan Zdziarsk er ikke fornøyd med svarene fra Apple.

– Jeg har aldri beskyldt Apple for å samarbeide med NSA. Det betyr likevel ikke at myndighetene ikke kan utnytte bakdørene. Det som bekymrer meg er at Apple ser ut til å fullstendig mislede om enkelte av dem, særlig «mobile.file_relay», og de unngår å svare om andre problemstillinger jeg har reist, skriver han i et lengre blogginnlegg.

Han kan ikke forstå at en tjeneste som file_relay skal ha adgang til å hente ut alle bilder, tekstmeldinger, notater, hele adresseboka, historikk over gps-data, skjermdump av det siste brukeren så på og «et tonn andre persondata» bare for å drive feilsøking.

– Feilsøking er det stikk motsatte av uthenting av slike data. Og igjen, brukeren blir aldri informert eller bedt om samtykke for retten til å trekke ut alt dette. Apple insisterer på at AppleCare (kundestøttetjenesten) får slikt samtykke, men det må si så fall være et muntlig samtykke. Hvis dette virkelig handler om feilsøking, så skulle man tro tjenesten respekterte backup-krypteringen, slik at alt som hentes ut av telefonen var kryptert med brukernes passord. Når jeg tar laptoppen med til Apple for reparasjon, så må jeg jo gi dem passordet mitt, utdyper han.

Zdziarsk er også dypt skeptisk til at den samme tjenesten, han kaller det fortsatt bakdør eller «bakdør», også kan dumpe dataene fra iOS-enheter over trådløs forbindelse, igjen uten samtykke eller at brukeren får vite noe.

Så ønsker han også å berømme Apple for at de omsider erkjenner eksistensen av tjenestene han har reagert så kraftig mot.

– Før nå har det ikke eksistert noe dokumentasjon om file_relay overhodet, eller noen av dens 44 ulike datatjenester for å kopiere ut persondata fra enheten. Apple ser ut til å mislede om disse mulighetene, og det bekymrer meg at de nedtoner dette, skriver sikkerhetseksperten.

Han gjentar også nå poenget som digi.no vinklet saken på tidligere denne uken, nemlig at han ikke mener det er grunn til panikk.

– Jeg har aldri antydet at dette er en konspirasjon. Som vanlig har media fullstendig avsporet intensjonen bak foredraget mitt.

Han har publisert alle lysbildene fra dette foredraget (pdf).

Zdziarsk, også kjent under pseudonymet «NerveGas», avdekket funnet sitt under hackerkonferansen HOPE/X i New York denne helgen. Selv jobber han profesjonelt med såkalt forensics-vitenskap og får betalt for å bryte seg inn i utstyr fra Apple. Zdziarsk deltok i utviklingen av mange av de første såkalte jailbreak-verktøyene som knakk kopisperren og åpnet for installasjon av uautorisert programvare på iPhone.

Vladimir Putin har ifølge Kreml (på russisk) undertegnet en lov som offisielt tar sikte på å bedre behandlingen av personopplysningene til russiske borgere i IT- og telenett. Men ifølge loven pålegges aktører som oppbevarer personlige data om russiske innbyggere å lagre dataene i databaser i Russland og bare der. Operatørene av databasene pålegges også å oppgi informasjon om plasseringen av slike databaser.

Ifølge avisen Russia Beyond the Headline (RBTH) gjelder loven fra september 2016.

Loven får trolig store konsekvenser for både ikke-russiske tjenester og bruker av disse. For tilsynelatende må disse aktørene enten skille mellom russiske og ikke-russiske brukere når persondataene skal lagres, eller så risikerer de at tjenesten blir blokkert i Russland.

Ifølge Izvestia skal Facebook allerede i midten av juli ha sendt en delegasjon med Thomas Myrup Kristensen i spissen til Russland for å diskutere konsekvensene av den kommende loven med ledere ved Roskomnadzor, den føderale tjenesten med ansvar for tilsynet over kommunikasjon, IT og massemedier i Russland.

Kristensen har tittelen «Director Public Policy, Nordics, Central & Eastern Europe and Russia» i Facebook.

Ifølge RBTH mener bransjeorganisasjonen RAEC (Russian Association for Electronic Communications) at et resultat av den nye loven vil kunne bli umulig for russiske innbyggere å bruke nettstedene til utenlandske flyselskaper, eller å booke hotellrom via internasjonale bookingsystemer fordi dataene da vil lagres utenfor Russland.

Andre russiske bransjefolk RBTH har intervjuet, mener at loven vil måtte modifiseres før den settes kraft, i alle fall når det gjelder problemet som kan oppstå ved booking av flybilletter.

For tjenester som primært er rettet mot innbyggerne i Russland, vil loven være forholdsvis enkelt å etterkomme, selv om nok en del tjenester vil måtte flyttes fra utenlandske nettskyer og serverparker til tilsvarende anlegg i Russland. For internasjonale aktører med storparten av virksomheten i andre land enn Russland, vil loven gi større utfordringer.

Inntektene til Facebook har løftet seg 60 prosent til 2,9 milliarder dollar siste kvartal, viser tallene de la fram i går.

Bunnlinja er mer enn doblet.

Driftsresultatet endte på 791 millioner dollar, en oppgang på 138 prosent sammenlignet med det samme kvartalet i fjor.

I åtte kvartaler på rad har Facebook overgått analytikernes forventninger. Den sosiale giganten vokser også dobbelt så raskt på mobil som på desktop.

For to år siden hadde Facebook bare neglisjerbare inntekter fra sine mobilbrukere. I våres utgjorde mobilannonser hele 59 prosent av inntektene. Nå er denne andelen økt til 62 prosent.

1,32 milliarder brukere
Nettjenesten fortsetter å vokse i alle kanaler. I snitt er 829 millioner innom hver dag. Antall månedlige brukere er nå 1,32 milliarder, opp 14 prosent.

1,07 milliarder mennesker bruker Facebook på mobil hver måned, en oppgang på 31 prosent mot samme periode i fjor.

Aksjekursen økte rundt 5 prosent og nådde all-time-high med 75,13 dollar i utvidet handel på Wall Street, melder Reuters.

Selskapet som 30 år gamle Mark Zuckerberg kontrollerer har dermed en markedsverdi på 190 milliarder dollar.

Omtrent som IBM, med andre ord.

Zuckerberg har utstyrt regnskapsrapporten med et kort sitat.

– Vi hadde et godt andre kvartal. Samfunnet vårt fortsetter å vokse og vi ser mange muligheter framover mens vi kobler opp resten av verden, uttaler toppsjefen.

Den europeiske sentralbanken ECB sa torsdag at de har vært utsatt for et innbrudd i en database knyttet til bankens nettsider.

Ingen markedssensitive data er på avveie, forsikrer de.

Derimot skal hackerne ha fått tak e-postadresser og kontaktopplysninger lagt igjen av brukere som tidligere har registrert seg til arrangementer i regi av banken.

Hvor mange personer det gjelder blir ikke nevnt i kunngjøringen.

– Tyveriet ble kjent etter at en anonym e-post ble sendt til ECB med krav om betaling for dataene, opplyser banken.

Ifølge banken skal mesteparten av dataene ha vært kryptert. Det gjalt imidlertidig ikke e-postadresser, samt enkelte gateadresser og telefonnumre. Databasen inneholdt også registreringer om nedlastinger fra nettstedet i kryptert form, heter det.

De berørte kundene blir nå informert av banken, som tar sine forholdsregler gjennom å endre alle relevante passord.

ECB opplyser at de tar sikkerheten svært alvorlig, at tysk politi er informert om hendelsen og at det er iverksatt etterforskning.

Innholdet og ressursene på weben leveres via en salig blanding av sikre og usikre forbindelser (HTTP og HTTPS). Stort sett er dette temmelig problemfritt – det blir et problem dersom en sikker webside laster usikre ressurser, fordi de usikre ressursene kan lese det sikre innholdet og sende det tilbake til en server via en ikke-kryptert forbindelse.

Dette er ikke noe nytt problem, og de fleste av nettleserleverandørene har gjennom årene og på egenhånd kommet med funksjonalitet som tar seg av dette, enten ved å advare brukerne om slik blandet innhold («mixed content»), å blokkere det usikre innholdet helt, eller å gi brukeren en mulighet til å velge selv hvordan slikt blandet innhold skal håndteres i hvert enkelt tilfelle. Internet Explorer 4 var trolig den første nettleseren som fikk slik funksjonalitet da den ble gitt ut i 1997, mens Firefox 23 så sent som i august 2013 innførte blokkering av «Mixed Active Content».

Noen felles spesifikasjon for hvordan og hvorfor nettlesere nekter å gjengi og kjøre innhold lastet via usikre eller ikke-autentiserte forbindelser i konteksten til et kryptert og autentisert dokument, finnes derimot ikke. Men et arbeid for å få på plass dette har startet, og et første utkast til en slik spesifikasjon ble publisert av W3C denne uken.

I spesifikasjonsutkastet understrekes det at ingenting av det som presenteres er helt nytt, men at alt allerede støttes av én eller flere nettlesere. Hensikten med spesifikasjonen vil derfor først og fremst være å få en felles og formell definisjon for hva som er blandet innhold og i hvilke tilfeller innhold bør blokkeres. Jobben til webutviklere blir utvilsomt enklere dersom nettleserne behandler webinnholdet i henhold til felles standarder.

Financial Times skriver at ledere fra både Google og Microsoft skal møte representanter fra europeiske datatilsyn i Brussel i dag for å diskutere implementeringene av EU-dommen om det som ofte omtales som «retten til å bli glemt». Bakgrunnen for møtet skal være at flere av de nasjonale datatilsynene mener at i alle fall Googles respons til dommen har vært utilstrekkelig.

Årsaken er at lenkene som ønskes slettet fra søkeresultatene, kun blir gjort utilgjengelige i de europeiske utgavene av søketjenesten. På google.com blir ingenting gjort utilgjengelig som følge av dette, og denne utgaven er tilgjengelig for alle som velger den. Microsoft har ikke kommet like langt i selskapets tilsvarende implementering i Bing, men det er sannsynlig at selskapet vil gjøre som Google i dette tilfellet.

Ifølge kildene til Financial Times vil datatilsynene kreve at lenkene fjernes fra søkeresultatene i alle utgaver av søketjenesten, også blant annet den amerikanske. I så måte kan dette minne litt om en nylig kanadisk dom mot Google, hvor dommeren i praksis innvilget seg selv global makt over hva selskapet får vise av søkeresultater om et gitt selskap.

Men det er også andre sider ved i alle fall Google implementering som det er misnøye med. Når en lenke blir fjernet fra søkeresultatene som følge av den nye ordningen, varsler Google nettstedet som har publisert innholdet om dette. Dessuten viser Google en beskjed sammen med en del søkeresultater om at lenker kan ha blitt fjernet fra resultatene.

Begge deler mislikes av datatilsynene, som vil kreve en slutt på dette, ifølge Financial Times.

Det er ventet at Google vil avvise kravene. Ifølge kildene til Financial Times vil lederne vise til erfaringer fra Tyrkia, som krevde at Google fulgte lokal lovgivning om å fjerne videoer fra YouTube som ble oppfattet som fornærmende mot Tyrkias grunnlegger, Mustafa Kemal Atatürk. Google fulgte opp kravet lokalt, men lot videoene være tilgjengelige i resten av verden. Det førte til en tyrkisk dom i 2008 om å blokkere YouTube fullstendig i Tyrkia. Blokaden varte i to år, men så sent som i vår ble YouTube igjen gjort utilgjengelig i Tyrkia i drøyt to måneder.

Ifølge kildene til Financial Times risikerer Google rettstvister de ulike nasjonalstatene i EU dersom selskapet ikke føyer seg.

EU-dommen ble kraftig kritisert allerede før Google implementerte den. Det kan ventes en opptrapping i kritikken dersom dommen også skal ha global effekt.