Spørgsmål: Var dette en uansvarlig offentliggørelse?
Svar: Ja, det var. Apple blev aldrig orienteret om sårbarheden.
Så klar er dommen fra det finske it-sikkerhedsfirma F-Secure i deres FAQ om den nylige jailbreak til iPhone 4, som afslører et alvorligt hul i operativsystemet til iPhones, iPads og iPod Touch.
Hullet ikke blot udstiller et hul, det afslører også et moralskt dilemma. Folkene bag jailbreaket har udnyttet en sårbarhed hos operativsystemet, så iPhone-ejere nemt - blot ved et besøg på en hjemmeside - kan omgå Apples regel om, at de kun må installere applikationer, som Apple selv har sanktioneret. Det kan ses som et opgør med en monopoltankegang, som nogen måske vil være modstandere af. F-Secure siger selv, at hacket har været vanskeligt at udføre - der ligger altså sandsynligvis mange timers arbejde bag dette jailbreak.
På den anden side kan hackere nemt kigge nærmere på hullet med reverse engineering og udvikle egne ondsindede programmer, der kan hacke og overtage mobilen.
Deadline
Gængs kotume er, at it-sikkerhedsfirmaer, der afslører et hul, giver en softwareproducent nogle dage eller uger til at lappe hullet, før offentliggørelse af sårbarheden. Nogle hælder dog til at afsløre et hul med det samme for at lægge maksimum pres på softwarefirmaet til at lave en patch. Det gælder specielt, hvis hullet allerede bliver brugt til angreb med malware.
Apple kommer med en softwareopdatering, der skal lukke hullet, som jailbreakerne udnytter. Apple har ikke sagt hvornår. Spørgsmålet er, om ondsindede hackere er hurtigere end Apple. F-Secure vurderer, at det er nemt at efterligne jailbreakerne, og at malware kan dukke op i løbet af en uge.
Svært at finde morale
Mens finnerne ikke er i tvivl om, at jailbreakerne er uansvarlige, er direktøren for den danske myndighed DK-CERT, Shehzad Ahmad, mere ude i en balancegang.
"Hvad er moralen i denne sag?," spørger Shehzad Ahmad sig selv.
"Bør man gå til Apple og fortælle om hullet? Så kan de jo risikere, at de ikke kan udbrede deres produkt, selv om de ikke tjener penge på det, så handler det jo om udbredelsen," siger han.
Jailbreakerne har ikke brudt amerikansk lovgivning, påpeger han på den anden side. For nyligt fastslog de amerikanske myndigheder, at jailbreaking er undtaget fra den amerikanske ophavsretslovgivning. Han vil derfor ikke fluks klynge jailbreakerne op i en galge.
På den anden side, er der millioner af iPhone-ejere, som nu er potentielle ofre for hackere, siger Shehzad Ahmad.
"Det er klart, at det til en vis grad er uansvarligt, fordi der er en masse potentielle ofre," siger han.
"Spørgsmålet er, om det kan lade sig gøre at jailbreake en telefon uden at udnytte en sårbarhed. Hvis det var muligt, ville jeg nok vælge at gøre det," siger han.
Tror du, at det vil være muligt at lave et jailbreak uden at hacke mobilen?
"Det tror jeg ikke, nej," siger han.
Genoplivet debat
Når den seneste jailbreak har genoplivet debatten om sikkerheden hos Apple, er det fordi hullet er nemt at udnytte til drive by angreb. Det kræver blot, at iPhone-ejeren læser en inficeret pdf-fil med sin safaribrowser. Filen spredes i mails eller via en hjemmeside.
F-Secure påpeger, at iPhone-ejere ikke har mange muligheder for at beskytte sig - udover at udvise agtpågivenhed ved surf på nettet og mailtjek.
Som F-Secure skriver i sin FAQ om jailbreaking:
Spørgsmål: Burde jeg køre antivirus på min iPhone.
Svar: Jo, du burde, men du kan ikke.
Finnerne giver Apple skylden. Sikkerhedsfirmaerne kan ikke lave programmer til at beskytte iPhones, hvis Apple ikke hjælper, skriver F-Secure.
Finnerne har desuden et lille svirp med halen til Apple.
Spørgsmål: Efter slagsmålet mellem Apple og Adobe (vedrørende Flash), er dette så ikke lidt ironisk?
Svar: Jo.
Apple har anklaget Adobes Flash for at være farligt for it-sikkerheden. Det seneste hul - der udnytter Adobes pdf - skyldes dog en sårbarhed hos Apples egen pdf-læser.
ComON spørger læserne: Har jailbreakerne opført sig uansvarligt?
