Het is voor websites niet zo moeilijk om na te gaan of een gebruiker Lockdown Mode heeft ingeschakeld of niet. Als een webbrowser bijvoorbeeld niet in staat is om een speciaal ontwikkeld lettertype te laden, dan is dat een teken dat de Lockdown modus actief is. John Ozbay, de privacyactivist die dit ontdekte, zegt dat dit geen bug of kwetsbaarheid van deze feature in Apples besturingssysteem is.
Dat zegt Ozbay tegenover de Amerikaanse techsite Motherboard.
Dit moet je weten over Lockdown Mode
Het is begin juli als Apple Lockdown Mode aankondigt. Het Amerikaanse technologiebedrijf omschreef de nieuwe feature als een “extreme beveiligingstechniek” die is ontwikkeld om mensen die mogelijk bespioneerd worden met spyware te beschermen, zoals mensenrechtenactivisten of kritische journalisten. Lockdown Mode voorkomt dat zij stiekem kunnen worden afgeluisterd met spionagesoftware.
Dat werkt als volgt. Lockdown Mode zorgt ervoor dat vrijwel alle bijlagen in berichten worden geblokkeerd. Linkjes worden ook niet langer automatisch geladen en JavaScript-code uitgeschakeld. Verder blokkeert de software een iPhone die niet is ontgrendeld en op een computer wordt aangesloten.
Lockdown modus houdt tevens binnenkomende uitnodigingen en serviceaanvragen tegen, zoals FaceTime-gesprekken, als de gebruiker de afzender nog niet eerder zelf heeft gebeld of een uitnodiging heeft gestuurd. Tot slot kunnen er geen configuratieprofielen worden geïnstalleerd en kan het apparaat niet worden aangemeld bij een Mobile Device Management (MDM) service.
‘Afweging tussen veiligheid en privacy’
Kortom, Lockdown Mode is een extra beschermingslaag die Apple heeft ingebouwd in iOS 16, iPadOS 16 en macOS 13. De nieuwe beveiligingsfeature heeft echter wel enkele tekortkomingen. Privacyactivist John Ozbay ontdekte dat websites en online advertenties in staat zijn om te kijken of Lockdown Mode actief is of niet.
Wie bijvoorbeeld met Apples webbrowser Safari naar een site surft en ziet dat JavaScript of lettertypes worden geblokkeerd, dan is dat het bewijs dat Lockdown Mode ingeschakeld is. Als iemand een uitnodiging verstuurt om foto’s te delen, dan wordt deze invite tegengehouden. Verder zegt Ozbay dat het onmogelijk is om nieuwe configuratieprofielen en MDM-enrollments aan te maken als Lockdown modus actief is.
De privacyactivist heeft een proof-of-concept website online gezet waarmee gebruikers kunnen testen of zij de nieuwe modus al dan niet gebruiken. Hij benadrukt dat dit geen bug is die Apple-ingenieurs over het hoofd hebben gezien. “Het is een afweging tussen veiligheid en privacy. Apple koos voor veiligheid”, zo vertelt Ozbay tegenover Motherboard.
Lockdown Mode binnenkort beschikbaar
Via Twitter discussieerde hij hierover met een beveiligingsmedewerker van Apple. Die erkende de gebreken, maar zei dat Lockdown Mode bewust op die manier is geprogrammeerd. Ozbay wijst op de gevaren van fingerprinting en het feit dat het voor websites eenvoudiger is om bezoekers te identificeren als ze Lockdown modus inschakelen.
“Voor sommigen is dit een aanvaardbaar compromis, voor anderen kan het -afhankelijk van waar ze leven- een risico vormen om geïdentificeerd te worden aan de hand van hun IP-adres en combinatie met de vergrendelingsmodus”, zo zegt Ozbay op Twitter. Ondanks de tekortkomingen is hij zeer te spreken over het Apple tot nu toe heeft weten te bereiken met Lockdown Mode.
Lockdown Mode is beschikbaar voor apparaten die op iOS 16, iPadOS 16 of macOS 13 draaien. De nieuwste versies van Apples besturingssystemen worden waarschijnlijk op of rond 7 september uitgerold, als Apple haar nieuwste producten presenteert.
