Exclusief interview: Apple over DMA en de vrees voor onvoorziene iOS-dreigingen
Interview met Gary Davis, Data Protection OfficerGary Davis is als Data Protection Officer wereldwijd het eerste aanspreekpunt binnen Apple voor de DMA. Hij is tevens de auteur van het veelbesproken rapport ‘Complying With the Digital Markets Act‘ waarin hij beschrijft hoe Apple gaat zorgen dat het bedrijf voldoet aan de DMA, terwijl de privacy en beveiliging die we gewend zijn toch gewaarborgd blijven. Maar dat is nog niet zo eenvoudig, bleek tijdens een 1-op-1 interview met Davis in Parijs.
iCulture was uitgenodigd door Apple om een kijkje te komen nemen in het Security Lab in Parijs, waar vooral hardware wordt getest op mogelijke aanvallen. Na een presentatie over de maatregelen die Apple heeft genomen om de beveiliging van op hard- en softwaregebied te verbeteren, volgde een rondleiding door het hardwarelab, met presentaties door engineers. Aansluitend kregen we een presentatie over de Digital Markets Act (DMA) en de stappen die Apple heeft genomen om hieraan te voldoen. Tijdens een 1-op-1 interview met Gary Davis (Data Protection Officer Apple) was er gelegenheid om extra vragen te stellen over Apple en de DMA. De DMA is, zoals bekend, de nieuwe wetgeving in de EU waardoor techbedrijven die als poortwachter zijn aangemerkt, extra maatregelen moeten nemen om hun platformen open te stellen. Apple moet als gevolg hiervan onder andere externe appwinkels en alternatieve betaalwijzen toestaan.
Apple en de Digital Markets Act
Het zal duidelijk zijn dat Apple helemaal niet zit te wachten op de veranderingen die de Digital Markets Act (DMA) met zich meebrengt. Apple heeft bij de App Store bewust gekozen voor een gesloten systeem. De iPhone is ontworpen met de belofte van privacy en beveiliging – en dat lukt alleen door maximale controle uit te oefenen. Als je voor de iPhone kiest, weet je als betrokkene waar je aan toe bent. Als gebruiker kun je alleen apps downloaden uit de App Store en als ontwikkelaar is de App Store de enige manier om iOS-apps te distribueren. Er zijn wel eens klachten over te veel macht en te hoge vergoedingen. Verder zijn er soms inconsequente beslissingen en er glipt ook vandaag de dag nog wel eens een illegale app tussendoor. Maar over het algemeen lijkt de ‘walled garden’ van Apple best goed te werken. Grote datalekken zijn er nooit geweest en beveiligingslekken worden opgelost voordat ze massale schade kunnen aanrichten.
Door de invoering van de DMA in de Europese Unie en mogelijk toekomstige wetgeving in andere landen en regio’s, gaat dat veranderen. Er is sprake van een nieuw tijdperk waarin Apple niet meer de regels bepaalt. Dat Apple daar wat moeite mee heeft, blijkt wel uit de eerste voorstellen die Apple indiende om aan de DMA-regels te voldoen. Sommigen vonden dat er sprake was van ‘kwaadaardige naleving‘, waarbij Apple de grenzen opzocht om toch zoveel mogelijk controle te houden. Daarna volgden stapsgewijze aanpassingen.
Volgens Apple gebeurde dit op basis van feedback van ontwikkelaars, maar in werkelijkheid zal er ongetwijfeld ook druk vanuit de EU zijn geweest. Eerst waren alleen appwinkels toegestaan die aan bepaalde financiële eisen voldeden en apps van meerdere ontwikkelaars zouden aanbieden. Een appwinkel met uitsluitend Epic-games zou daardoor onmogelijk zijn. Later verviel die eis. Afgelopen dinsdag volgden een nog grotere wijziging: het is nu ook toegestaan om apps van derden via een website te downloaden. Over Epic gesproken: Apple haalde deze week het account weer offline, omdat de CEO boze tweets had geplaatst, maar gaf het vlak daarna toch weer terug. En ook met concurrent Spotify ligt Apple veelvuldig overhoop.
Apple moet wennen aan nieuwe rol
Apple lijkt nog wat te moeten wennen aan de nieuwe rol, waarbij er niet meer volledige controle is over de werking van het ecosysteem en er niet jarenlang vooruit kan worden gepland. Vandaar dat we blij waren met de mogelijkheid om het na te vragen bij de bron: de man die namens Apple moet zorgen dat aan de DMA wordt voldaan.
iCulture: We hoorden eerder vandaag in het hardware security lab dat sommige beveiligingsmaatregelen al jaren van tevoren zijn ontwikkeld. Hoe zit dat met de DMA, waarbij Apple een veel kortere tijd had om zich voor te bereiden?
Davis: Het is duidelijk dat we vele, vele uren, duizenden uren, hebben besteed aan nadenken over de mogelijke risico’s op aanvallen en het ontwikkelen van API’s. We hebben honderden API’s beschikbaar gemaakt voor ontwikkelaars en alternatieve app-marktplaatsen, op een manier die overeenkomt met onze beveiligingsprincipes. Zelfs met notarisatie moet de ontwikkelaar nog steeds de binary bij Apple indienen. Tijdens het notarisatieproces tekenen wij voor de binary en geven we een beveiligingssleutel aan de ontwikkelaar. Dat is allemaal nieuw, niets daarvan was al beschikbaar voor ontwikkelaars. En er zijn nog vele andere API’s, bijvoorbeeld hoe ze toegang gaan krijgen tot je gevoelige informatie op je apparaat.
Hoe zorgt Apple er dan voor dat die gevoelige informatie veilig blijft?
Ik denk dat we ervoor hebben gezorgd dat onze gebruikers nog steeds de voor hen juiste beslissingen kunnen nemen. Er mag niets zijn waardoor je gegevens op een onverwachte manier worden gedeeld. We hebben de afgelopen jaren een punt bereikt dat gebruikers er vertrouwen in kunnen hebben, als ze bepaalde keuzes maken. Dus als een app vraagt: “Mag ik je foto’s zien?”, dat er heel duidelijk moet worden gemaakt wat het doel is. De manier waarop we dat controleren, is dat we de code uitvoeren en zelf in real-time kijken wat ermee gebeurt.
En hoe denkt u dat de markt zich zal ontwikkelen, nu er meer marktplaatsen beschikbaar zijn?
Tja, dat weten we niet, en omdat ik een privacyman ben, heb ik daar geen duidelijk beeld van. Het is duidelijk dat de Europese wetgever alternatieve manieren wilde openen om marktplaatsen beschikbaar te maken voor gebruikers. Ik denk dat we er samen wel achter zullen komen hoe dat gaat uitpakken.
Uit onze poll bleek dat de iCulture-lezers niet staan te springen om alternatieve appwinkels. Er is alleen een goed verstopte schakelaar, maar niet veel meer. Hoe kun je je beschermen als je er niet aan mee wil doen?
Het is goed mogelijk om nooit een app van een alternatieve app-marktplaats te downloaden, als je dat niet wil. Het hangt er vanaf hoe je ervan op de hoogte wordt gebracht. Soms krijg je van vrienden suggesties om apps te downloaden via een link. Je klikt op die link en krijgt een scherm te zien met meer informatie. We houden je niet tegen om op die link te klikken.
Waar we ons zorgen over maken en wat ook te lezen is in de whitepaper, is dat de “kosten” voor een aanval op iOS kunnen dalen. Dat komt door deze nieuwe potentiële manieren om gebruikers aan te vallen. Dat kan via alternatieve marktplaatsen of alternatieve betaalmethoden. Het is mogelijk dat we aanvallen gaan zien die we nog nooit eerder hebben gezien. Nu zijn de kosten om een iOS-exploit te ontwikkelen nog erg hoog. Ons team van het Security Lab probeert die kosten hoger en hoger te maken, zodat het voor aanvallers niet de moeite loont om zich te richten op iOS.
Dat is iets waar we momenteel bezorgd over zijn. We weten het gewoon niet hoe het zich gaat ontwikkelen. Daarom tonen we mensen die apps downloaden via deze alternatieve bronnen een speciaal scherm met meer informatie. Samen met het notarisatieproces hopen we dat gebruikers hetzelfde vertrouwen behouden.
Dat is wat we graag wilden realiseren: dat we kunnen voldoen aan de DMA, maar op een manier die geen nieuwe risico’s op aanvallen introduceert.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Terugkijken: dit zijn alle Apple-events (en aankondigingsvideo's) van 2024 (10-12)
- Apple's kerstreclame van 2024 draait om AirPods Pro-gehoorfuncties (maar slaat een beetje door) (28-11)
- Apple's sportschoenemoji is nu ook gewoon te koop als echte schoen (en hij lijkt sprekend) (28-11)
- Overzicht: deze Apple-producten zijn in 2024 uitgebracht (en komt er nog meer aan?) (14-11)
- EU wil verbod op regiogebonden App Store en meer: alles voor iedereen in Europa gelijk (12-11)
App Store
Lees alles over de Apple App Store, de online winkel waar je apps voor iPhone, iPad, Apple Watch, Apple TV en Mac downloadt. Naast de normale softwarewinkel is er ook een Mac App Store en een speciale App Store voor de Apple Watch. Sinds maart 2024 kun je op de iPhone ook apps buiten de officiële App Store downloaden, via onder andere alternatieve appwinkels. Dit wordt ook wel sideloading genoemd.
- Alles over de App Store
- Alles over App Store-abonnementen
- Vastgelopen downloads oplossen
- Eerdere aankopen in de iOS App Store bekijken
- Verbinding met App Store mislukt
- App Store op de Apple Watch
- Mac App Store
- Eerdere aankopen in de Mac App Store bekijken
- Mac-software installeren buiten de App Store om
- App Store-scam herkennen
- Sideloading: buiten de App Store om downloaden
Reacties: 0 reacties