App Store toestemming app installeren

Exclusief interview: Apple over DMA en de vrees voor onvoorziene iOS-dreigingen

Interview met Gary Davis, Data Protection Officer
De afgelopen vijftien jaar heeft Apple naar eigen inzicht het ecosysteem rondom de iPhone en iOS kunnen opbouwen. De Digital Markets Act (DMA) maakt daar een einde aan: het gesloten systeem moet in de EU op allerlei punten worden opengebroken. iCulture sprak met Gary Davis, Data Protection Officer van Apple, hoe het bedrijf daarmee omgaat. Hij vreest voor meer aanvallen op iOS en hoopt dat gebruikers voldoende heeft gedaan om het vertrouwen vast te houden.

Gary Davis is als Data Protection Officer wereldwijd het eerste aanspreekpunt binnen Apple voor de DMA. Hij is tevens de auteur van het veelbesproken rapport ‘Complying With the Digital Markets Act‘ waarin hij beschrijft hoe Apple gaat zorgen dat het bedrijf voldoet aan de DMA, terwijl de privacy en beveiliging die we gewend zijn toch gewaarborgd blijven. Maar dat is nog niet zo eenvoudig, bleek tijdens een 1-op-1 interview met Davis in Parijs.

iCulture was uitgenodigd door Apple om een kijkje te komen nemen in het Security Lab in Parijs, waar vooral hardware wordt getest op mogelijke aanvallen. Na een presentatie over de maatregelen die Apple heeft genomen om de beveiliging van op hard- en softwaregebied te verbeteren, volgde een rondleiding door het hardwarelab, met presentaties door engineers. Aansluitend kregen we een presentatie over de Digital Markets Act (DMA) en de stappen die Apple heeft genomen om hieraan te voldoen. Tijdens een 1-op-1 interview met Gary Davis (Data Protection Officer Apple) was er gelegenheid om extra vragen te stellen over Apple en de DMA. De DMA is, zoals bekend, de nieuwe wetgeving in de EU waardoor techbedrijven die als poortwachter zijn aangemerkt, extra maatregelen moeten nemen om hun platformen open te stellen. Apple moet als gevolg hiervan onder andere externe appwinkels en alternatieve betaalwijzen toestaan.

Apple's lab in Parijs gebruikt geavanceerde hardwaretechnieken om de beveiliging van apparaten op de proef te stellen
Apple’s lab in Parijs gebruikt geavanceerde hardwaretechnieken om de beveiliging van apparaten op de proef te stellen (bron: Apple)

Apple en de Digital Markets Act

Het zal duidelijk zijn dat Apple helemaal niet zit te wachten op de veranderingen die de Digital Markets Act (DMA) met zich meebrengt. Apple heeft bij de App Store bewust gekozen voor een gesloten systeem. De iPhone is ontworpen met de belofte van privacy en beveiliging – en dat lukt alleen door maximale controle uit te oefenen. Als je voor de iPhone kiest, weet je als betrokkene waar je aan toe bent. Als gebruiker kun je alleen apps downloaden uit de App Store en als ontwikkelaar is de App Store de enige manier om iOS-apps te distribueren. Er zijn wel eens klachten over te veel macht en te hoge vergoedingen. Verder zijn er soms inconsequente beslissingen en er glipt ook vandaag de dag nog wel eens een illegale app tussendoor. Maar over het algemeen lijkt de ‘walled garden’ van Apple best goed te werken. Grote datalekken zijn er nooit geweest en beveiligingslekken worden opgelost voordat ze massale schade kunnen aanrichten.

Door de invoering van de DMA in de Europese Unie en mogelijk toekomstige wetgeving in andere landen en regio’s, gaat dat veranderen. Er is sprake van een nieuw tijdperk waarin Apple niet meer de regels bepaalt. Dat Apple daar wat moeite mee heeft, blijkt wel uit de eerste voorstellen die Apple indiende om aan de DMA-regels te voldoen. Sommigen vonden dat er sprake was van ‘kwaadaardige naleving‘, waarbij Apple de grenzen opzocht om toch zoveel mogelijk controle te houden. Daarna volgden stapsgewijze aanpassingen.

App Store verficatiescherm

Volgens Apple gebeurde dit op basis van feedback van ontwikkelaars, maar in werkelijkheid zal er ongetwijfeld ook druk vanuit de EU zijn geweest. Eerst waren alleen appwinkels toegestaan die aan bepaalde financiële eisen voldeden en apps van meerdere ontwikkelaars zouden aanbieden. Een appwinkel met uitsluitend Epic-games zou daardoor onmogelijk zijn. Later verviel die eis. Afgelopen dinsdag volgden een nog grotere wijziging: het is nu ook toegestaan om apps van derden via een website te downloaden. Over Epic gesproken: Apple haalde deze week het account weer offline, omdat de CEO boze tweets had geplaatst, maar gaf het vlak daarna toch weer terug. En ook met concurrent Spotify ligt Apple veelvuldig overhoop.

Apple moet wennen aan nieuwe rol

Apple lijkt nog wat te moeten wennen aan de nieuwe rol, waarbij er niet meer volledige controle is over de werking van het ecosysteem en er niet jarenlang vooruit kan worden gepland. Vandaar dat we blij waren met de mogelijkheid om het na te vragen bij de bron: de man die namens Apple moet zorgen dat aan de DMA wordt voldaan.

iCulture: We hoorden eerder vandaag in het hardware security lab dat sommige beveiligingsmaatregelen al jaren van tevoren zijn ontwikkeld. Hoe zit dat met de DMA, waarbij Apple een veel kortere tijd had om zich voor te bereiden?

Davis: Het is duidelijk dat we vele, vele uren, duizenden uren, hebben besteed aan nadenken over de mogelijke risico’s op aanvallen en het ontwikkelen van API’s. We hebben honderden API’s beschikbaar gemaakt voor ontwikkelaars en alternatieve app-marktplaatsen, op een manier die overeenkomt met onze beveiligingsprincipes. Zelfs met notarisatie moet de ontwikkelaar nog steeds de binary bij Apple indienen. Tijdens het notarisatieproces tekenen wij voor de binary en geven we een beveiligingssleutel aan de ontwikkelaar. Dat is allemaal nieuw, niets daarvan was al beschikbaar voor ontwikkelaars. En er zijn nog vele andere API’s, bijvoorbeeld hoe ze toegang gaan krijgen tot je gevoelige informatie op je apparaat.

Hoe zorgt Apple er dan voor dat die gevoelige informatie veilig blijft?

Ik denk dat we ervoor hebben gezorgd dat onze gebruikers nog steeds de voor hen juiste beslissingen kunnen nemen. Er mag niets zijn waardoor je gegevens op een onverwachte manier worden gedeeld. We hebben de afgelopen jaren een punt bereikt dat gebruikers er vertrouwen in kunnen hebben, als ze bepaalde keuzes maken. Dus als een app vraagt: “Mag ik je foto’s zien?”, dat er heel duidelijk moet worden gemaakt wat het doel is. De manier waarop we dat controleren, is dat we de code uitvoeren en zelf in real-time kijken wat ermee gebeurt.

En hoe denkt u dat de markt zich zal ontwikkelen, nu er meer marktplaatsen beschikbaar zijn?

Tja, dat weten we niet, en omdat ik een privacyman ben, heb ik daar geen duidelijk beeld van. Het is duidelijk dat de Europese wetgever alternatieve manieren wilde openen om marktplaatsen beschikbaar te maken voor gebruikers. Ik denk dat we er samen wel achter zullen komen hoe dat gaat uitpakken.

Uit onze poll bleek dat de iCulture-lezers niet staan te springen om alternatieve appwinkels. Er is alleen een goed verstopte schakelaar, maar niet veel meer. Hoe kun je je beschermen als je er niet aan mee wil doen?

Het is goed mogelijk om nooit een app van een alternatieve app-marktplaats te downloaden, als je dat niet wil. Het hangt er vanaf hoe je ervan op de hoogte wordt gebracht. Soms krijg je van vrienden suggesties om apps te downloaden via een link. Je klikt op die link en krijgt een scherm te zien met meer informatie. We houden je niet tegen om op die link te klikken.

Waar we ons zorgen over maken en wat ook te lezen is in de whitepaper, is dat de “kosten” voor een aanval op iOS kunnen dalen. Dat komt door deze nieuwe potentiële manieren om gebruikers aan te vallen. Dat kan via alternatieve marktplaatsen of alternatieve betaalmethoden. Het is mogelijk dat we aanvallen gaan zien die we nog nooit eerder hebben gezien. Nu zijn de kosten om een iOS-exploit te ontwikkelen nog erg hoog. Ons team van het Security Lab probeert die kosten hoger en hoger te maken, zodat het voor aanvallers niet de moeite loont om zich te richten op iOS.

Dat is iets waar we momenteel bezorgd over zijn. We weten het gewoon niet hoe het zich gaat ontwikkelen. Daarom tonen we mensen die apps downloaden via deze alternatieve bronnen een speciaal scherm met meer informatie. Samen met het notarisatieproces hopen we dat gebruikers hetzelfde vertrouwen behouden.

Dat is wat we graag wilden realiseren: dat we kunnen voldoen aan de DMA, maar op een manier die geen nieuwe risico’s op aanvallen introduceert.

Bekijk ook
Dit ga jij merken van de nieuwe EU-maatregelen

Dit ga jij merken van de nieuwe EU-maatregelen

Inmiddels is iOS 17.4 uit en dat betekent dat de nieuwe EU-maatregelen in iOS van kracht gegaan zijn. Wat ga jij ervan merken? Misschien wel helemaal niets. We leggen puntsgewijs uit wat de impact is en of je verplicht bent om mee te doen.

App Store

Lees alles over de Apple App Store, de online winkel waar je apps voor iPhone, iPad, Apple Watch, Apple TV en Mac downloadt. Naast de normale softwarewinkel is er ook een Mac App Store en een speciale App Store voor de Apple Watch. Sinds maart 2024 kun je op de iPhone ook apps buiten de officiële App Store downloaden, via onder andere alternatieve appwinkels. Dit wordt ook wel sideloading genoemd.

App Store

Reacties: 0 reacties

Reacties zijn gesloten voor dit artikel.