Een beveiligingsonderzoeker, die bekendstaat onder de naam xerub, heeft de decryptiesleutel voor de firmware van de secure enclave coprocessor van de iPhone 5s gepubliceerd. Daardoor is het mogelijk de firmware verder te onderzoeken, maar ontstaat er geen direct risico voor gebruikers.
Apple heeft de echtheid van de sleutel nog niet bevestigd, maar zegt tegen Threatpost dat als het om een echte sleutel gaat er geen gevaar voor het uitlekken van gegevens van gebruikers bestaat. De onderzoeker heeft geen details gegeven over de manier waarop hij de sleutel heeft verkregen en zei ook niet of hij zijn bevindingen aan Apple heeft gemeld. Hij kondigde zijn ontdekking recentelijk aan in een tweet, waarbij hij verwees naar de sleutel en tools om de firmware te ontsleutelen en te verwerken.
Zowel xerub en een anonieme Apple-medewerker zeggen tegen TechRepublic dat de vondst meer onderzoek naar de coprocessor, oftewel SEP, mogelijk maakt. De onderzoeker stelt: "Decryptie van de firmware staat niet gelijk aan het ontsleutelen van gebruikersdata." Hij voegt daaraan toe dat hij ervan uitgaat dat zijn publicatie uiteindelijk zal bijdragen aan verbeterde beveiliging van Apples secure enclave. De ceo van de Sudo Security Group zegt tegen The Register dat de decryptiesleutel dan ook voornamelijk interessant is voor beveiligingsonderzoekers, die bijvoorbeeld de firmware kunnen onderzoeken.
Hij zegt verder: "De publicatie van de sleutel tast de veiligheid van de secure enclave niet aan. De coprocessor heeft als taak om gevoelige informatie te beschermen, maar de encryptie heeft meer te maken met het onleesbaar maken van de code dan het beschermen van de eigenlijke inhoud." Apple introduceerde de secure enclave als een aparte coprocessor in de iPhone 5s en volgende toestellen met een A7- of latere chip. De processor draait op een eigen OS en is verantwoordelijk voor het uitvoeren van cryptografische processen en het verwerken van vingerafdrukken via Touch ID.
Er bestaat niet veel publieke informatie over de SEP, behalve wat door Apple naar buiten is gebracht. Beveiligingsonderzoekers presenteerden vorig jaar hun bevindingen over de processor op de Black Hat-conferentie in Las Vegas.