Reuters a presupus că, astăzi, Apple a făcut presiuni din partea Biroului Federal de Investigații (FBI), care ar fi cerut ca firma Cupertino să renunțe la criptarea end-to-end a copiilor de rezervă ale dispozitivului iCloud, afirmând că acest lucru ar dăuna investigațiilor.
Deși Apple a rezistat din partea FBI care în 2016 și-a dorit să adauge un backdoor la iOS pentru a ocoli codul, care limitează ghicirea parolelor la zece încercări consecințiale, nu a fost niciodată folosit criptarea end-to-end pentru copiile de rezervă ale dispozitivelor iOS în iCloud și acum știm De ce.
Din raport:
Inversarea gigantului tehnologic, în urmă cu aproximativ doi ani, nu a fost raportată anterior. Acesta arată cât de mult Apple a fost dispus să ajute agențiile de aplicare a legii și serviciile de informații din SUA, în ciuda faptului că a luat o linie mai grea în litigiile legale cu guvernul și s-a arătat ca apărător al informațiilor clienților.
Potrivit unui fost angajat Apple, gigantul tehnologic Cupertino a fost motivat să evite PR-urile proaste și nu voia să fie pictat de oficialii publici ca o întreprindere care îi protejează pe criminali.
Dacă doriți să vă păstrați datele dispozitivului iOS în siguranță de privirile indurerate și cererile guvernamentale, abțineți-vă să utilizați funcția de backup iCloud până când Apple lansează criptarea end-to-end pentru backup-urile iCloud..
„Au decis că nu vor mai purta ursul”, a spus persoana. Un alt angajat a spus: „legal l-a ucis, din motive pe care ți le poți imagina”.
Apple admite în mod deschis furnizarea de copii de pe dispozitivele iOS de la iCloud către agențiile de aplicare a legii, conform ultimului raport al transparenței companiei:
Exemple de astfel de cereri sunt agențiile de aplicare a legii lucrează în numele clienților care au solicitat asistență cu privire la dispozitivele pierdute sau furate. În plus, Apple primește în mod regulat cereri cu mai multe dispozitive legate de investigarea fraudelor. Cererile bazate pe dispozitive caută, în general, detalii despre clienții asociați cu dispozitivele sau conexiunile dispozitivului la serviciile Apple.
Iată ce ar însemna criptarea end-to-end în ceea ce privește păstrarea copiilor de siguranță a dispozitivelor iOS în iCloud în siguranță de solicitările guvernamentale, conform Benjamin Mayo de la 9to5Mac:
Criptarea end-to-end funcționează făcând o cheie de criptare bazată pe factori care nu sunt stocați pe server. Aceasta poate însemna înțelegerea cheii cu o parolă de utilizator sau o cheie criptografică stocată pe hardware-ul iPhone-ului sau iPad-ului local. Chiar dacă cineva a intrat pe server și a avut acces la date, datele ar arăta ca zgomot întâmplător, fără a avea cheia încurcată pentru a o decoda.
În prezent, Apple stochează backup-urile iCloud într-o manieră criptată non-to-end.
Aceasta înseamnă că cheia de decriptare este stocată pe serverele Apple. Dacă o entitate de poliție vine la Apple cu o citație, compania trebuie să predea toate datele iCloud - inclusiv cheia de decriptare. Aceasta are mai multe runde de ramificări. De exemplu, în timp ce serviciul iMessage este sfârșit-criptat, conversațiile stocate într-o copie de rezervă iCloud nu sunt.
Cu alte cuvinte, chiar dacă funcția Mesaje din iCloud care îți păstrează mesajele sincronizate între dispozitive folosește capătul de criptare, devine fără sens dacă activezi Backup iCloud, deoarece backup-ul dispozitivului include apoi o copie a cheii care îți protejează mesajele..
Potrivit Apple, acest lucru vă asigură că vă puteți recupera mesajele în cazul în care pierdeți accesul la cheia iCloud Keychain și la toate dispozitivele de încredere aflate în posesia dvs. „Când dezactivați iCloud Backup, o nouă cheie este generată pe dispozitivul dvs. pentru a proteja mesajele viitoare și nu este stocată de Apple”, susține compania într-un document de asistență pe site-ul său care conține securitatea iCloud.
Mai mult, Apple folosește criptarea iCloud end-to-end în mod selectiv pentru lucrări precum intrările din calendar, baza de date Health, Keychain iCloud și parolele Wi-Fi salvate, dar nu și fotografiile, fișierele din unitatea dvs. iCloud, e-mailurile și alte categorii..
Dispozitivul GrayKey utilizat pentru atacuri de parole de tip iPhone cu forță brută.
În ciuda recentelor încercări ale oficialilor FBI de a acuza Apple de a ajuta teroriștii și prădătorii sexuali, refuzând „deblocarea” iPhone-urilor, reporterul Forbes, Thomas Brewster, a dezvăluit că agenția de aplicare a legii a folosit instrumentul GrayKey de la GrayShift pentru a obține date de la un iPhone blocat 11 Pro Max în timpul unei cercetări penale recente.
Asta nu înseamnă că ultimele iPhone-uri ale Apple sunt în mod inerent nesigure sau predispuse la hacking cu instrumente precum dispozitivul GrayShift sau software-ul Cellebrite, ci înseamnă că iOS poate fi hackat. În niciun caz nu înseamnă că coprocesorul criptografic Security Enclave încorporat care controlează criptarea și evaluează o parolă sau un ID ID / Touch ID a fost compromis.
Ce fac instrumente precum GrayKey este ghici parola prin exploatarea defectelor din sistemul de operare iOS pentru a elimina limita a zece încercări de parolă. După îndepărtarea acestui software, aceste instrumente profită pur și simplu de un atac de forță brută pentru a încerca automat mii de coduri de acces până când unul funcționează.
Jack Nicas, scriind pentru The New York Times:
Această abordare înseamnă că wild card-ul din cazul Pensacola este lungimea codului de acces al suspectului. Dacă este vorba de șase numere - implicit pe iPhone-uri - autoritățile aproape sigur îl pot rupe. Dacă este mai lung, s-ar putea să fie imposibil.
O parolă cu patru numere, lungimea implicită anterioară, ar trebui să dureze în medie aproximativ șapte minute. Dacă este vorba de șase cifre, ar dura în medie aproximativ 11 ore. Opt cifre: 46 de zile. Zece cifre: 12,5 ani.
Dacă parola utilizează atât numere, cât și litere, sunt mult mai multe coduri de acces posibile - și astfel fisurarea durează mult mai mult. O parolă alfanumerică cu șase caractere va dura în medie 72 de ani.
Este nevoie de 80 de milisecunde pentru ca un iPhone să calculeze fiecare ghicire. Deși acest lucru poate părea mic, consideră că software-ul poate încerca teoretic mii de coduri de acces pe secundă. Cu întârziere, se poate încerca doar aproximativ 12 pe secundă.
Preluarea dvs. cheie trebuie să fie aceea că timpul de procesare de 80 milisecunde pentru evaluarea codului de acces nu poate fi ocolit de hackeri, deoarece această limitare este impusă în hardware de Secure Enclave.
Deci, la ce se referă toate cele de mai sus?
Așa cum a menționat John Gruber, de la Daring Fireball, dacă sunteți îngrijorat de faptul că telefonul dvs. este hackat, utilizați o parolă alfanumerică ca parolă, nu o parolă numerică cu 6 cifre.
Iar când vine vorba de criptare, Apple susține că nu poate și nu va anula criptarea pe dispozitiv, menționând următoarele în ultimul său raport de transparență:
Întotdeauna am menținut că nu există un backdoor doar pentru cei buni. În aer liber pot fi exploatate și de către cei care ne amenință securitatea națională și securitatea datelor clienților noștri. Astăzi, forțele de ordine au acces la mai multe date ca niciodată în istorie, astfel încât americanii nu trebuie să aleagă între slăbirea criptării și rezolvarea investigațiilor. Considerăm că criptarea puternică este vitală pentru protejarea datelor țării noastre și a utilizatorilor noștri.
Revenind la povestea Reuters, mă aștept încercări suplimentare ale guvernului SUA în efortul de a strânge sprijinul public pentru a face ilegală criptarea.
Ce părere aveți despre cele mai recente Apple vs. FBI și despre criptare în general?
Spuneți-ne în comentariul de mai jos!