Una società di medicina legale russa di nome Elcomsoft ha scoperto che Apple stava memorizzando le cronologie di navigazione Safari degli utenti su iCloud da più di un anno, forse molto più a lungo. Ciò stava accadendo anche dopo che gli utenti avevano richiesto la cancellazione di tutti i record eliminati dai loro dispositivi collegati a iCloud. Poco dopo che Elcomsoft ha annunciato un modo per estrarre le cronologie di navigazione cancellate da iCloud, Apple ha applicato una correzione sul lato server per interrompere i recuperi e apparentemente ha eliminato tutti i record più vecchi di due settimane.
"Buona mossa, Apple", ha detto Elcomsoft. "Tuttavia, vorremmo avere una spiegazione."
Apple ha rifiutato di commentare pubblicamente le scoperte di Elcomsoft.
Elcomsoft ha scoperto, per caso, che le informazioni sulle voci cancellate nella cronologia di navigazione di Safari venivano archiviate su iCloud, possibilmente a tempo indeterminato. Tali record includevano elementi come nomi di siti Web, URL e quando un determinato sito veniva visitato.
I record cancellati sono stati semplicemente contrassegnati come "eliminati" nella tabella su iCloud. Gli articoli non sembrano essere stati accessibili alle richieste delle forze dell'ordine.
Secondo gli esperti di sicurezza, questo era un difetto di progettazione piuttosto che una sorta di schema nefasto da parte di Apple.
La sincronizzazione di iCloud richiede che i record degli elementi eliminati rimangano accessibili sui server per qualche tempo dopo l'eliminazione degli elementi effettivi. Ciò consente a un dispositivo iCloud che può essere spento o inaccessibile di rimuovere una copia dell'elemento che è stato precedentemente eliminato da Safari su un altro dispositivo, non appena il dispositivo torna in linea.
Ora, tutte le aziende che gestiscono servizi online che archiviano i dati degli utenti sui server sono obbligate per legge a rispettare una qualche forma di conservazione dei dati, obbligandoli a conservare tutti gli elementi eliminati sui server per un certo periodo di tempo. Come spiegato, tenere un registro che un determinato sito è stato visitato e cancellato consente ad Apple di sincronizzare queste informazioni con altri dispositivi che potrebbero essere attualmente inaccessibili a iCloud.
Elcomsoft ha registrato con successo questi record con il suo strumento di acquisizione mobile che risale a più di un anno fa, ma prima che Apple applicasse silenziosamente una correzione sul lato server. Lo strumento estrae informazioni complete su ciascun record, inclusa la data e l'ora dell'ultimo accesso al record, nonché la data e l'ora in cui il record è stato eliminato.
Elcomsoft ha trovato quei record archiviati in forma non filtrata fino a novembre 2015.
Sebbene lo strumento di sondaggio Phone Breaker di Elcomsoft possa essere utilizzato per accedere a questi dati in una forma non crittografata, richiede all'utente di avere accesso alle credenziali di accesso iCloud di un target o un token di autenticazione memorizzato sul dispositivo stesso, rendendo difficili da tirare le invasioni della privacy correlate a iCloud via.
Secondo Forbes, una modifica implementata da Apple in Safari 9.1 e iOS 9.3 trasforma tutti gli URL eliminati dalla cronologia web dell'utente in un modulo con hash per impedire lo snooping. Nel frattempo, puoi evitare del tutto questo problema disabilitando la sincronizzazione di Safari nelle impostazioni iCloud sul tuo iPhone, iPad o Mac.
Fonte: Elcomsoft via Forbes