Oggi Reuters ha affermato che Apple si è inchinata alle pressioni del Federal Bureau of Investigation (FBI), che secondo quanto riferito ha richiesto alla ditta Cupertino di rinunciare a implementare la crittografia end-to-end per i backup dei dispositivi iCloud, sostenendo che ciò danneggerebbe le indagini.
Sebbene Apple abbia resistito alle pressioni dell'FBI che nel 2016 voleva che aggiungesse una backdoor a iOS per bypassare il codice che limita le ipotesi della password a dieci tentativi conseguenti, non ha mai utilizzato la crittografia end-to-end per i backup dei dispositivi iOS in iCloud, e ora sappiamo che perché.
Dal rapporto:
L'inversione del gigante della tecnologia, circa due anni fa, non è stata precedentemente segnalata. Mostra quanto Apple è stata disposta ad aiutare le forze dell'ordine e le agenzie di intelligence degli Stati Uniti, nonostante abbia preso una linea più dura in controversie legali di alto profilo con il governo e si sia dichiarata difensore delle informazioni dei suoi clienti.
Secondo un ex dipendente della Apple, il colosso della tecnologia di Cupertino era motivato a evitare cattive pubbliche relazioni e non voleva essere dipinto dai funzionari pubblici come un'impresa che protegge i criminali.
Se vuoi proteggere i dati del tuo dispositivo iOS da occhi indiscreti e richieste del governo, astieniti dall'utilizzare la funzione Backup iCloud fino a quando Apple non implementa la crittografia end-to-end per i backup iCloud.
"Decisero che non avrebbero più attaccato l'orso", ha detto la persona. Un altro dipendente ha detto, "legale ucciso, per motivi che puoi immaginare".
Apple ammette apertamente di fornire backup dei dispositivi iOS da iCloud alle forze dell'ordine, secondo l'ultimo Rapporto sulla trasparenza dell'azienda:
Esempi di tali richieste sono le forze dell'ordine che lavorano per conto di clienti che hanno richiesto assistenza in merito a dispositivi smarriti o rubati. Inoltre, Apple riceve regolarmente richieste multi-dispositivo relative a indagini antifrode. Le richieste basate sui dispositivi generalmente ricercano i dettagli dei clienti associati ai dispositivi o alle connessioni dei dispositivi ai servizi Apple.
Ecco cosa significherebbe la crittografia end-to-end in termini di protezione dei backup dei dispositivi iOS in iCloud dalle richieste del governo, secondo Benjamin Mayo di 9to5Mac:
La crittografia end-to-end funziona creando una chiave di crittografia basata su fattori che non sono memorizzati sul server. Ciò può significare intrappolare la chiave con una password utente o una chiave crittografica memorizzata sull'hardware dell'iPhone o dell'iPad locale. Anche se qualcuno avesse violato il server e ottenuto l'accesso ai dati, i dati sembrerebbero un rumore casuale senza avere la chiave aggrovigliata per decodificarlo.
Attualmente Apple archivia i backup di iCloud in modo crittografato non end-to-end.
Ciò significa che la chiave di decodifica è archiviata sui server Apple. Se un'entità di polizia arriva ad Apple con un mandato di comparizione, la società deve rinunciare a tutti i dati di iCloud, inclusa la chiave di decrittazione. Questo ha ulteriori round di ramificazioni. Ad esempio, mentre il servizio iMessage è crittografato end-to-end, le conversazioni archiviate in un backup iCloud non sono.
In altre parole, anche se la funzione Messaggi in iCloud che mantiene sincronizzata la tua messaggistica tra dispositivi utilizza la crittografia end-to-end, diventa insignificante se abiliti Backup iCloud perché il backup del tuo dispositivo include quindi una copia della chiave che protegge i tuoi Messaggi.
Secondo Apple, questo ti assicura di poter recuperare i tuoi messaggi se dovessi perdere l'accesso al portachiavi iCloud e a tutti i dispositivi affidabili in tuo possesso. "Quando disattivi iCloud Backup, sul dispositivo viene generata una nuova chiave per proteggere i messaggi futuri e non viene archiviata da Apple", afferma la società in un documento di supporto sul suo sito Web che delinea la sicurezza di iCloud.
Inoltre, Apple utilizza la crittografia end-to-end iCloud in modo selettivo per elementi quali voci del calendario, database di integrità, portachiavi iCloud e password Wi-Fi salvate, ma non foto, file in iCloud Drive, e-mail e altre categorie.
Il dispositivo GrayKey utilizzato per attacchi con passcode iPhone a forza bruta.
Nonostante i recenti tentativi dei funzionari dell'FBI di accusare Apple di aiutare terroristi e predatori sessuali rifiutando di "sbloccare" iPhone, il reporter di Forbes Thomas Brewster ha rivelato che l'agenzia delle forze dell'ordine ha utilizzato lo strumento GrayKey di GrayShift per ottenere dati da un iPhone 11 Pro Max bloccato durante una recente indagine penale.
Ciò non significa che gli ultimi iPhone di Apple siano intrinsecamente insicuri o inclini a hackerare con strumenti come il dispositivo GrayShift o il software Cellebrite, significa solo che iOS può essere hackerato. Non significa in alcun modo che il coprocessore crittografico Security Enclave incorporato che controlla la crittografia e valuta un passcode o Face ID / Touch ID sia stato compromesso.
Quello che fanno strumenti come GrayKey è indovina la password sfruttando i difetti nel sistema operativo iOS per rimuovere il limite di dieci tentativi di password. Dopo aver rimosso questo software, tali strumenti sfruttano semplicemente un attacco di forza bruta per provare automaticamente migliaia di passcode fino a quando non funziona.
Jack Nicas, scrivendo per il New York Times:
Questo approccio implica che il jolly nel caso Pensacola è la lunghezza del passcode del sospetto. Se sono sei numeri - il valore predefinito su iPhone - quasi sicuramente le autorità possono romperlo. Se è più lungo, potrebbe essere impossibile.
Un codice di accesso di quattro numeri, la lunghezza predefinita precedente, richiederebbe in media circa sette minuti per indovinare. Se sono a sei cifre, occorrerebbero in media circa 11 ore. Otto cifre: 46 giorni. Dieci cifre: 12,5 anni.
Se il codice di accesso utilizza sia numeri che lettere, ci sono molti più codici di accesso possibili - e quindi decifrare richiede molto più tempo. Un codice alfanumerico di sei caratteri richiederebbe in media 72 anni per indovinare.
Ci vogliono 80 millisecondi per un iPhone per calcolare ogni ipotesi. Anche se può sembrare piccolo, considera che il software può teoricamente provare migliaia di passcode al secondo. Con il ritardo, può provare solo circa 12 al secondo.
Il tuo obiettivo principale dovrebbe essere che il tempo di elaborazione di 80 millisecondi per la valutazione del passcode non può essere aggirato dagli hacker perché tale limitazione è imposta nell'hardware da Secure Enclave.
Quindi, cosa significa tutto quanto sopra?
Come notato da John Gruber di Daring Fireball, se sei preoccupato che il tuo telefono venga violato, usa una passphrase alfanumerica come passcode, non un passcode numerico a 6 cifre.
E quando si tratta di crittografia, Apple afferma di non poter e non sovvertire la crittografia sul dispositivo, rilevando quanto segue nel suo ultimo Rapporto sulla trasparenza:
Abbiamo sempre sostenuto che non esiste una backdoor solo per i bravi ragazzi. Le backdoor possono anche essere sfruttate da coloro che minacciano la nostra sicurezza nazionale e la sicurezza dei dati dei nostri clienti. Oggi, le forze dell'ordine hanno accesso a più dati che mai nella storia, quindi gli americani non devono scegliere tra indebolire la crittografia e risolvere le indagini. Riteniamo fortemente che la crittografia sia vitale per proteggere il nostro Paese e i dati dei nostri utenti.
Tornando indietro alla storia di Reuters, mi aspetto ulteriori tentativi da parte del governo degli Stati Uniti nel tentativo di raccogliere il sostegno pubblico per rendere illegale la crittografia.
Cosa ne pensi dell'ultima versione di Apple vs. FBI e della crittografia in generale?
Facci sapere nel commento in basso!