L’enorme errore di iPhone di Apple: un nuovo avviso per un miliardo di utenti

Apple sta affrontando un problema molto serio che è diventato improvvisamente un grosso problema, minando le affermazioni sulle credenziali di sicurezza e privacy dell’iPhone. Si scopre che qualunque cosa accada sul tuo iPhone, non succede Sempre Rimani sul tuo iPhone dopo tutto.

In precedenza avevo avvertito di un grave difetto nella sicurezza dell’iPhone di Apple quando si tratta di messaggi privati ​​inviati tra più di un miliardo di utenti. Privacy integrata fin dall’inizio” Apple dice. “Le potenti funzionalità di sicurezza aiutano a impedire a chiunque tranne te di accedere alle tue informazioni.” Se solo fosse così chiaro. Ora è arrivato un nuovo avvertimento da una fonte di cronaca molto sorprendente.

iMessage è il software di messaggistica crittografato end-to-end di Apple. Progettato per competere con WhatsApp, è suono Ottieni la stessa sicurezza, anche se solo quando ti connetti all’interno dell’ecosistema Apple. Invia un messaggio a un utente Android e torna a SMS, il che non è accettabile nel 2021 – ne parleremo più avanti. Ma anche quando pensi di essere al sicuro, probabilmente ti sbagli. iMessage ha un dilemma allarmante.

Il problema è iCloud e i backup pubblici che fai dal tuo iPhone. Se utilizzi le impostazioni predefinite consigliate da Apple, attivi Messaggi in iCloud, il che significa che sincronizzi i tuoi messaggi su tutti i tuoi dispositivi e attivi anche un backup iCloud pubblico, il che significa che salvi una copia dei dati e delle impostazioni del tuo telefono sul nuvola di mele.

Qui è dove si complica. iMessage è protetto con la crittografia end-to-end, l’idea è che le chiavi per decifrare i messaggi sono tra te e coloro a cui stai inviando messaggi Solo condiviso tra di voi. Ciò impedisce a chiunque di intercettare i tuoi contenuti. Ma in una strana svolta, Apple memorizza una copia di queste chiavi di crittografia nel suo backup iCloud, a cui ha accesso. Ciò significa che la crittografia end-to-end è in realtà alquanto inutile.

Questo problema è emerso questa settimana, con pubblicazione Un documento sensibile dell’FBI che fornisce consigli sulle piattaforme di messaggistica a cui i suoi agenti possono accedere facilmente. Il problema di iMessage era in primo piano: “Se il target utilizza un backup iCloud, le chiavi di crittografia devono essere fornite anche con [lawful access] La restituzione del contenuto iMessage da iCloud può essere ottenuta anche in Resi se la destinazione ha abilitato Messaggi in iCloud. “

Quando si tratta di sicurezza, le assicurazioni di WhatsApp sono chiare: “Utilizziamo la crittografia end-to-end in modo che nessuno possa leggere o ascoltare le tue conversazioni personali”. La formulazione di Apple varia e la sfumatura è fondamentale. “La crittografia end-to-end protegge le tue conversazioni iMessage su tutti i tuoi dispositivi”, afferma, “quindi non c’è modo per Apple di leggere i tuoi messaggi mentre viaggiano tra i dispositivi”.

La formulazione “transitoria” è fondamentale. È assolutamente vero che quando i messaggi si spostano tra i telefoni è molto sicuro, ma sul dispositivo e il backup nel cloud, le cose cambiano. Questo problema sta rapidamente diventando il più critico per la messaggistica sicura.

Nonostante le affermazioni più schiette, WhatsApp non ha funzionato così bene, con l’FBI che afferma di poter richiedere elenchi di contatti e metadati “inviati ogni 15 minuti” su chi sta messaggiando chi. Può anche accedere al contenuto del messaggio “Se il target utilizza i backup di iPhone e iCloud, i resi di iCloud possono contenere dati WhatsApp per includere il contenuto del messaggio”.

La nuova funzione di backup crittografato in WhatsApp è progettata per risolvere esattamente questo problema e WhatsApp avvisa durante il processo di installazione che gli utenti devono rimuoverlo da iCloud Backup. Si scopre che una piccola configurazione del backup di iCloud è una cattiva notizia per i messaggi privati ​​sotto ogni aspetto ed è una delle principali vulnerabilità di sicurezza che Apple deve affrontare urgentemente.

Non sorprende che Signal appaia meglio nel documento: “Nessun contenuto del messaggio, [just] Data e ora dell’utente registrato [and] L’ultima data in cui l’utente si è connesso al servizio. Signal evita tutte le opzioni di backup sul dispositivo ed è noto che non acquisisce alcun metadato.In sostanza, se i dati non sono presenti, non possono essere salvati.

“È impossibile consegnare dati a cui non abbiamo mai avuto accesso in primo luogo”, Segnale dice. Signal non può accedere ai tuoi messaggi; alla tua lista chat; ai tuoi gruppi; ai tuoi contatti; ai tuoi adesivi; al nome del tuo profilo o avatar; o anche alle GIF che stai cercando.

Se vuoi mantenere privati ​​i tuoi messaggi, il mio consiglio è di utilizzare WhatsApp come account giornaliero, considerando solo le sue dimensioni, ma assicurati di utilizzare backup crittografati e non abilitare l’opzione di backup iCloud. Dovresti assolutamente usare Signal poiché l’app è disponibile anche per i tuoi contatti. Se sei un utente Android, puoi impostare Signal come il tuo messenger predefinito, gestendo anche gli SMS, che è un’ottima opzione.

Questo non è stato un buon anno per Apple e la sua piattaforma iMessage. La memorizzazione delle chiavi di crittografia in backup accessibili è un errore, ma ne ha commessi anche altri due, che riducono notevolmente la sicurezza e la privacy di iMessage.

Primo, La decisione di Apple di abbandonare l’implementazione di RCS formattato ora su Android È una mossa sbagliata per gli utenti. Ciò significa che gli utenti Apple che inviano messaggi ai contatti Android, o viceversa, devono tornare a una piattaforma di terze parti come WhatsApp o diventeranno di default SMS non sicuri, che è una situazione pazzesca per il 2021.

Google ha esercitato pressioni su Apple gentilmente per questo aggiornamento SMS v2 e ne abbiamo visti di più ultimamente con un file Aggiornamento dei messaggi di Google Traduce le risposte espressive di iMessage in qualcosa di simile sul tuo dispositivo Android. Questo è in qualche modo patetico come gesto simbolico di interoperabilità multipiattaforma, ma rende il punto.

In secondo luogo, anche Apple ha sbagliato nella sua decisione Aggiungi una cartella di lavoro AI sul dispositivo a iMessage Avvertire i minori che inviano o ricevono immagini esplicite. Sebbene ciò non violi tecnicamente la crittografia end-to-end, apre una porta sul retro alle interferenze esterne all’interno dell’area di messaggistica sicura complessiva e, di conseguenza, è stato pesantemente criticato dai sostenitori della sicurezza e della privacy.

E non dimentichiamo PegasoCancelloe L’hacking di iMessage è stato implicato in attacchi a pressione zero sugli utenti Apple che, secondo quanto riferito, sono stati commessi utilizzando la tecnologia NSO. Apple afferma di aver corretto queste vulnerabilità in iOS 15Era dannoso, però.

Questo è un momento divertente per messaggistica sicura. Non c’era più consapevolezza del valore nel mantenere la privacy con la sicurezza end-to-end, ma allo stesso tempo non c’era più pressione sui fornitori di tecnologia per aprire queste piattaforme alle forze dell’ordine. La pubblicazione di questo documento dell’FBI mostra che, nonostante le proteste dei legislatori falchi, finora c’è una discreta quantità di accesso ai dati.

Pegasus e questa divulgazione legale dell’accesso si basano su un compromesso alla fine. Che tu sia sul dispositivo e che sia stato sfruttato da malware o sia stato eseguito il backup nel cloud, una volta che i tuoi dati crittografati end-to-end raggiungono una di queste parti, devi prenderti cura della sua sicurezza. Ciò significa proteggere il tuo dispositivo e prestare attenzione a ciò di cui esegui il backup a cui appartiene.

Nel frattempo, per Apple e USP per la sicurezza e la privacy, questa è un’altra serie di titoli imbarazzanti di cui si può davvero fare a meno. Ho contattato Apple per qualsiasi commento sul documento dell’FBI e sulle sue gravi implicazioni per gli oltre 1 miliardo di utenti iPhone.

Il fatto evidente è che Apple ha bisogno di cambiare urgentemente il suo approccio iCloud, smettere di archiviare le chiavi di crittografia ed evitare il backup dei dati crittografati end-to-end a meno che non venga implementata la sua protezione o gli utenti siano specificamente avvisati che la loro privacy è stata compromessa. Questo aggiornamento è ora critico.