Uma empresa forense russa chamada Elcomsoft descobriu que a Apple estava armazenando os históricos de navegação dos usuários no Safari no iCloud há mais de um ano, possivelmente por muito mais tempo. Isso acontecia mesmo depois que os usuários solicitavam que quaisquer registros excluídos fossem apagados de seus dispositivos conectados ao iCloud. Logo após a Elcomsoft anunciar uma maneira de extrair históricos de navegação excluídos do iCloud, a Apple aplicou uma correção no servidor para interromper as recuperações e aparentemente eliminou todos os registros anteriores a duas semanas.
"Boa jogada, Apple", disse Elcomsoft. "Ainda assim, gostaríamos de obter uma explicação."
A Apple se recusou a comentar publicamente as descobertas da Elcomsoft.
A Elcomsoft descobriu, por acaso, que as informações sobre entradas excluídas no histórico de navegação do Safari estavam sendo armazenadas no iCloud, possivelmente por tempo indeterminado. Esses registros incluíam nomes como sites, URLs e quando um determinado site foi visitado.
Os registros limpos foram simplesmente marcados como "excluídos" na tabela no iCloud. Os itens não parecem acessíveis aos pedidos de aplicação da lei.
Segundo especialistas em segurança, essa era uma falha de design, e não algum tipo de esquema nefasto da parte da Apple..
A sincronização do iCloud requer que os registros de itens excluídos permaneçam acessíveis nos servidores por algum tempo após a exclusão dos itens reais. Isso permite que um dispositivo iCloud que pode estar desligado ou inacessível remova uma cópia do item que foi excluído anteriormente do Safari em outro dispositivo, assim que o dispositivo estiver novamente online.
Agora, todas as empresas que executam serviços on-line que armazenam dados de usuários em servidores são obrigadas por lei a aderir a alguma forma de retenção de dados, obrigando-as a manter todos os itens excluídos nos servidores por um determinado período de tempo. Conforme explicado, manter um registro de que um determinado site foi visitado e limpo permite que a Apple sincronize essas informações com outros dispositivos que possam estar inacessíveis no momento para o iCloud.
A Elcomsoft obteve esses registros com sucesso com sua ferramenta de aquisição móvel, que remonta a mais de um ano, mas isso foi antes da Apple silenciosamente aplicar uma correção no servidor. A ferramenta extrai informações completas sobre cada registro, incluindo a data e a hora em que o registro foi acessado pela última vez, bem como a data e a hora em que o registro foi excluído.
A Elcomsoft encontrou esses registros armazenados em forma de unhashed desde novembro de 2015.
Embora a ferramenta de detecção de disjuntor de telefone da Elcomsoft possa ser usada para acessar esses dados de forma não criptografada, ela exige que o usuário tenha acesso às credenciais de login do iCloud de um destino ou a um token de autenticação armazenado no próprio dispositivo, dificultando a invasão da privacidade relacionada ao iCloud fora.
Segundo a Forbes, uma mudança implementada pela Apple no Safari 9.1 e iOS 9.3 transforma qualquer URL excluído do histórico da web do usuário em um formato hash para evitar bisbilhoteiros. Enquanto isso, você pode evitar esse problema desabilitando a sincronização do Safari nas configurações do iCloud no iPhone, iPad ou Mac.
Fonte: Elcomsoft via Forbes