A Reuters alegou hoje que a Apple cedeu à pressão do Federal Bureau of Investigation (FBI), que supostamente exigiu que a empresa de Cupertino abandonasse os planos de implementar criptografia de ponta a ponta para backups de dispositivos iCloud, alegando que isso prejudicaria as investigações..
Embora a Apple tenha resistido à pressão do FBI, que em 2016 queria adicionar um backdoor ao iOS para ignorar o código que limita as tentativas de senha a dez tentativas consecutivas, nunca utilizou criptografia de ponta a ponta para backups de dispositivos iOS no iCloud, e agora sabemos porque.
Do relatório:
A reversão da gigante da tecnologia, há cerca de dois anos, não foi relatada anteriormente. Ele mostra o quanto a Apple está disposta a ajudar as agências de aplicação da lei e inteligência dos EUA, apesar de ter uma linha mais dura em disputas legais de alto perfil com o governo e se apresentar como defensora das informações de seus clientes..
De acordo com um ex-funcionário da Apple, a gigante da tecnologia de Cupertino estava motivada a evitar más relações públicas e não queria ser pintada por funcionários públicos como uma empresa que protege criminosos.
Se você deseja manter os dados do dispositivo iOS protegidos contra olhares indiscretos e solicitações do governo, evite usar o recurso iCloud Backup até a Apple lançar a criptografia de ponta a ponta para backups do iCloud.
"Eles decidiram que não iriam mais cutucar o urso", disse a pessoa. Outro funcionário disse: "Legal matou, por razões que você pode imaginar".
A Apple admite abertamente o fornecimento de backups de dispositivos iOS do iCloud para agências policiais, de acordo com o último Relatório de Transparência da empresa:
Exemplos de tais solicitações são as agências de aplicação da lei que trabalham em nome de clientes que solicitaram assistência com relação a dispositivos perdidos ou roubados. Além disso, a Apple recebe regularmente solicitações de vários dispositivos relacionadas a investigações de fraude. As solicitações baseadas em dispositivos geralmente buscam detalhes de clientes associados a dispositivos ou conexões de dispositivos aos serviços da Apple.
Aqui está o que a criptografia de ponta a ponta significaria em termos de manter os backups de dispositivos iOS no iCloud a salvo de solicitações governamentais, de acordo com Benjamin Mayo, do 9to5Mac:
A criptografia de ponta a ponta funciona criando uma chave de criptografia com base em fatores que não são armazenados no servidor. Isso pode significar emaranhar a chave com uma senha de usuário ou com alguma chave criptográfica armazenada no hardware do iPhone ou iPad local. Mesmo que alguém invadisse o servidor e tivesse acesso aos dados, os dados pareceriam ruído aleatório sem ter a chave emaranhada para decodificá-los.
Atualmente, a Apple armazena backups do iCloud de maneira criptografada não de ponta a ponta.
Isso significa que a chave de descriptografia é armazenada nos servidores da Apple. Se uma entidade policial chega à Apple com uma intimação, a empresa precisa ceder todos os dados do iCloud - incluindo a chave de descriptografia. Isso tem mais rodadas de ramificações. Por exemplo, enquanto o serviço iMessage é criptografado de ponta a ponta, as conversas armazenadas em um backup do iCloud não são.
Em outras palavras, mesmo que o recurso Mensagens no iCloud, que mantém suas mensagens sincronizadas entre dispositivos, use criptografia de ponta a ponta, fica sem sentido se você ativar o iCloud Backup porque o backup do dispositivo inclui uma cópia da chave que protege suas mensagens..
Segundo a Apple, isso garante que você possa recuperar suas mensagens caso perca o acesso ao Keychain do iCloud e a todos os dispositivos confiáveis em sua posse. "Quando você desativa o iCloud Backup, uma nova chave é gerada no seu dispositivo para proteger mensagens futuras e não é armazenada pela Apple", afirma a empresa em um documento de suporte em seu site, descrevendo a segurança do iCloud.
Além disso, a Apple emprega criptografia de ponta a ponta do iCloud seletivamente para itens como entradas de calendário, banco de dados de saúde, chaveiro do iCloud e senhas de Wi-Fi salvas, mas não suas fotos, arquivos no iCloud Drive, e-mails e outras categorias.
O dispositivo GrayKey usado para ataques de senha de força bruta do iPhone.
Apesar das recentes tentativas das autoridades do FBI de acusar a Apple de ajudar terroristas e predadores sexuais, recusando-se a "desbloquear" iPhones, o repórter da Forbes Thomas Brewster revelou que a agência policial usou a ferramenta GrayKift da GrayShift para obter dados de um iPhone 11 Pro Max bloqueado durante uma investigação criminal recente.
Isso não significa que os iPhones mais recentes da Apple sejam inerentemente inseguros ou propensos a hackers com ferramentas como o dispositivo GrayShift ou o software Cellebrite, apenas significa que o iOS pode ser hackeado. De maneira alguma significa que o coprocessador criptográfico incorporado do Security Enclave que controla a criptografia e avalia uma senha ou ID de rosto / ID de toque foi comprometido.
Que ferramentas como o GrayKey fazem é acho a senha explorando falhas no sistema operacional iOS para remover o limite de dez tentativas de senha. Depois de remover este software, essas ferramentas simplesmente se aproveitam de um ataque de força bruta para tentar automaticamente milhares de códigos de acesso até que um funcione.
Jack Nicas, escrevendo para o New York Times:
Essa abordagem significa que o curinga no caso Pensacola é o comprimento da senha do suspeito. Se forem seis números - o padrão nos iPhones - as autoridades certamente podem quebrá-lo. Se for mais longo, pode ser impossível.
Uma senha de quatro números, o tamanho padrão anterior, levaria em média sete minutos para adivinhar. Se tiver seis dígitos, levará em média cerca de 11 horas. Oito dígitos: 46 dias. Dez dígitos: 12,5 anos.
Se o código de acesso usa números e letras, há muito mais códigos de acesso possíveis - e, portanto, decifrar leva muito mais tempo. Uma senha alfanumérica de seis caracteres levaria em média 72 anos para adivinhar.
Demora 80 milissegundos para um iPhone calcular cada palpite. Embora isso possa parecer pequeno, considere que o software pode, teoricamente, tentar milhares de códigos por segundo. Com o atraso, ele pode tentar apenas cerca de 12 por segundo.
Seu principal argumento deve ser que o tempo de processamento de 80 milissegundos para avaliação da senha não possa ser ignorado pelos hackers, porque essa limitação é imposta no hardware pelo Secure Enclave..
Então, o que tudo isso significa para?
Conforme observado por John Gruber, da Daring Fireball, se você estiver preocupado com a invasão do telefone, use uma senha alfanumérica como senha, não uma senha numérica de 6 dígitos.
E quando se trata de criptografia, a Apple afirma que não pode e não subverterá a criptografia no dispositivo, observando o seguinte em seu último Relatório de Transparência:
Sempre mantivemos que não existe um backdoor apenas para os mocinhos. Os backdoors também podem ser explorados por aqueles que ameaçam nossa segurança nacional e a segurança de dados de nossos clientes. Hoje, as autoridades têm acesso a mais dados do que nunca na história, para que os americanos não precisem escolher entre enfraquecer a criptografia e resolver investigações. Consideramos fortemente que a criptografia é vital para proteger nosso país e os dados de nossos usuários.
Voltando à história da Reuters, estou esperando tentativas adicionais do governo dos EUA em um esforço para obter apoio público para tornar a criptografia ilegal.
Como você se sente sobre as últimas tecnologias Apple vs. FBI e criptografia em geral?
Deixe-nos saber no comentário abaixo!