Eroare masivă de iPhone a Apple – un nou avertisment pentru un miliard de utilizatori

Apple se confruntă cu o problemă foarte serioasă, care a devenit dintr-o dată o problemă majoră, subminând afirmațiile despre securitatea și confidențialitatea iPhone-ului. Se pare că orice s-ar întâmpla pe iPhone-ul tău, nu se întâmplă Mereu Rămâneți pe iPhone până la urmă.

Am avertizat anterior despre un defect grav în securitatea iPhone-ului Apple când vine vorba de mesajele private trimise între mai mult de un miliard de utilizatori. Confidențialitate integrată de la început,” spune Apple. „Funcțiile de securitate puternice ajută la prevenirea accesului la informațiile tale pe oricine, în afară de tine.” Dacă ar fi atât de clar. Acum a sosit un nou avertisment dintr-o sursă foarte surprinzătoare în știri.

iMessage este software-ul Apple de mesagerie criptată end-to-end. Conceput pentru a concura cu WhatsApp, acesta sunet Obțineți aceeași securitate, deși numai atunci când vă conectați în cadrul ecosistemului Apple. Trimiteți un mesaj unui utilizator Android și înapoi la SMS, ceea ce nu este acceptabil în 2021 – mai multe despre asta mai târziu. Dar chiar și atunci când crezi că ești în siguranță, probabil te înșeli. iMessage are o dilemă alarmantă.

Problema este iCloud și backup-urile publice pe care le faci de pe iPhone. Dacă utilizați setările implicite recomandate de Apple, activați Mesaje în iCloud – ceea ce înseamnă că vă sincronizați mesajele pe toate dispozitivele dvs. și, de asemenea, activați o copie de rezervă iCloud publică, ceea ce înseamnă că salvați o copie a datelor și a setărilor telefonului dvs. în Apple cloud.

Aici se complică. iMessage este securizat cu criptare end-to-end, ideea fiind că cheile pentru decriptarea mesajelor sunt între dvs. și cei cărora le trimiteți mesaje Doar împărtășită între voi. Acest lucru împiedică pe oricine să vă intercepteze conținutul. Dar într-o întorsătură ciudată, Apple stochează o copie a acestor chei de criptare în backup-ul său iCloud, la care are acces. Aceasta înseamnă că criptarea end-to-end este de fapt oarecum inutilă.

Această problemă a ieșit în prim-plan săptămâna aceasta, cu publicarea Un document sensibil al FBI care oferă consiliere cu privire la platformele de mesagerie pe care agenții săi le pot accesa cu ușurință. Problema iMessage a fost în prim-plan: „Dacă ținta folosește o copie de rezervă iCloud, cheile de criptare trebuie, de asemenea, furnizate cu [lawful access] Returnarea conținutului iMessages de la iCloud poate fi obținută și în Returns dacă ținta a activat Mesaje în iCloud. „

Când vine vorba de securitate, asigurările WhatsApp sunt clare: „Folosim criptare end-to-end, astfel încât nimeni să nu poată citi sau asculta conversațiile tale personale”. Formularea Apple variază – iar nuanța este critică. „Criptarea de la capăt la capăt vă protejează conversațiile iMessage pe toate dispozitivele”, spune ea, „deci Apple nu poate să vă citească mesajele în timp ce călătoresc între dispozitive.”

Formularea „tranzitorie” este critică. Este absolut adevărat că atunci când mesajele se deplasează între telefoane este foarte sigur, dar pe dispozitiv și cu backup în cloud, asta se schimbă. Această problemă devine rapid cea mai critică pentru mesageria securizată.

În ciuda afirmațiilor mai clare, WhatsApp nu s-a descurcat atât de bine, FBI-ul spunând că poate solicita liste de contacte și metadate „trimise la fiecare 15 minute” despre cine trimite mesaje cui. De asemenea, poate accesa conținutul mesajului „Dacă ținta folosește backup-uri iPhone și iCloud, returnările iCloud pot conține date WhatsApp pentru a include conținutul mesajului”.

Noua funcție de backup criptată din WhatsApp este concepută pentru a rezolva exact această problemă, iar WhatsApp recomandă în timpul procesului de configurare că utilizatorii trebuie să o elimine din iCloud Backup-uri. Se pare că o mică configurare a backup-ului iCloud este o veste proastă pentru mesajele private din toate punctele de vedere – și este o vulnerabilitate majoră de securitate pe care Apple trebuie să o soluționeze urgent.

Deloc surprinzător, Signal apare cel mai bine în document: „Fără conținut de mesaj, [just] Datele și ora utilizatorului înregistrat [and] Ultima dată la care utilizatorul s-a conectat la serviciu. Signal evită toate opțiunile de backup de pe dispozitiv și se știe că nu captează deloc metadate. În esență, dacă datele nu sunt acolo, nu pot fi salvate.

„Este imposibil să predăm date la care nu am avut niciodată acces în primul rând”, Semnal spune. Signal nu vă poate accesa mesajele; lista de chat; grupurile; contactele; autocolante; numele sau avatarul profilului; sau chiar GIF-urile pe care le căutați.

Dacă vrei să-ți păstrezi mesajele private, sfatul meu este să folosești WhatsApp ca cont zilnic, doar având în vedere dimensiunea acestuia, dar asigură-te că folosești copii de rezervă criptate și nu activezi opțiunea de backup iCloud. Cu siguranță ar trebui să utilizați Signal, deoarece aplicația este disponibilă și pentru contactele dvs. Dacă sunteți un utilizator Android, puteți seta Signal să fie mesagerul dvs. implicit, gestionând și SMS-urile – ceea ce este o opțiune excelentă.

Acesta nu a fost un an bun pentru Apple și platforma sa iMessage. Stocarea cheilor de criptare în copiile de rezervă accesibile este o greșeală, dar a făcut și alte două, ambele reducând foarte mult securitatea și confidențialitatea iMessage.

Primul, Decizia Apple de a nu lansa acum RCS formatat pe Android Este o mișcare proastă pentru utilizatori. Acest lucru înseamnă că utilizatorii Apple care trimit mesaje cu contacte Android sau invers, trebuie să se întoarcă la o platformă terță parte precum WhatsApp sau vor utiliza implicit SMS-uri nesigure, ceea ce este o situație nebună pentru 2021.

Google a făcut lobby la Apple pentru această actualizare SMS v2 și am văzut mai multe despre asta în ultimul timp cu un fișier Actualizare Google Messages Traduce răspunsurile expresive iMessage la ceva similar pe dispozitivul dvs. Android. Acest lucru este oarecum patetic ca un gest simbolic al interoperabilității pe mai multe platforme, dar face ideea.

În al doilea rând, Apple a greșit și ea în decizia sa Adăugați un registru de lucru AI pe dispozitiv la iMessage Pentru a avertiza minorii care trimit sau primesc imagini explicite. Deși acest lucru nu încalcă din punct de vedere tehnic criptarea end-to-end, deschide o ușă din spate la interferența exterioară în zona generală de mesagerie securizată și, ca urmare, a fost puternic criticată de susținătorii securității și confidențialității.

Și să nu-l uităm pe PegasusPoartăȘi Hackul iMessage a fost implicat în atacuri cu presiune zero asupra utilizatorilor Apple, care ar fi fost comise folosind tehnologia NSO. Apple spune că a corectat aceste vulnerabilități în iOS 15A fost dăunător, totuși.

Acesta este un moment distractiv pentru mesaje sigure. Nu a mai existat conștientizarea valorii menținerii confidențialității cu securitate end-to-end, dar, în același timp, nu a existat nicio presiune asupra furnizorilor de tehnologie pentru a deschide aceste platforme pentru aplicarea legii. Publicarea acestui document FBI arată că, în ciuda protestelor parlamentarilor răvășiți, până acum există o cantitate suficientă de acces la date.

Pegasus și această dezvăluire legală a accesului este totul despre un compromis la punctul final. Indiferent dacă sunteți pe dispozitiv și a fost exploatat de programe malware sau ați făcut backup în cloud, odată ce datele dvs. criptate end-to-end ajung la una dintre aceste părți, trebuie să aveți grijă de securitatea acestora. Aceasta înseamnă să vă protejați dispozitivul și să acordați atenție la ceea ce faceți backup acolo unde îi aparține.

Între timp, pentru Apple și USP pentru securitate și confidențialitate, acesta este un alt set jenant de titluri de care se poate renunța cu adevărat. Am contactat Apple pentru orice comentarii cu privire la documentul FBI și la implicațiile sale grave pentru cei peste 1 miliard de utilizatori de iPhone.

Faptul grav este că Apple trebuie să-și schimbe urgent abordarea iCloud, să oprească stocarea cheilor de criptare și să evite copierea de rezervă a datelor criptate end-to-end, cu excepția cazului în care protecția sa este implementată sau utilizatorii sunt avertizați în mod special că confidențialitatea lor este compromisă. Această actualizare este acum critică.