Apple столкнулась с очень серьезной проблемой, которая внезапно превратилась в серьезную проблему, подрывая заявления о безопасности и конфиденциальности iPhone. Оказывается, что бы ни происходило на вашем iPhone, этого не происходит Всегда В конце концов, оставайтесь на своем iPhone.
Ранее я предупреждал о серьезном недостатке в безопасности Apple iPhone, когда речь идет о личных сообщениях, отправляемых между более чем миллиардом пользователей. Конфиденциальность заложена с самого начала » Apple говорит. «Надежные функции безопасности помогают предотвратить доступ к вашей информации никому, кроме вас». Если бы это было так ясно. Теперь новое предупреждение пришло от очень неожиданного источника в новостях.
iMessage — это программа Apple для сквозного зашифрованного обмена сообщениями. Созданный для конкуренции с WhatsApp, он звук Получите такую же безопасность — хотя и только при подключении в экосистеме Apple. Отправьте сообщение пользователю Android и вернитесь в SMS, что недопустимо в 2021 году — подробнее об этом позже. Но даже если вы думаете, что находитесь в безопасности, вы, вероятно, ошибаетесь. iMessage находится в тревожном затруднительном положении.
Проблема в iCloud и публичных резервных копиях, которые вы делаете со своего iPhone. Если вы используете рекомендуемые Apple настройки по умолчанию, вы включаете Сообщения в iCloud, что означает, что вы синхронизируете свои сообщения на всех своих устройствах, а также включаете общедоступное резервное копирование iCloud, что означает, что вы сохраняете копию данных и настроек вашего телефона в Облако Apple.
Здесь все усложняется. iMessage защищен сквозным шифрованием, идея заключается в том, что ключи к расшифровке сообщений находятся между вами и теми, кому вы отправляете сообщения. Просто поделился между вами. Это предотвращает перехват вашего контента кем-либо. Но, что странно, Apple хранит копию этих ключей шифрования в своей резервной копии iCloud, к которой у нее есть доступ. Это означает, что сквозное шифрование на самом деле бесполезно.
Эта проблема вышла на первый план на этой неделе, когда издательский Секретный документ ФБР, содержащий рекомендации по платформам обмена сообщениями, к которым могут легко получить доступ его агенты. Проблема iMessage была в центре внимания: «Если цель использует резервную копию iCloud, ключи шифрования также должны быть предоставлены с [lawful access] Возврат содержимого iMessages из iCloud также может быть получен в Returns, если у цели включены сообщения в iCloud. «
Что касается безопасности, гарантии WhatsApp ясны: «Мы используем сквозное шифрование, чтобы никто не мог читать или слушать ваши личные разговоры». Формулировки Apple меняются — и нюанс очень важен. «Сквозное шифрование защищает ваши разговоры в iMessage на всех ваших устройствах, — говорит она, — поэтому у Apple нет возможности читать ваши сообщения, когда они перемещаются между устройствами».
«Временная» формулировка имеет решающее значение. Совершенно верно, что когда сообщения перемещаются между телефонами, это очень безопасно, но на устройстве и резервная копия в облаке, это меняется. Эта проблема быстро становится самой важной для безопасного обмена сообщениями.
Несмотря на свои грубые утверждения, WhatsApp не так хорошо себя показал: ФБР заявило, что может запрашивать списки контактов и метаданные, «отправляемые каждые 15 минут» о том, кому они отправляют сообщения. Он также может получить доступ к содержимому сообщения: «Если цель использует резервные копии iPhone и iCloud, возвращаемые данные iCloud могут содержать данные WhatsApp для включения содержимого сообщения».
Новая функция зашифрованного резервного копирования в WhatsApp предназначена для решения именно этой проблемы, и в процессе настройки WhatsApp сообщает, что пользователям необходимо удалить ее из iCloud Резервные копии. Оказывается, небольшая настройка резервного копирования iCloud — плохая новость для личных сообщений во всех отношениях — и это серьезная уязвимость системы безопасности, которую Apple необходимо срочно устранить.
Неудивительно, что Signal лучше всего выглядит в документе: «Нет содержимого сообщения, [just] Дата и время зарегистрированного пользователя [and] Дата последнего подключения пользователя к услуге. Signal избегает всех параметров резервного копирования на устройстве и, как известно, вообще не захватывает какие-либо метаданные. По сути, если данных нет, их невозможно сохранить.
«Невозможно передать данные, к которым у нас никогда не было доступа», Сигнал говорит. Signal не может получить доступ к вашим сообщениям, списку чатов, группам, контактам, стикерам, имени или аватару вашего профиля или даже к нужным GIF-файлам.
Если вы хотите, чтобы ваши сообщения оставались конфиденциальными, я советую использовать WhatsApp в качестве ежедневной учетной записи, учитывая ее размер, но убедитесь, что вы используете зашифрованные резервные копии и не включаете опцию резервного копирования iCloud. Вам обязательно стоит использовать Signal, так как приложение также доступно для ваших контактов. Если вы являетесь пользователем Android, вы можете установить Signal в качестве мессенджера по умолчанию, также обрабатывая SMS, что является отличным вариантом.
Это был не лучший год для Apple и ее платформы iMessage. Хранение ключей шифрования в доступных резервных копиях — одна ошибка, но он сделал еще две, обе из которых значительно снижают безопасность и конфиденциальность iMessage.
Первый, Решение Apple отказаться от развертывания форматированной RCS сейчас на Android Это плохой ход для пользователей. Это означает, что пользователи Apple, которые отправляют сообщения контактам Android или наоборот, должны вернуться на стороннюю платформу, такую как WhatsApp, иначе они по умолчанию будут использовать небезопасные SMS, что для 2021 года станет безумной ситуацией.
Google мягко лоббирует Apple по поводу этого обновления SMS v2, и в последнее время мы наблюдаем больше таких случаев с файлом Обновление сообщений Google Переводит выразительные ответы iMessage на нечто подобное на вашем устройстве Android. Это несколько жалко как символический жест межплатформенной совместимости, но в нем есть смысл.
Во-вторых, Apple тоже ошиблась в своем решении. Добавить книгу AI на устройстве в iMessage Для предупреждения несовершеннолетних, отправляющих или получающих откровенные изображения. Хотя это технически не нарушает сквозное шифрование, оно открывает лазейку для внешнего вмешательства в общую область безопасного обмена сообщениями и в результате подверглось серьезной критике со стороны защитников безопасности и конфиденциальности.
И не забываем ПегасаВоротаА также Взлом iMessage был причастен к атакам нулевого давления на пользователей Apple, которые, как сообщается, были совершены с использованием технологии NSO. Apple заявляет, что исправила эти уязвимости в iOS 15Но это было вредно.
Это отличное время для безопасного обмена сообщениями. Больше не было понимания ценности сохранения конфиденциальности с помощью сквозной безопасности, но в то же время больше не было давления на поставщиков технологий, чтобы они открыли эти платформы для правоохранительных органов. Публикация этого документа ФБР показывает, что, несмотря на протесты ястребиных законодателей, доступ к данным пока изрядный.
Pegasus и это раскрытие законного доступа — это все о компромиссе в конечной точке. Независимо от того, используете ли вы устройство и оно было использовано вредоносным ПО или резервное копирование в облако, как только ваши зашифрованные данные из конца в конец достигают одной из этих сторон, вам необходимо позаботиться о его безопасности. Это означает защиту вашего устройства и внимание к тому, что вы сохраняете, где оно и должно быть.
Между тем, для Apple и USP в области безопасности и конфиденциальности это еще один смущающий набор заголовков, от которых действительно можно отказаться. Я связался с Apple по поводу любых комментариев по поводу документа ФБР и его серьезных последствий для более чем миллиарда пользователей iPhone.
Суровый факт заключается в том, что Apple необходимо срочно изменить свой подход к iCloud, прекратить хранить ключи шифрования и избегать сквозного зашифрованного резервного копирования данных, если не реализована его защита или пользователи специально не предупреждены о том, что их конфиденциальность находится под угрозой. Это обновление сейчас критическое.
More Stories
Сложный подъем для велосипедистов
AirPods Pro в списке «лучших изобретений» показывает, что Apple по-прежнему впечатляет
Apple включает неожиданные улучшения функций в свой MacBook Pro начального уровня