Quão seguros são os backups do iCloud?

17

Os backups do iCloud são criptografados, quando transmitidos e armazenados? É possível que alguém na Apple acesse qualquer backup feito nos dados inseridos?

Ouvi dizer que quando os aplicativos são retirados da loja de aplicativos, eles também são removidos dos backups do iCloud; portanto, se eles podem ser modificados pela apple, certamente não serão armazenados com segurança?

Tenho muitas das minhas senhas de sites e aplicativos salvas, então presumo que elas também estejam armazenadas nos backups?

ios icloud backup security privacy Jonathan.
fonte
Caso não tenha ficado claro com as respostas - seus aplicativos não são armazenados no iCloud, mas baixados da loja depois que os dados do iCloud para os aplicativos são restaurados. Portanto, se um aplicativo for excluído da loja (e não apenas removido da venda) - os dados ficarão lá impossibilitados de fazer qualquer coisa, pois falta tudo. Não há indicação de que a Apple esteja removendo arquivos de um backup, exceto quando você pede para desativar o backup em um aplicativo específico. Deixe-me saber se você quer que respondeu explicitamente abaixo ...
bmike
Você tem uma fonte sobre a Apple remover aplicativos dentro de backups do iCloud?
Nicolas Barbulesco 29/01
@bmike - Isso é interessante ... e um pouco preocupante. A restauração faz o download da versão correta da loja de aplicativos? Ou a última versão (compatível)?
Nicolas Barbulesco 29/01
11
@NicolasBarbulesco Você deseja sincronizar, fazer backup e restaurar com o iTunes para garantir que versões compatíveis sejam recarregadas. Não tive um problema com o iCloud ao não encontrar um aplicativo compatível - mas minha intuição é que você pode obter um aplicativo descartado se o aplicativo não tiver sido marcado corretamente na loja pelo desenvolvedor (para permitir downloads herdados, etc ... )
bmike

Respostas:

6

A ArsTechnica acabou de escrever uma grande peça sobre isso .

Uma saída rápida:

A resposta simples é que seus dados são pelo menos tão seguros quanto quando armazenados em qualquer servidor remoto, se não mais. Todos os dados são transferidos para computadores e dispositivos móveis usando a camada de soquetes seguros via WebDAV, IMAP ou HTTP. Todos os dados, exceto e-mail e notas - mais sobre isso mais tarde - são armazenados e criptografados em disco nos servidores da Apple. E tokens de autenticação seguros são criados em dispositivos móveis para recuperar informações sem transmitir constantemente uma senha.

E os backups são armazenados e transferidos criptografados. Quanto a um funcionário poder acessar um backup, apenas um funcionário da Apple seria capaz de responder corretamente.

Se um aplicativo foi retirado da loja, talvez não seja necessário acessar seu backup para removê-lo. Todos os aplicativos têm um identificador exclusivo e, se houver algo, eles podem excluir esse backup para todos (pense nos backups sendo armazenados individualmente, em vez de um grande arquivo ZIP, se você desejar). Novamente, isso é interno da Apple, para que ninguém possa responder totalmente a essa parte.

Por fim, os backups incluem o Keychain, mas ele também é criptografado e a chave está vinculada ao dispositivo que fez o backup.

De vários lugares que li on-line, a Apple atende ou excede (com mais frequência) os procedimentos de segurança padrão a esse respeito.

jmlumpkin
fonte
13

As boas notícias. Os dados são criptografados usando SSL enquanto são transferidos entre o computador e os servidores do iCloud. Além disso, os dados são criptografados enquanto estão "em repouso", armazenados nos servidores do iCloud (com algumas exceções; veja abaixo). A criptografia é invisível, fácil de usar e automática (ativada por padrão).

As notícias menos boas.O iCloud usa criptografia do lado do servidor, não do lado do cliente. Ao enviar dados para a nuvem, eles são criptografados em sua máquina com SSL, descriptografados nos servidores do iCloud e recodificados novamente usando uma chave de criptografia que a Apple conhece para armazenamento. Isso significa que os funcionários da Apple têm a capacidade técnica de ler seus dados. Pode haver controles procedimentais, técnicos ou de política para tornar isso improvável, mas a capacidade existe. Isso significa que, se a nuvem da Apple for comprometida por um invasor sofisticado, ele poderá acessar todos os seus dados. Em outras palavras, qualquer violação ou acidente de dados da Apple pode expor seus dados. Isso pode não ser muito provável, mas, considerando que mesmo empresas respeitadas como o Google foram violadas, uma violação ou outra exposição dos servidores iCloud não é impensável.

E-mail e anotações não são armazenados na forma criptografada, enquanto estiverem nos servidores da Apple. O e-mail geralmente contém informações confidenciais - por exemplo, senhas de contas, links de redefinição -, portanto, isso é um pouco perigoso.

Se a aplicação da lei solicitar à Apple uma cópia dos seus dados, ela será compartilhada com eles. A Apple não exigirá necessariamente um mandado. A EFF concede à Apple apenas uma em cada quatro estrelas para proteger os dados dos usuários em seu relatório, Quando o governo bate na porta, quem está do seu lado? , e declara a Apple por não ser transparente com relação às solicitações governamentais de acesso aos seus dados e não informar aos usuários quando os dados foram divulgados ao governo.

Os riscos não se limitam a solicitações do governo. Se você for processado, ou acabar em um divórcio contencioso, os advogados da parte contrária poderão intimar seus dados da Apple, e a Apple deverá divulgar esses dados a eles. Observe que o limite para uma intimação é relativamente baixo: principalmente, que os dados têm probabilidade de serem relevantes para o caso.

A segurança dos seus dados no iCloud é tão boa quanto a senha no seu ID Apple. Portanto, se você deseja que seus dados sejam protegidos, escolha uma frase longa e forte. Infelizmente, existem alguns aspectos dos sistemas atuais que tendem a induzir os usuários a escolher frases curtas e fracas. O sistema operacional se recusa a armazenar essa senha no chaveiro, exigindo que você a digite com frequência. Se você usa um dispositivo iOS, frequentemente precisará digitar a senha do seu ID Apple (por exemplo, sempre que instalar ou atualizar um aplicativo). Como inserir uma senha longa e forte é uma grande dor de cabeça para um iPhone, muitos usuários podem acabar escolhendo uma senha curta e ruim apenas por uma questão de conveniência - o que infelizmente deixa os dados do iCloud mal protegidos. Portanto, o design atual pode incentivar muitos usuários a usar uma senha fraca,

Leitura adicional. O Economist tem um excelente argumento resumindo as implicações de segurança do armazenamento de seus dados na nuvem e os diferentes níveis de segurança proporcionados por diferentes provedores ; para comparação, o iCloud é semelhante ao DropBox em suas propriedades de segurança e mais fraco que o SpiderOak. Para ajudar a entender por que a Apple pode ter escolhido a arquitetura específica que escolheu, você pode ler o artigo do blog de Ben Adida: Criptografia não é molho; tem implicações significativas para a usabilidade. .

Resumo. As práticas de segurança do iCloud estão amplamente alinhadas com as práticas comuns nessa área. O iCloud parece ter uma arquitetura de segurança razoável e projetada profissionalmente. Embora existam alguns riscos de segurança, para a maioria das pessoas, a segurança do iCloud provavelmente é boa o suficiente, e os benefícios de conveniência do iCloud provavelmente superam os riscos para a maioria das pessoas.

No entanto, armazenar seus dados na nuvem aumenta o risco. Para alguns usuários particularmente sensíveis - por exemplo, registros de saúde, instituições financeiras ou outras empresas com dados confidenciais - pode ser prudente evitar o armazenamento dos dados mais sensíveis na nuvem.

DW
fonte
Ótima resposta. Mas desde o advento do Touch ID, a frequência com a qual você precisa digitar novamente sua senha do Apple ID foi significativamente reduzida, se você optar por isso.
Mike Chamberlain
"O iCloud usa criptografia do lado do servidor, não do lado do cliente." Esta declaração ainda é precisa? A apple.com/business/docs/iOS_Security_Guide.pdf (datada de março de 2017) diz "Os arquivos são copiados para o iCloud em seu estado criptografado original". (embora no contexto de "arquivos ... criados em classes de proteção de dados que não são acessíveis quando o dispositivo está bloqueado").
jhfrontz
11
@jhfrontz, tanto quanto eu sei, sim. É por design. Faça o teste da poça de lama: blog.cryptographyengineering.com/2012/04/05/… .
DW
OK, obrigado - eu não fazia ideia de que havia um serviço "iForgot" (e, portanto, assumi que a senha do iCloud era usada localmente para criptografar antes da transmissão para a [i] nuvem).
Jhfrontz 13/07
2

Existe documentação cobrindo este tópico. Nota:

Segurança do iCloud O
iCloud protege seu conteúdo criptografando-o quando enviado pela Internet, armazenando-o em um formato criptografado e usando tokens seguros para autenticação.

Você pode encontrar mais em:

http://support.apple.com/kb/HT4865

Você provavelmente não deve enviar suas senhas para um servidor em nuvem. De qualquer forma, essa é uma má escolha no que diz respeito à sua segurança e informações.

soxman
fonte