Apple per espandere la crittografia nei suoi backup su cloud, ha interrotto il lancio di CSAM

Mercoledì Apple ha annunciato una serie di miglioramenti alla sicurezza dei dati che prevede di implementare nei prossimi mesi volti a proteggere i dati dei consumatori e respingere gli hacker.

Tre funzionalità di sicurezza dei dati includono la verifica della chiave di contatto iMessage, le chiavi di sicurezza per l’ID Apple e la protezione avanzata dei dati per iCloud. In un annuncio dell’azienda, Craig Federighi, Senior Vice President of Software Engineering di Apple, ha affermato che le nuove funzionalità offriranno agli utenti “tre nuovi potenti strumenti per proteggere ulteriormente i dati e le comunicazioni più sensibili”.

Dei tre miglioramenti, tuttavia, la caratteristica che sta facendo più scalpore è l’espansione dell’azienda della crittografia end-to-end ai suoi backup iCloud, una mossa che ha suscitato preoccupazioni da parte delle forze dell’ordine.

La sicurezza dei dati nel suo servizio cloud non è una novità, poiché la società ha utilizzato la crittografia per proteggere 14 “categorie di dati sensibili con crittografia end-to-end per impostazione predefinita, comprese le password del portachiavi iCloud e i dati sanitari”. La nuova funzionalità Advanced Data Protection espande il numero di categorie a 23 e include la crittografia E2E per iCloud Backup, Note e Foto, secondo il rilascio. La protezione non coprirà la posta, i contatti e il calendario di iCloud, quindi continueranno a interagire con altri sistemi globali non Apple.

Apple ha da tempo fornito una forte protezione della crittografia ai suoi dispositivi, inclusi iPhone, iPad e computer Mac. Le protezioni dei dispositivi hanno suscitato pesanti critiche da parte delle forze dell’ordine, in particolare del Federal Bureau of Investigation degli Stati Uniti, dopo l’attacco terroristico di San Bernardino del 2015.

‘Mela contro FBI’

I cosiddetti dibattiti “Apple contro FBI” hanno infuriato per mesi mentre l’agenzia cercava una backdoor negli iPhone per condurre le sue indagini di alto profilo. All’IAPP Global Privacy Summit del 2016, l’allora consigliere generale dell’FBI Jim Baker ha descritto il “problema oscuro” consentito dalla crittografia. Ha detto che mentre la crittografia “si diffonde in tutto il mondo, poiché diventa più facile da usare e diventa l’impostazione predefinita, più persone la useranno”. Ma, ha aggiunto, “Nel terrorismo, abbiamo un tasso di fallimento pari a zero”.

L’FBI alla fine ha ottenuto l’accesso al telefono del terrorista di San Bernardino, ma all’epoca non ha condiviso con Apple come lo ha fatto. “Amiamo la crittografia”, ha detto Baker nel 2016. “Sono stato vittima di crimini sulla privacy diverse volte, anche presso (l’Ufficio per la gestione del personale degli Stati Uniti). Vorrei che i dati fossero crittografati”.

Con la nuova espansione di Apple della crittografia iCloud, un servizio che gli utenti devono abilitare, l’FBI ribadisce le sue preoccupazioni. Questa settimana l’FBI ha dichiarato al Wall Street Journal di essere “profondamente preoccupato per le minacce poste dalla crittografia end-to-end e per l’accesso solo dell’utente e per la violenza contro i bambini nel traffico di droga, nella criminalità organizzata e nel terrorismo”, aggiungendo che le forze dell’ordine ha bisogno di “accesso legale per progettazione”.

In un discorso programmatico all’IAPP Global Privacy Summit del 2022, il CEO di Apple Tim Cook ha affermato che proteggere la privacy non è facile, ma “è una delle battaglie più importanti del nostro tempo”. Ha anche ribadito che Apple continuerà a “sostenere la crittografia senza backdoor, perché sappiamo che se installi una backdoor, chiunque può usarla”.

Nel suo annuncio di questa settimana, Apple ha affermato: “Una maggiore sicurezza per i dati degli utenti nel cloud è più urgente che mai”. Insieme all’annuncio, la società ha pubblicato un white paper scritto dal professor Stuart Madnick. “The Rising Threat to Consumer Data in the Cloud” ha rilevato che il numero di violazioni dei dati in tutto il mondo sarà più che triplicato tra il 2013 e il 2021. Inoltre, oltre il 60% delle 1.000 maggiori società statunitensi è stato violato e, entro il 2021, più della metà delle le organizzazioni intervistate hanno subito un attacco ransomware.

Il crimine informatico è un business multimiliardario poiché sempre più clienti e aziende conducono la propria attività online.

I piani di CSAM sono stati sospesi

Secondo Wired, Apple ha anche interrotto i piani per scansionare le foto degli utenti alla ricerca di materiale pedopornografico archiviato in iCloud. L’anno scorso, la società ha attirato critiche da parte dei sostenitori della privacy sul piano e nel settembre 2021 ha affermato che avrebbe sospeso il lancio “per raccogliere input e apportare miglioramenti prima” del lancio. In risposta al feedback ricevuto, “lo strumento di rilevamento CSAM per le foto di iCloud è ora morto”, afferma il rapporto.

Apple ora concentrerà il suo lavoro anti-CSAM sulle funzionalità di “Sicurezza della comunicazione”. In una dichiarazione fornita a Wired, la società ha affermato: “I bambini possono essere protetti senza che le aziende raccolgano i dati personali e continueremo a lavorare con governi, sostenitori dei bambini e altre società per aiutare a proteggere i giovani, preservare il loro diritto alla privacy, e rendere Internet un posto più sicuro per i bambini e per tutti noi”.

Ulteriori misure di sicurezza

Apple sta inoltre implementando la verifica della chiave di contatto iMessage e le chiavi di sicurezza. Sebbene utili per l’utente medio, queste robuste protezioni sono rivolte a “utenti che affrontano minacce digitali straordinarie, come giornalisti, attivisti per i diritti umani e membri del governo”, afferma il rapporto.

Gli utenti che hanno abilitato il servizio iMessage “riceveranno avvisi automatici se un avversario altamente avanzato, come un attaccante sponsorizzato dallo stato, riesce a violare i server cloud e ad entrare nel proprio dispositivo per intercettare queste comunicazioni crittografate”.

Infine, la chiave di sicurezza consentirà agli utenti di utilizzare chiavi di sicurezza hardware di terze parti per migliorare le protezioni di sicurezza dei dati di iCloud. “Ciò porta la nostra autenticazione a due fattori ancora oltre”, afferma il comunicato di Apple, “impedendo anche a un utente malintenzionato avanzato di catturare il secondo fattore di un utente in una truffa di phishing”.

In un thread su Twitter, Matthew Greenun professore di crittografia alla Johns Hopkins University, definendo il lancio un “grande affare”.

“Perché è un grosso problema?” chiese. “Perché Apple sta definendo lo standard per l’aspetto del backup cloud sicuro (consumatore). Anche come funzione opt-in, questa mossa avrà conseguenze in tutto il settore man mano che gli utenti li perseguiranno. concorrente.”