Apple se enfrenta a un problema muy grave que de repente se ha convertido en un problema importante, socavando las afirmaciones sobre las credenciales de seguridad y privacidad del iPhone. Resulta que pase lo que pase en tu iPhone, no pasa Siempre Quédate en tu iPhone después de todo.
Anteriormente advertí sobre una falla seria en la seguridad del iPhone de Apple cuando se trata de mensajes privados enviados entre más de mil millones de usuarios. Privacidad incorporada desde el principio » Apple dice. «Las sólidas funciones de seguridad ayudan a evitar que nadie más que usted acceda a su información». Si tan solo estuviera tan claro. Ahora ha llegado una nueva advertencia de una fuente muy sorprendente en las noticias.
iMessage es el software de mensajería cifrada de extremo a extremo de Apple. Diseñado para competir con WhatsApp, sonido Obtenga la misma seguridad, aunque solo cuando se conecte dentro del ecosistema de Apple. Envíe un mensaje a un usuario de Android y vuelva a SMS, lo que no es aceptable en 2021; más sobre eso más adelante. Pero incluso cuando crea que está a salvo, probablemente esté equivocado. iMessage tiene un dilema alarmante.
El problema es iCloud y las copias de seguridad públicas que realiza desde su iPhone. Si usa la configuración predeterminada recomendada por Apple, activa Mensajes en iCloud, lo que significa que sincroniza sus mensajes en todos sus dispositivos y también activa una copia de seguridad pública de iCloud, lo que significa que guarda una copia de los datos y la configuración de su teléfono en el Nube de Apple.
Bloqueo de iMessage
Aquí es donde se complica. iMessage está protegido con cifrado de extremo a extremo, la idea es que las claves para descifrar los mensajes están entre usted y aquellos a quienes está enviando mensajes. Solo compartido entre ustedes. Esto evita que nadie intercepte su contenido. Pero en un giro extraño, Apple almacena una copia de estas claves de cifrado en su copia de seguridad de iCloud, a la que tiene acceso. Esto significa que el cifrado de un extremo a otro es en realidad algo inútil.
Este problema pasó a primer plano esta semana, con publicación Un documento sensible del FBI que informa sobre las plataformas de mensajería a las que sus agentes pueden acceder fácilmente. El problema de iMessage estaba al frente y al centro: «Si el objetivo está utilizando una copia de seguridad de iCloud, las claves de cifrado también deben proporcionarse con [lawful access] Los iMessages de contenido devuelto desde iCloud también se pueden obtener en Devoluciones si el objetivo ha habilitado Mensajes en iCloud. «
Cuando se trata de seguridad, las garantías de WhatsApp son claras: «Usamos cifrado de extremo a extremo para que nadie pueda leer o escuchar sus conversaciones personales». La redacción de Apple varía, y el matiz es fundamental. «El cifrado de extremo a extremo protege sus conversaciones de iMessage en todos sus dispositivos», dice, «por lo que Apple no tiene forma de leer sus mensajes mientras viajan entre dispositivos».
La redacción «transitoria» es fundamental. Es absolutamente cierto que cuando los mensajes se mueven entre teléfonos es muy seguro, pero en el dispositivo y con una copia de seguridad en la nube, eso cambia. Este problema se está convirtiendo rápidamente en el más crítico para la mensajería segura.
Deshabilitar la copia de seguridad de iCloud de WhatsApp
A pesar de afirmaciones más contundentes, WhatsApp no lo ha hecho tan bien, y el FBI dice que puede solicitar listas de contactos y metadatos «enviados cada 15 minutos» sobre quién envía mensajes a quién. También puede acceder al contenido del mensaje «Si el objetivo está utilizando copias de seguridad de iPhone e iCloud, las devoluciones de iCloud pueden contener datos de WhatsApp para incluir el contenido del mensaje».
Habilitar copia de seguridad cifrada
La nueva función de copia de seguridad encriptada en WhatsApp está diseñada para resolver exactamente este problema, y WhatsApp advierte durante el proceso de configuración que los usuarios deben eliminarlo de iCloud Copias de seguridad. Resulta que una pequeña configuración de la copia de seguridad de iCloud es una mala noticia para los mensajes privados en todos los aspectos, y es una vulnerabilidad de seguridad importante que Apple debe abordar con urgencia.
Como era de esperar, Signal aparece mejor en el documento: «Sin contenido de mensaje, [just] Datos y hora del usuario registrado [and] La última fecha en la que el usuario se conectó al servicio. Signal evita todas las opciones de respaldo en el dispositivo y se sabe que no captura ningún metadato en absoluto. Básicamente, si los datos no están allí, no se pueden guardar.
«Es imposible entregar datos a los que nunca tuvimos acceso en primer lugar», La señal dice. Signal no puede acceder a sus mensajes; su lista de chat; sus grupos; sus contactos; sus pegatinas; su nombre de perfil o avatar; o incluso los GIF que está buscando.
Si desea mantener la privacidad de sus mensajes, mi consejo es que use WhatsApp como su cuenta diaria, solo considerando su tamaño, pero asegúrese de usar copias de seguridad encriptadas y no habilite la opción de copia de seguridad de iCloud. Definitivamente deberías usar Signal ya que la aplicación también está disponible para tus contactos. Si eres un usuario de Android, puedes configurar Signal para que sea tu mensajero predeterminado, manejando SMS también, lo cual es una gran opción.
Este no ha sido un buen año para Apple y su plataforma iMessage. Almacenar claves de cifrado en copias de seguridad accesibles es un error, pero también cometió otros dos, los cuales reducen en gran medida la seguridad y privacidad de iMessage.
Primero, La decisión de Apple de dejar de implementar RCS formateado ahora en Android Es una mala jugada para los usuarios. Esto significa que los usuarios de Apple que envían mensajes a contactos de Android, o viceversa, tienen que volver a una plataforma de terceros como WhatsApp o pasarán por defecto a SMS inseguros, lo cual es una situación loca para 2021.
Google ha estado presionando suavemente a Apple para que esta actualización de SMS v2, y hemos estado viendo más de eso últimamente con un archivo Actualización de mensajes de Google Traduce las respuestas expresivas de iMessage a algo similar en su dispositivo Android. Esto es algo patético como gesto simbólico de interoperabilidad multiplataforma, pero lo demuestra.
En segundo lugar, Apple también se equivocó en su decisión. Agregar un libro de trabajo de IA en el dispositivo a iMessage Para advertir a los menores que envíen o reciban imágenes explícitas. Si bien esto no viola técnicamente el cifrado de extremo a extremo, abre una puerta trasera a la interferencia externa dentro del área de mensajería segura general y, como resultado, ha sido fuertemente criticado por los defensores de la seguridad y la privacidad.
Y no olvidemos a PegasoPuertaY El hack de iMessage estuvo implicado en ataques de presión cero contra los usuarios de Apple que supuestamente se cometieron con la tecnología NSO. Apple dice que parcheó esas vulnerabilidades en iOS 15Sin embargo, era dañino.
Este es un momento divertido para la mensajería segura. No hubo más conciencia del valor de mantener la privacidad con seguridad de extremo a extremo, pero al mismo tiempo no hubo más presión sobre los proveedores de tecnología para abrir estas plataformas a las fuerzas del orden. La publicación de este documento del FBI muestra que a pesar de las protestas de los legisladores agresivos, hasta el momento hay bastante acceso a los datos.
Pegasus y esta divulgación legal de acceso se trata de un compromiso en el punto final. Ya sea que esté en el dispositivo y haya sido explotado por malware o se haya realizado una copia de seguridad en la nube, una vez que sus datos cifrados de extremo a extremo llegan a una de estas partes, debe cuidar su seguridad. Esto significa proteger su dispositivo y prestar atención a lo que respalda donde pertenece.
Mientras tanto, para Apple y USP por seguridad y privacidad, ese es otro conjunto vergonzoso de titulares de los que realmente se puede prescindir. Me he puesto en contacto con Apple para cualquier comentario sobre el documento del FBI y sus serias implicaciones para los más de mil millones de usuarios de iPhone.
El hecho es que Apple necesita cambiar urgentemente su enfoque de iCloud, dejar de almacenar claves de cifrado y evitar la copia de seguridad de datos cifrados de extremo a extremo a menos que se implemente su protección o se advierta específicamente a los usuarios que su privacidad está siendo comprometida. Esta actualización ahora es crítica.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».