Quanto sono sicuri i backup di iCloud?

17

I backup di iCloud sono crittografati, sia quando trasmessi che archiviati? È possibile per qualcuno di Apple accedere a qualsiasi backup effettuato sui dati inseriti?

Ho sentito che quando le app sono state estratte dall'app store sono state rimosse anche le copie di backup di iCloud, quindi se possono essere modificate da Apple, sicuramente non vengono archiviate in modo sicuro?

Ho molte password per i siti Web e le app salvate, quindi presumo che siano archiviate anche nei backup?

ios  icloud  backup  security  privacy 
Jonathan.
fonte
Nel caso non fosse chiaro dalle risposte - le tue app non vengono archiviate in iCloud ma scaricate dallo store una volta ripristinati i dati iCloud per le app. Quindi, se un'app viene eliminata dal negozio (e non solo rimossa dalla vendita), i dati rimangono lì incapaci di fare nulla poiché manca un tutto. Non vi è alcuna indicazione che Apple stia eliminando i file da un backup tranne quando gli si chiede di disattivare il backup per un'app specifica. Fammi sapere se vuoi che
risponda
Hai una fonte su Apple che rimuove le app all'interno dei backup di iCloud?
Nicolas Barbulesco,
@bmike - Questo è interessante ... e un po 'preoccupante. Il ripristino scarica la versione corretta dall'App Store? O l'ultima versione (compatibile)?
Nicolas Barbulesco,
1
@NicolasBarbulesco Ti consigliamo di sincronizzare, eseguire il backup e quindi ripristinare con iTunes per garantire il ricaricamento delle versioni compatibili. Non ho avuto problemi con iCloud non trovando un'app compatibile - ma la mia intuizione è che potresti ottenere un'app abbandonata se l'app non è stata taggata correttamente nello store dallo sviluppatore (per consentire download legacy, ecc ... )
bmike

Risposte:

6

ArsTechnica ha appena scritto un ottimo pezzo su questo .

Un rapido risultato:

La semplice risposta è che i tuoi dati sono almeno sicuri quanto lo sono se archiviati su qualsiasi server remoto, se non di più. Tutti i dati vengono trasferiti su computer e dispositivi mobili utilizzando il livello socket sicuro tramite WebDAV, IMAP o HTTP. Tutti i dati ad eccezione di e-mail e note, più avanti in seguito, vengono archiviati e crittografati su disco sui server Apple. E i token di autenticazione sicuri vengono creati su dispositivi mobili per recuperare informazioni senza trasmettere costantemente una password.

E i backup vengono archiviati e trasferiti crittografati. Per quanto riguarda un dipendente che è in grado di accedere a un backup, solo un dipendente Apple sarebbe in grado di rispondere correttamente.

Se un'app è stata estratta dallo store, potrebbe non essere necessario andare effettivamente nel backup per rimuoverla. Tutte le app hanno un identificatore univoco e, se non altro, possono semplicemente eliminare quel backup per tutti (pensate ai backup archiviati singolarmente piuttosto che a un grande file ZIP se lo volete). Ancora una volta, questo è interno ad Apple, quindi nessuno può rispondere completamente a quella parte.

Infine, i backup includono il portachiavi, ma anche questo è crittografato e la chiave è legata al dispositivo che ha eseguito il backup.

Da vari luoghi che ho letto online, Apple soddisfa o supera (più spesso il caso) le procedure di sicurezza standard in questo senso.

jmlumpkin
fonte
13

Le buone notizie. I dati vengono crittografati tramite SSL mentre vengono trasferiti tra il computer e i server iCloud. Inoltre, i dati vengono crittografati mentre sono "a riposo", memorizzati sui server iCloud (con alcune eccezioni; vedi sotto). La crittografia è invisibile, facile da usare e automatica (attivata per impostazione predefinita).

Le notizie meno buone.iCloud utilizza la crittografia lato server, non quella lato client. Quando si inviano dati al cloud, questi vengono crittografati sul tuo computer con SSL, quindi decrittografati sui server iCloud, quindi nuovamente crittografati utilizzando una chiave di crittografia che Apple conosce per l'archiviazione. Ciò significa che i dipendenti Apple hanno la capacità tecnica di leggere i tuoi dati. Ci possono essere controlli procedurali, tecnici o politici per renderlo improbabile, ma la capacità è lì. Ciò significa che se il cloud di Apple viene mai compromesso da un aggressore sofisticato, quest'ultimo potrebbe potenzialmente accedere a tutti i tuoi dati. In altre parole, qualsiasi violazione o incidente dei dati da parte di Apple potrebbe potenzialmente esporre i tuoi dati. Questo potrebbe non essere troppo probabile, ma dato che anche le aziende rispettate come Google sono state violate, una violazione o altra esposizione dei server iCloud non è impensabile.

Le e-mail e le note non vengono archiviate in forma crittografata, mentre si trovano sui server Apple. Le e-mail contengono spesso informazioni riservate, ad esempio password dell'account, collegamenti di ripristino, quindi è un po 'pericoloso.

Se le forze dell'ordine chiedono ad Apple una copia dei tuoi dati, Apple li condividerà con loro. Apple non richiederà necessariamente un mandato. EFF fornisce a Apple solo una stella su quattro per proteggere i dati degli utenti nel suo rapporto, When Government Comes Knocking, Who Has Your Back? e ringrazia Apple per non essere trasparente in merito alle richieste del governo di accesso ai tuoi dati e di non dire agli utenti quando i loro dati sono stati divulgati al governo.

I rischi non si limitano alle richieste del governo. Se vieni citato in giudizio o finisci in un divorzio controverso, gli avvocati della parte avversaria potrebbero chiedere la citazione dei tuoi dati da Apple e Apple sarebbe tenuta a divulgarli a loro. Si noti che la soglia per una citazione è relativamente bassa: in primo luogo, che i dati hanno una probabilità di essere rilevanti per il caso.

La sicurezza dei tuoi dati su iCloud è valida solo quanto la passphrase sul tuo ID Apple. Pertanto, se si desidera che i dati siano protetti, è necessario scegliere una passphrase lunga e valida. Sfortunatamente, ci sono alcuni aspetti degli attuali sistemi che tendono a spingere gli utenti verso la scelta di passphrase brevi e deboli. Il sistema operativo si rifiuta di memorizzare questa passphrase nel portachiavi, richiedendo di digitarla frequentemente. Se usi un dispositivo iOS, dovrai spesso inserire la passphrase dell'ID Apple (ad esempio, ogni volta che installi o aggiorni un'app). Poiché l'immissione di una passphrase lunga e potente è un grosso problema per un iPhone, molti utenti potrebbero finire per scegliere una passphrase breve e scadente solo per motivi di convenienza, che purtroppo lascia i loro dati iCloud scarsamente protetti. Pertanto, l'attuale progettazione potrebbe tendere a incoraggiare molti utenti a utilizzare una password debole,

Ulteriori letture The Economist ha un'argomentazione eccellente che sintetizza le implicazioni di sicurezza della memorizzazione dei dati sul cloud e i diversi livelli di sicurezza offerti da diversi fornitori ; per confronto, iCloud è simile a DropBox nelle sue proprietà di sicurezza e più debole di SpiderOak. Per capire perché Apple potrebbe aver scelto la particolare architettura che ha fatto, potresti apprezzare l'articolo del blog di Ben Adida: La crittografia non è una salsa; ha implicazioni significative per l'usabilità. .

Sommario. Le pratiche di sicurezza di iCloud sono in gran parte in linea con le pratiche tradizionali in questo settore. iCloud sembra avere un'architettura di sicurezza ragionevole e progettata professionalmente. Mentre ci sono alcuni rischi per la sicurezza, per la maggior parte delle persone, la sicurezza di iCloud è probabilmente abbastanza buona e i vantaggi di iCloud probabilmente supereranno qualsiasi rischio per la maggior parte delle persone.

Tuttavia, l'archiviazione dei dati nel cloud aumenta il rischio. Per alcuni utenti particolarmente sensibili, ad esempio cartelle cliniche, istituti finanziari o altre società con dati sensibili, potrebbe essere prudente evitare di archiviare i dati più sensibili nel cloud.

DW
fonte
Bella risposta. Ma dall'avvento di Touch ID, la frequenza con cui è necessario reinserire la password dell'ID Apple è stata notevolmente ridotta, se lo si sceglie.
Mike Chamberlain,
"iCloud utilizza la crittografia lato server, non quella lato client." Questa affermazione è ancora accurata? apple.com/business/docs/iOS_Security_Guide.pdf (datato marzo 2017) afferma che "Viene eseguito il backup dei file su iCloud nel loro stato originale e crittografato". (anche se nel contesto di "file ... creati nelle classi di protezione dei dati che non sono accessibili quando il dispositivo è bloccato").
jhfrontz,
1
@jhfrontz, Per quanto ne so, sì. È di progettazione. Prova il test della pozza di fango: blog.cryptographyengineering.com/2012/04/05/… .
DW,
OK, grazie - Non avevo idea che ci fosse un servizio "iForgot" (e quindi ho pensato che la password iCloud fosse usata localmente per crittografare prima della trasmissione al cloud [i]).
jhfrontz,
2

Esiste documentazione relativa a questo argomento. Nota:

Sicurezza
iCloud iCloud protegge i tuoi contenuti crittografandoli quando inviati su Internet, archiviandoli in un formato crittografato e utilizzando token sicuri per l'autenticazione.

Puoi trovare di più su:

http://support.apple.com/kb/HT4865

Tuttavia, probabilmente non dovresti inviare le tue password a un server cloud. In ogni caso questa è una scelta sbagliata per quanto riguarda la sicurezza e le informazioni.

Soxman
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.