0
0
A Apple está expandindo as opções de criptografia de ponta a ponta para os usuários e, finalmente, oferecendo E2EE para seu backup do iCloud.
Proteção avançada de dados para iCloud
“O iCloud já protege 14 categorias de dados confidenciais usando criptografia de ponta a ponta por padrão, incluindo senhas no iCloud Keychain e dados de saúde. Para usuários que habilitam a Proteção Avançada de Dados, o número total de categorias de dados protegidas usando criptografia de ponta a ponta sobe para 23, incluindo iCloud Backup, Notes e Photos”, disse a empresa em um anúncio recente .
“As únicas categorias principais de dados do iCloud que não são cobertas são iCloud Mail, Contatos e Calendário devido à necessidade de interoperar com os sistemas globais de e-mail, contatos e calendário.”
A proteção avançada de dados para iCloud não está ativada por padrão. Os usuários dos EUA terão a opção de ativá-lo até o final deste ano e os usuários de todo o mundo no início de 2023.
Os requisitos para isso incluem:
- Um ID Apple com autenticação de dois fatores (2FA) habilitada e dispositivos protegidos com uma senha/senha
- Os dispositivos Apple dos usuários terão que ser atualizados para: iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 e a versão mais recente do iCloud para Windows
- Os usuários devem configurar pelo menos um método de recuperação alternativo para que possam recuperar seus dados do iCloud se perderem o acesso à conta.
Ativar a Proteção Avançada de Dados aciona a remoção das chaves de serviço disponíveis após a autenticação dos datacenters da Apple.
“Como essas chaves são protegidas pelos HSMs do iCloud, essa exclusão é imediata, permanente e irrevogável. Depois que as chaves são excluídas, a Apple não pode mais acessar nenhum dos dados protegidos pelas chaves de serviço do usuário”, explicaa Apple .
“A capacidade de optar por backups criptografados do iCloud é uma grande vitória para os usuários e uma má notícia para as autoridades, que adoram solicitar backups do iCloud para evitar o trabalho de invadir um telefone”, observou Eva Galperin, diretora de segurança cibernética na Electronic Frontier Foundation.
O criptógrafo e professor da Universidade Johns Hopkins, Matthew Green, disse que a decisão da Apple hoje “é um passo importante que enviará uma mensagem clara a certos invasores de que investimentos mais profundos em ataques à nuvem provavelmente não valem a pena”.
Sim, o recurso não está ativado por padrão e os invasores têm outras maneiras de comprometer os dados de alguém – roubo de telefone, adivinhação de senha, malware direcionado, etc. – “mas nenhum desses ataques será tão fácil quanto ataques em nuvem não E2E backup, e nenhum oferecerá o mesmo nível de conveniência e escala,” ele apontou .
Junto com esse novo recurso, a Apple confirmou que abandonou seus planos de escanear as fotos do iCloud dos usuários em busca de material de abuso sexual infantil (CSAM).
Novos recursos focados em segurança
Dois novos recursos também serão disponibilizados para usuários em todo o mundo em 2023: Chaves de segurança para Apple ID e iMessage Contact Key Verification, ambos “projetados para usuários que, muitas vezes devido ao seu perfil público, enfrentam ameaças concentradas às suas contas online, como celebridades , jornalistas e membros do governo”.
Chaves de segurança para Apple ID permitirão que os usuários façam de uma chave de segurança de hardware de terceiros seu segundo fator de autenticação, para que os invasores não possam obtê-la por meio de phishing.
A verificação de chave de contato do iMessage é uma camada adicional de segurança para garantir que as conversas sejam privadas entre duas pessoas que tenham o recurso ativado.
“As conversas entre usuários que ativaram a verificação de chave de contato do iMessage recebem alertas automáticos se um adversário excepcionalmente avançado, como um invasor patrocinado pelo estado, conseguir violar servidores em nuvem e inserir seu próprio dispositivo para espionar essas comunicações criptografadas”, observou a Apple. .
“E para uma segurança ainda maior, os usuários do iMessage Contact Key Verification podem comparar um código de verificação de contato pessoalmente, no FaceTime ou por meio de outra chamada segura.”
No início deste ano, a Apple adicionou um punhado de novos recursos de segurança e privacidade ao macOS e iOS , incluindo o modo de bloqueio para indivíduos que podem ser alvo dos invasores mais sofisticados.
FONTE: HELPNET SECURITY