Reuters påstod i dag att Apple böjde sig för press från Federal Bureau of Investigation (FBI), som enligt uppgift krävde att Cupertino-företaget skulle släppa planer på att lansera kryptering i slutändan för säkerhetskopior av iCloud-enheter och hävdar att detta skulle skada utredningarna.
Även om Apple motstått press från FBI som 2016 ville att den skulle lägga till en bakdörr till iOS för att kringgå kod som begränsar lösenordsgissningar till tio följdförsök, har det aldrig använts en-till-än-kryptering för iOS-enhetssäkerhetskopior i iCloud, och nu vet vi Varför.
Från rapporten:
Teknigjättens återgång för ungefär två år sedan har inte tidigare rapporterats. Det visar hur mycket Apple har varit villigt att hjälpa USA: s brottsbekämpande och underrättelsebyråer, trots att de tog en hårdare linje i högprofilerade juridiska tvister med regeringen och kastar sig själv som en försvarare för sina kunders information.
Enligt en tidigare Apple-anställd var Cupertino tech-jätten motiverad att undvika dålig PR och ville inte målas av offentliga tjänstemän som ett företag som skyddar brottslingar.
Om du vill hålla dina iOS-enhetsdata säkra från nyfikna ögon och regeringsförfrågningar, ska du avstå från att använda iCloud Backup-funktionen tills Apple rullar ut en-till-än-kryptering för iCloud-säkerhetskopior.
"De bestämde sig för att de inte skulle tänka på björnen längre", sa personen. En annan anställd sade: "legal dödade det, av skäl du kan föreställa dig".
Apple medger öppet att tillhandahålla säkerhetskopior av iOS-enheter från iCloud till brottsbekämpande myndigheter, enligt företagets senaste Transparency Report:
Exempel på sådana förfrågningar är där brottsbekämpande myndigheter arbetar på uppdrag av kunder som har begärt hjälp angående förlorade eller stulna enheter. Dessutom får Apple regelbundet flera enhetsbegäranden relaterade till bedrägeriförsök. Enhetsbaserade förfrågningar söker vanligtvis information om kunder som är kopplade till enheter eller enhetsanslutningar till Apple-tjänster.
Här är vad end-to-end-kryptering skulle betyda när det gäller att hålla säkerhetskopior av iOS-enheter i iCloud skyddade från regeringens förfrågningar, enligt Benjamin Mayo från 9to5Mac:
End-to-end-kryptering fungerar genom att skapa en krypteringsnyckel baserad på faktorer som inte är lagrade på servern. Detta kan innebära att förvränga nyckeln med ett användarlösenord eller någon kryptografisk nyckel lagrad på hårdvaran på den lokala iPhone eller iPad. Även om någon hackade sig in på servern och fick tillgång till data, skulle dataen se ut som slumpmässigt brus utan att ha den intrasslade tangenten för att avkoda den.
Apple lagrar för närvarande iCloud-säkerhetskopior på ett icke-till-slut-krypterat sätt.
Detta innebär att dekrypteringsnyckeln lagras på Apples servrar. Om en polisenhet kommer till Apple med en stämning måste företaget ge över all iCloud-information - inklusive dekrypteringsnyckeln. Detta har ytterligare förfaranden. Medan iMessage-tjänsten är till exempel krypterad, är samtal som lagras i en iCloud-säkerhetskopia inte.
Med andra ord, även om funktionen Meddelanden i iCloud som håller dina meddelanden synkroniserade mellan enheter använder en-till-kryptering blir det meningslöst om du aktiverar iCloud-säkerhetskopia eftersom din enhetssäkerhetskopia sedan innehåller en kopia av nyckeln som skyddar dina meddelanden.
Enligt Apple säkerställer detta att du kan återställa dina meddelanden om du tappar åtkomst till iCloud Keychain och alla pålitliga enheter i din besittning. "När du stänger av iCloud Backup genereras en ny nyckel på din enhet för att skydda framtida meddelanden och lagras inte av Apple," påstår företaget i ett supportdokument på sin webbplats som beskriver iCloud-säkerhet.
Apple använder dessutom iCloud end-to-end-kryptering selektivt för saker som dina kalenderposter, Health-databasen, iCloud Keychain och sparade Wi-Fi-lösenord, men inte dina foton, filer i din iCloud Drive, e-postmeddelanden och andra kategorier.
GrayKey-enheten som används för brute-force iPhone-lösenordsattacker.
Trots FBI-tjänstemännens senaste försök att anklaga Apple för att hjälpa terrorister och sexuella rovdjur genom att vägra att "låsa upp" iPhones, avslöjade Forbes-reporter Thomas Brewster att brottsbekämpande myndigheten har använt GrayShifts GrayKey-verktyg för att få information från en låst iPhone 11 Pro Max under en ny brottsutredning.
Det betyder inte att Apples senaste iPhones i sig är osäkra eller benägna att hacking med verktyg som GrayShift-enheten eller Cellebrite-programvaran, det betyder bara att iOS kan hackas. På något sätt betyder det att den inbäddade krypteringssäkerheten för Enclave Security Enclave som kontrollerar kryptering och utvärderar ett lösenord eller Face ID / Touch ID har äventyrats.
Vad verktyg som GrayKey gör är gissa lösenordet genom att utnyttja brister i iOS-operativsystemet för att ta bort gränsen för tio lösenordsförsök. Efter att ha tagit bort denna programvara utnyttjar sådana verktyg helt enkelt en attack för brute-force för att automatiskt prova tusentals lösenord tills en fungerar.
Jack Nicas, skriver för The New York Times:
Den metoden innebär att vildkortet i Pensacola-fallet är längden på den misstänktes lösenord. Om det är sex siffror - standard på iPhones - kan myndigheterna nästan säkert bryta det. Om det är längre kan det vara omöjligt.
Ett lösenord med fyra siffror, den tidigare standardlängden, skulle i genomsnitt ta sju minuter att gissa. Om det är sex siffror tar det i genomsnitt cirka 11 timmar. Åtta siffror: 46 dagar. Tio siffror: 12,5 år.
Om lösenordet använder både siffror och bokstäver finns det mycket fler möjliga lösenord - och det tar mycket längre tid att spricka. En alfanumerisk lösenord med sex tecken tar i genomsnitt 72 år att gissa.
Det tar 80 millisekunder för en iPhone att beräkna varje gissning. Även om det kan verka litet, kan du tänka på att programvaran teoretiskt kan testa tusentals lösenord per sekund. Med förseningen kan den bara försöka cirka 12 per sekund.
Din viktiga avhämtning bör vara att bearbetningstiden på 80 millisekund för utvärdering av lösenord inte kan förbipasseras av hackare eftersom den begränsningen tillämpas i hårdvara av Secure Enclave.
Så vad innebär allt ovanstående?
Som nämnts av Daring Fireball's John Gruber, om du är orolig för att din telefon har hackats, använd en alfanumerisk lösenfras som ditt lösenord, inte ett 6-siffrigt numeriskt lösenord.
Och när det gäller kryptering hävdar Apple att det inte kan och inte kommer att subvertera krypteringen på enheten och noterar följande i sin senaste Transparency Report:
Vi har alltid hävdat att det inte finns något sådant som en bakdörr bara för de goda killarna. Bakdörrar kan också utnyttjas av dem som hotar vår nationella säkerhet och datasäkerheten för våra kunder. Idag har brottsbekämpning tillgång till mer data än någonsin tidigare i historien så att amerikaner inte behöver välja mellan försvagning av kryptering och lösning av utredningar. Vi anser starkt att kryptering är avgörande för att skydda vårt land och våra användares data.
När jag går tillbaka till Reuters-berättelsen förväntar jag mig ytterligare försök från den amerikanska regeringen i ett försök att samla offentligt stöd för att göra kryptering olaglig.
Hur tycker du om det senaste Apple vs. FBI och kryptering i allmänhet?
Låt oss veta i kommentaren nedan!
