Apple svela tre importanti misure di sicurezza per blindare i dati sensibili. Innanzitutto, Advanced Data Protection introduce la crittografia end-to-end (E2E) per i backup di iCloud ed altri servizi come Note e Foto.
Le altre due novità in tema di cyber sicurezza sono iMessage Contact Key Verification e Security Keys per Apple ID. Le nuove opzioni saranno disponibili con iOS 16.2, iPadOS 16.2 e macOS 13.1. Negli Usa entro fine anno, per gli utenti di altri Paesi da inizio 2023.
L’annuncio del 7 dicembre “sicuramente farà piacere”, commenta Giorgio Sbaraglia, Consulente aziendale Cyber Security, membro del Comitato Scientifico Clusit, “agli utenti più attenti alla propria privacy (e che in questi anni non avevano trovato in Apple la dovuta trasparenza su queste procedure), ma creerà tensioni con FBI ed il governo americano, che non sarà più in grado di leggere i dati sui dispositivi Apple criptati”.
Indice degli argomenti
Apple Advanced Data Protection: la crittografia E2E sui backup di iCloud
Apple annuncia Advanced Data Protection con cui aggiunge la crittografia E2E per i backup di iCloud, per rendere il trattamento dei dati sempre più difficile senza il consenso dell’utente.
Per abilitare Advanced Data Protection, occorre configurare un contatto (o una chiave) di recupero. La caratteristica della crittografia end-to-end è di impedire l’accesso ai dati, perfino a Apple, impossibilitata dunque a fornire risposte alle richieste di organi inquirenti o magistratura.
Apple spiega che iCloud, che già utilizza la crittografia E2E per 14 tipologie di dati (come password in iCloud Keychain e i dati sanitari di Health), ora estende la crittografia end-to-end ad altre 9 categorie (backup, note e fotografie).
Advanced Data Protection non proteggerà invece i dati di Mail, Contatti e Calendario, a causa dell’esigenza di assicurare l’interoperabilità con altri sistemi.
L’annuncio mette fine alle polemiche
L’adozione delle nuove funzionalità di sicurezza da parte Apple arriva in concomitanza con l’addio al progetto, iper criticato, di cloud-side scanning per l’automatizzazione della ricerca, senza mandato giudiziario, di materiale pedo-pornografico archiviato in iCloud.
Con l’annuncio di Advanced Data Protection, Apple ritorna a enfatizzare la protezione dei dati sui propri dispositivi, mettendo fine alle polemiche suscitate dalla tecnologia cloud-side scanning. Apple torna dunque sui suoi passi e rende sempre più complesso trattare i dati sia dei cittadini che degli attivisti politici, sia dei giornalisti che dei criminali.
Craig Federighi, Apple’s senior vice president of Software Engineering, nel post pubblicato sul sito Apple ha infatti annunciato che tramonta lo sviluppo del sistema per scansionare i contenuti CSAM (Child Sexual Abuse Material) prima dell’upload su iCloud.
La vocazione di Apple alla protezione della privacy “senza se e senza ma”, su cui ha costruito una solida reputazione, è salva. E le polemiche archiviate definitivamente con gli ultimi annunci.
I dettagli
Con l’annunciato sistema di crittografia end-to-end ampliato, chiamato Advanced Data Protection, “il numero di categorie di dati protetti dalla crittografia end-to-end sale a 23”, spiega Sbaraglia. “I nuovi servizi e tipi di dati iCloud ora protetti dalla crittografia end-to-end sono:
- Backup dei dispositivi;
- Backup dei messaggi;
- Unità;
- iCloud;
- Note;
- Foto;
- Promemoria;
- Segnalibri di Safari;
- Scorciatoie;
- Siri;
- Memo vocali;
- Wallet.
Advanced Data Protection utilizza la crittografia end-to-end per garantire che i tipi di dati iCloud elencati qui possano essere decifrati solo dai dispositivi Apple affidabili come iPhone, iPad o Mac”, sottolinea Sbaraglia.
Gli esperti di privacy hanno espresso grande entusiasmo per l’annuncio di Apple. “È fantastico”, ha commentato Meredith Whittaker, presidente di Signal, app di chat criptata.
Geopolitica: la crittografia E2E debutterà anche in Cina
“Federighi ha dichiarato che il nuovo sistema di crittografia sarà testato dai primi utenti a partire da mercoledì 7 dicembre”, continua Sbaraglia, “verrà introdotto come opzione negli Stati Uniti entro la fine dell’anno e poi in tutto il mondo, compresa la Cina, nel 2023“.
Ma l’introduzione della crittografia E2E in Cina, anche se come opt-in, potrebbe essere vista da Pechino come una provocazione come quando Google nel 2010 si rifiutò di piegarsi alla cyber censure online, arrivando a chiudere il suo motore di ricerca a Pechino e nel resto del Paese.
Il problema della mancata collaborazione con la giustizia
Apple iniziò a costruire l’immagine di azienda che protegge i dati quando, nel 2016, rifiutò di collaborare con l’FBI nell’indagine per la strage fondamentalista di San Bernardino. Preferì proteggere i dati rispetto a una piena collaborazione con la giustizia.
“Nessuno avrà le chiavi per decifrare questi dati, neppure Apple che, di conseguenza non potrà fornire questi dati a polizia o magistratura”, spiega Sbaraglia: “Sebbene in passato Apple abbia avuto tensioni con le forze dell’ordine degli Stati Uniti, per la sua dichiarata indisponibilità ad aiutare agenzie come il Federal Bureau of Investigation ad accedere ai dati dei suoi iPhone criptati, in realtà ha fornito molti dei dati memorizzati nei backup di iCloud a seguito di richieste con un mandato legale.
Apple ha dichiarato di aver ricevuto richieste di informazioni su 7.122 account Apple dalle autorità statunitensi nei primi sei mesi del 2021, l’ultimo periodo per il quale l’azienda ha fornito informazioni. Con questa nuova soluzione annunciata per migliorare la sicurezza, Apple non avrebbe più la capacità tecnica di soddisfare alcune richieste delle forze dell’ordine, come ad esempio i backup di iCloud, che potrebbero includere i log delle chat di iMessage e gli allegati e che sono stati utilizzati in molte indagini. Al momento del lancio, la Protezione avanzata dei dati sarà solo di tipo opt-in, il che significa che dovrà essere l’utente ad attivarla: entrando nell’app Impostazioni nel menu iCloud per abilitare la funzione”, mette in guardia Sbaraglia.
Mercoledì scorso l’FBI è intervenuta, ammettendo una profonda preoccupazione “per la minaccia rappresentata dalla crittografia end-to-end e dalla crittografia ad accesso esclusivo”.
“Ciò ostacola la nostra capacità di proteggere il popolo americano da atti criminali che vanno dagli attacchi informatici e dalla violenza contro i bambini al traffico di droga, al crimine organizzato e al terrorismo”, ha dichiarato l’FBI in un comunicato inviato via e-mail. In quest’epoca di cybersicurezza e di richieste di “‘sicurezza progettuale’, l’FBI e le forze dell’ordine necessitano di un “accesso legale progettuale””.
Cosa cambia rispetto allo stato attuale
L’azienda di Cupertino “è stata pioniera nell’uso della crittografia end-to-end nei servizi di comunicazione per i consumatori fin dal lancio di iMessage”, evidenzia Sbaraglia: “in modo che i messaggi potessero essere letti solo dal mittente e dal destinatario. Anche FaceTime ha utilizzato la crittografia E2E fin dal lancio”. Ma sul backup di iCloud Apple è sempre stata un po’ meno trasparente: “Tale backup è sicuramente crittografato”, continua Sbaraglia, “ma con una crittografia non E2E e di cui Apple aveva la chiave. Questo è provato dal fatto che Apple si dichiara in grado di fornire una chiave di recupero a quegli utenti che perdono l’accesso al loro ID Apple. L’azienda motivava questa scelta proprio per dare agli utenti la possibilità di recuperare i propri dati. In realtà crediamo che lo facesse anche per non inasprire i rapporti – spesso tesi – con FBI e con il governo USA”.
“Ora invece, se si imposta l’Advanced Data Protection, gli utenti dovranno in autonomia attivare almeno un metodo di recupero dei dati. Potrebbe trattarsi di una chiave di recupero, un lungo elenco di numeri e caratteri che l’utente può stampare e conservare in un luogo sicuro, oppure potrebbe assegnare un amico o un familiare come contatto per il recupero. Ma non potrà essere più Apple a dargli la chiave di recupero”.
La risposta alle mosse di Whatsapp
“Crediamo”, sottolinea Sbaraglia, “che in questa scelta di Apple abbia avuto un peso anche il fatto che già un anno fa anche WhatsApp aveva messo a disposizione dei propri utenti la possibile di memorizzare un backup protetto da crittografia E2E su Google Drive e Apple iCloud. L’annuncio fu dato direttamente da Mark Zuckerberg con un post su Facebook il 10 settembre 2021. Quindi Apple ha dovuto rispondere alla mossa di Zuckerberg“.
La strategia di Apple
Più in generale, “questa azione rientra nella più ampia strategia di sicurezza che Apple sta portando avanti. Oltre all’Advanced Data Protection, Apple sta lavorando allo sviluppo della tecnologia Passkeys. Apple, Google e Microsoft hanno infatti annunciato l’intenzione di espandere il supporto per uno standard comune di accesso senza password (passwordless) creato da FIDO Alliance e dal World Wide Web Consortium (W3C) e che utilizza sistemi di crittografia a chiave pubblica. La nuova funzionalità consentirà agli utenti di accedere ai propri account Apple con chiavi di sicurezza basate sui protocolli FIDO e su chiavette hardware prodotte secondo lo standard Fido da aziende come Yubico”, conclude Sbaraglia.
Le altre novità: iMessage Contact Key Verification
Apple ha presentato anche iMessage Contact Key Verification, una funzionalità per proteggere le conversazioni, previa verifica dell’identità dell’interlocutore. L’azienda di Cupertino ha messo a punto un avviso che segnala tentativi di intercettazione della comunicazione via dispositivi sconosciuti. La funzionalità, in arrivo dal 2023, è dedicata a giornalisti, attivisti dei diritti umani, politici e persone sottoposti a cyber sorveglianza e repressione da parte di governi autoritari.
Apple aggiunge un ulteriore livello di sicurezza alle conversazioni fra gli utenti che hanno attivato iMessage Contact Key Verification. Riceveranno alert automatici se un avversario come un attaccante state-sponsored cerca di spiare comunicazioni cifrate. Per gli utenti della funzionalità che ottengono il Contact Verification Code in persona, invece, su FaceTime o attraverso altre chiamate sicure.
Arriva Security Keys per Apple ID
La terza funzionalità di sicurezza è Security Keys per Apple ID, in arrivo a inizio 2023. Questa opzione è destinata a ottimizzaree l’autenticazione a due fattori dell’account. Gli utenti avranno la possibilità di scegliere una chiave hardware (anche NFC) come secondo fattore per Apple ID.
Dopo aver introdotto la 2FA su Apple ID nel 2015, ben il 95% degli account attivi di iCloud sfrutta questa protezione, che dunque è probabilmente una delle più diffuse al mondo, in termini di market share. Adesso Security Keys offrirà agli utenti di scegliere security keys hardware per blindare ulteriormente la protezione. L’opzione è dunque a quei profili pubblici che affrontano minacce ai loro account online, come celebrità, giornalisti e membri di governi. Attivando Security Keys, infatti si rafforza l’autenticazione a due fattori di Apple. L’obiettivo è prevenire attacchi sofisticati da parte di quei cyber criminali che hanno ottenuto password via phishing.
