¿Qué tan seguras son las copias de seguridad de iCloud?

17

¿Se cifran las copias de seguridad de iCloud, tanto cuando se transmiten como cuando se almacenan? ¿Es posible que alguien en Apple acceda a cualquier copia de seguridad realizada en el ingreso de datos?

He oído que cuando las aplicaciones se han retirado de la tienda de aplicaciones, también se han eliminado las copias de seguridad de iCloud, por lo que si Apple puede modificarlas, ¿seguramente no se almacenarán de forma segura?

Tengo muchas de mis contraseñas para sitios web y aplicaciones guardadas, así que supongo que también están almacenadas en las copias de seguridad.

ios icloud backup security privacy Jonathan
fuente
En caso de que las respuestas no lo aclaren, sus aplicaciones no se almacenan en iCloud sino que se descargan de la tienda una vez que se restauran los datos de iCloud para las aplicaciones. Entonces, si una aplicación se elimina de la tienda (y no solo se elimina de la venta), los datos se quedan allí sin poder hacer nada, ya que falta un todo. No hay indicios de que Apple esté eliminando archivos de una copia de seguridad, excepto cuando le pida que desactive la copia de seguridad de una aplicación específica. Avíseme si desea que se responda explícitamente a continuación ...
bmike
¿Tiene una fuente sobre Apple para eliminar aplicaciones dentro de las copias de seguridad de iCloud?
Nicolas Barbulesco
@bmike - Esto es interesante ... y un poco preocupante. ¿La restauración descarga la versión correcta de la tienda de aplicaciones? ¿O la última versión (compatible)?
Nicolas Barbulesco
1
@NicolasBarbulesco Querrá sincronizar, hacer una copia de seguridad y luego restaurar con iTunes para garantizar que las versiones compatibles se vuelvan a cargar. No he tenido un problema con iCloud al no encontrar una aplicación compatible, pero mi intuición es que podría obtener una aplicación descartada si el desarrollador no etiquetó correctamente la aplicación en la tienda (para permitir descargas heredadas, etc. )
bmike

Respuestas:

6

ArsTechnica acaba de escribir una gran pieza sobre esto .

Una toma rápida:

La respuesta simple es que sus datos son al menos tan seguros como cuando se almacenan en cualquier servidor remoto, si no más. Todos los datos se transfieren a computadoras y dispositivos móviles utilizando una capa de sockets seguros a través de WebDAV, IMAP o HTTP. Todos los datos, excepto el correo electrónico y las notas, más sobre eso más tarde, se almacenan y cifran en disco en los servidores de Apple. Y se crean tokens de autenticación segura en dispositivos móviles para recuperar información sin transmitir constantemente una contraseña.

Y las copias de seguridad se almacenan y transfieren encriptadas. En cuanto a que un empleado pueda acceder a una copia de seguridad, solo un empleado de Apple podrá responder eso correctamente.

Si se sacó una aplicación de la tienda, es posible que no necesite ingresar a su copia de seguridad para eliminarla. Todas las aplicaciones tienen un identificador único y, en todo caso, pueden eliminar esa copia de seguridad para todos (piense en las copias de seguridad que se almacenan individualmente en lugar de un gran archivo ZIP si lo desea). Nuevamente, esto es interno de Apple, por lo que nadie puede responder completamente esa parte.

Finalmente, las copias de seguridad incluyen el llavero, pero esto también está encriptado y la clave está vinculada al dispositivo que realizó la copia de seguridad.

Desde varios lugares que he leído en línea, Apple cumple o supera (más a menudo el caso) los procedimientos de seguridad estándar a este respecto.

jmlumpkin
fuente
13

Las buenas noticias. Los datos se cifran mediante SSL mientras se transfieren entre su computadora y los servidores de iCloud. Además, los datos se cifran mientras están "en reposo", almacenados en los servidores de iCloud (con algunas excepciones; ver más abajo). El cifrado es invisible, fácil de usar y automático (activado de forma predeterminada).

Las noticias menos buenas.iCloud usa cifrado del lado del servidor, no cifrado del lado del cliente. Al enviar datos a la nube, se encripta en su máquina con SSL, luego se desencripta en los servidores de iCloud, luego se vuelve a encriptar usando una clave de encriptación que Apple conoce para el almacenamiento. Esto significa que los empleados de Apple tienen la capacidad técnica de leer sus datos. Puede haber controles de procedimientos, técnicos o de políticas para que esto sea poco probable, pero la capacidad está ahí. Eso significa que si la nube de Apple alguna vez se ve comprometida por un atacante sofisticado, el atacante podría acceder a todos sus datos. En otras palabras, cualquier violación o accidente de datos por parte de Apple podría exponer sus datos. Esto puede no ser muy probable, pero dado que incluso empresas respetadas como Google han sido violadas, una violación u otra exposición de los servidores de iCloud no es impensable.

El correo electrónico y las notas no se almacenan en forma cifrada, mientras que en los servidores de Apple. El correo electrónico a menudo contiene información confidencial, por ejemplo, contraseñas de cuenta, restablecer enlaces, por lo que esto es un poco peligroso.

Si la policía le pide a Apple una copia de sus datos, Apple la compartirá con ellos. Apple no necesariamente requerirá una orden judicial. EFF le da a Apple solo una de cuatro estrellas para proteger los datos de los usuarios en su informe, Cuando el gobierno viene a golpear, ¿Quién te respalda? , y lamenta a Apple por no ser transparente sobre las solicitudes gubernamentales de acceso a sus datos y no informar a los usuarios cuando sus datos han sido divulgados al gobierno.

Los riesgos no se limitan a las solicitudes del gobierno. Si lo demandan, o termina en un divorcio contencioso, los abogados de la parte contraria podrían citar sus datos de Apple, y Apple estaría obligado a divulgarlos. Tenga en cuenta que el umbral para una citación es relativamente bajo: principalmente, que los datos tienen una probabilidad de ser relevantes para el caso.

La seguridad de sus datos en iCloud es tan buena como la frase de contraseña en su ID de Apple. Por lo tanto, si desea que sus datos estén seguros, debe elegir una frase de contraseña larga y fuerte. Desafortunadamente, hay algunos aspectos de los sistemas actuales que tienden a empujar a los usuarios a elegir frases de contraseña cortas y débiles. El sistema operativo se niega a almacenar esta frase de contraseña en el llavero, lo que requiere que la escriba con frecuencia. Si usa un dispositivo iOS, con frecuencia deberá escribir la frase de contraseña de su ID de Apple (por ejemplo, cada vez que instale o actualice una aplicación). Debido a que ingresar una frase de contraseña larga y fuerte es una gran molestia en un iPhone, muchos usuarios pueden terminar eligiendo una frase de contraseña corta y deficiente solo por conveniencia, lo que desafortunadamente deja sus datos de iCloud mal protegidos. Por lo tanto, el diseño actual puede tender a alentar a muchos usuarios a usar una contraseña débil,

Otras lecturas. The Economist tiene un excelente argumento que resume las implicaciones de seguridad del almacenamiento de sus datos en la nube y los diferentes niveles de seguridad que ofrecen los diferentes proveedores ; en comparación, iCloud es similar a DropBox en sus propiedades de seguridad y más débil que SpiderOak. Para ayudar a comprender por qué Apple podría haber elegido la arquitectura particular que eligió, puede disfrutar del artículo del blog de Ben Adida: El cifrado no es salsa; tiene implicaciones significativas para la usabilidad. .

Resumen. Las prácticas de seguridad de iCloud están en gran medida en línea con la práctica convencional en esta área. iCloud parece tener una arquitectura de seguridad razonable y profesionalmente diseñada. Si bien existen algunos riesgos de seguridad, para la mayoría de las personas, es probable que la seguridad de iCloud sea lo suficientemente buena, y los beneficios de conveniencia de iCloud probablemente superen cualquier riesgo para la mayoría de las personas.

Sin embargo, almacenar sus datos en la nube aumenta el riesgo. Para algunos usuarios particularmente sensibles, por ejemplo, registros de salud, instituciones financieras u otras empresas con datos confidenciales, puede ser prudente evitar almacenar los datos más confidenciales en la nube.

DW
fuente
Gran respuesta. Pero desde la llegada de Touch ID, la frecuencia con la que debe volver a ingresar su contraseña de Apple ID se ha reducido significativamente, si así lo opta.
Mike Chamberlain
"iCloud utiliza el cifrado del lado del servidor, no el cifrado del lado del cliente". ¿Esta afirmación sigue siendo precisa? apple.com/business/docs/iOS_Security_Guide.pdf (con fecha de marzo de 2017) dice "Los archivos están respaldados en iCloud en su estado original cifrado". (aunque en el contexto de "archivos ... creados en clases de Protección de datos a los que no se puede acceder cuando el dispositivo está bloqueado").
jhfrontz
1
@jhfrontz, que yo sepa, sí. Es por diseño. Pruebe la prueba de charco de lodo: blog.cryptographyengineering.com/2012/04/05/… .
DW
OK, gracias. No tenía idea de que había un servicio "iForgot" (y por lo tanto supuse que la contraseña de iCloud se usaba localmente para cifrar antes de la transmisión a la nube [i]).
jhfrontz
2

Existe documentación que cubre este tema. Nota:

Seguridad de
iCloud iCloud asegura su contenido cifrándolo cuando se envía a través de Internet, almacenándolo en un formato cifrado y utilizando tokens seguros para la autenticación.

Puedes encontrar más en:

http://support.apple.com/kb/HT4865

Sin embargo, probablemente no debería enviar sus contraseñas a un servidor en la nube. En cualquier caso, esta es una mala elección en lo que respecta a su seguridad e información.

soxman
fuente