Hoewel Apple zich al tijden laat voorstaan op privacy was er ook altijd kritiek, onder andere omdat lang niet alle data in iCloud versleuteld was. Daardoor konden overheidsdiensten, met de juiste papieren, toch gegevens opvragen als ze dat nodig vonden.

Apple heeft nu aangekondigd dat in de komende tijd er een heleboel verbeterd gaat worden aan de beveiliging van onze data in iCloud, waarbij ook meteen de beveiliging van iMessage (de Berichten-app) ook meegenomen wordt. De uitrol hiervan is niet overal ter wereld op hetzelfde moment, maar zou bij ons uiterlijk eind komend jaar een feit moeten zijn.



Advanced Data Protection for iCloud

Op dit moment zijn 14 categorieën die in iCloud opgeslagen worden al versleuteld, zodat Apple er zelf ook niet bij kan. Dat zijn onder andere de wachtwoorden in de iCloud Sleutelhanger (iCloud Keychain) en onze gezondheidsdata. In de loop van 2023 zullen we de optie krijgen om dat met Advanced Data Protection for iCloud uit te breiden naar 23 categorieën.

In de nieuwe categorieën vinden we onder andere iCloud Backup, Notities en Foto’s. Er blijven een paar categorieën hiervan uitgezonderd, dat zijn iCloud Mail, Contacten en Agenda (Calendar), omdat die anders niet meer binnen iCloud data kunnen uitwisselen.


Voor de noodzaak van deze stap verwijst Apple onder andere naar een vandaag uitgebracht rapport met een naam die weinig aan de verbeelding overlaat: The Rising Threat to Consumer Data in the Cloud (PDF, 1 MB). Meer uitleg is ook te vinden in dit artikel van Joanna Stern voor The Wall Street Journal, het video-interview met Craig Federighi hierboven hoort daar ook bij.

Security Keys

Apple introduceerde twee-factor authenticatie voor Apple ID in 2015. Vandaag de dag gebruiken meer dan 95 procent van de actieve iCloud-accounts deze bescherming, daarmee is dit het meest gebruikte twee-factor-account-beveiligingssysteem ter wereld. Met Security Keys krijgen gebruikers nu de keuze om gebruik te maken van hardwarematige beveiligingssleutels van derden om deze bescherming te versterken.

Deze functie is bedoeld voor gebruikers die, vaak vanwege hun publieke profiel, geconfronteerd worden met gezamenlijke bedreigingen voor hun online accounts, zoals beroemdheden, journalisten en leden van de regering.



Voor gebruikers die hiervoor kiezen, versterkt Security Keys de tweefactor-authenticatie van Apple door een hardwarematige beveiligingssleutel als een van de twee factoren te vereisen. Hiermee gaat deze tweefactor-authenticatie nog een stap verder en voorkomt dat zelfs een geavanceerde aanvaller de tweede factor van een gebruiker in handen krijgt bij bijvoorbeeld phishing.

iMessage Contact Key Verification

Met de lancering van iMessage was Apple pionier in het gebruik van end-to-end-encryptie in communicatiediensten voor consumenten, zodat berichten alleen door de verzender en de ontvangers konden worden gelezen. Ook FaceTime maakt sinds de introductie gebruik van versleuteling om gesprekken privé en veilig te houden.

Met iMessage Contact Key Verification kunnen gebruikers die geconfronteerd worden met buitengewone digitale bedreigingen - zoals journalisten, mensenrechtenactivisten en leden van de regering - ervoor kiezen om verder te verifiëren dat ze alleen berichten sturen naar de mensen voor wie die bedoeld zijn. De overgrote meerderheid van de gebruikers zal nooit het doelwit worden van zeer geavanceerde cyberaanvallen, maar de functie biedt een belangrijke extra beveiligingslaag voor degenen die dat wel worden.



Gesprekken tussen gebruikers die iMessage Contact Key Verification hebben ingeschakeld, worden automatisch gewaarschuwd als een buitengewoon geavanceerde tegenstander er ooit in zou slagen de cloudservers te kraken en zijn eigen apparaat in te zetten om deze versleutelde communicatie af te luisteren.

En voor nog meer veiligheid kunnen gebruikers van iMessage Contact Key Verification een contactverificatiecode persoonlijk, via FaceTime of een ander beveiligd gesprek vergelijken.

Uitrol

Advanced Data Protection for iCloud is vanaf vandaag voor iedereen in de VS die deelneemt aan het Apple Beta Software Program beschikbaar en voor het eind van het jaar voor alle gebruiker in de VS. De rest van de wereld volgt dan in begin 2023.

Voor zowel Security Keys for Apple ID als iMessage Contact Key Verification geldt dat die wereldwijd beschikbaar zullen komen in 2023, op welk moment in het jaar dat dit zal gebeuren is nu nog niet bekend.



#iCloud #Privacy

Lijkt me een uitstekende ontwikkeling, waarbij ik het ook goed vind dat Apple ervoor gekozen heeft om dit standaard niet aan te zetten maar als optie aan te bieden.

Want zoals Joanna Stern al in de video zegt: we kennen allemaal wel iemand die het lukt om zelfs de code van zijn/haar iPhone te vergeten.

Het in iCloud scannen op kinderporno zat hiervoor in de weg. Dus de plannen daarvoor zijn nu in de la terecht gekomen.

Het artikel waarnaar verwezen wordt (The Rising Threat to Consumer Data in the Cloud) is de moeite waard.

Belangrijkste conclusie: als je als consument alle denkbare voorzorgsmaatregelen neemt om je gegevens te beschermen, kun je evengoed in de problemen komen omdat een organisatie die gevoelige informatie over je beheert haar werk niet goed doet. En dat zijn er zeer vele.

Belangrijkste aanbeveling (naast alle voorspelbare): organisaties zouden niet meer gegevens over klanten, patiënten etc. moeten bewaren dan strikt noodzakelijk is. Wat er niet is, kan ook niet gestolen worden.

Een zeer geliefd doelwit van criminele hackers zijn volgens het artikel gezondheidsorganisaties. Patiëntengegevens zijn goud waard in de wereld van de hackers

in recente tijden is in Nederland hartstochtelijk campagne gevoerd om iedereen ervan te overtuigen toestemming te geven zijn/haar medische gegevens op te slaan in een centraal landelijk systeem. Dat zou niet alleen buitengewoon praktisch zijn, maar ook menig leven kunnen redden. In elke dokterswachtkamer hing een affiche om de mensen daarvan te overtuigen.

Ik heb die toestemming nooit gegeven, omdat ik geen enkel vertrouwen heb in de waterdichtheid van dat systeem. Toen ik dat tegen mijn huisarts zei, antwoordde hij mij in alle eerlijkheid dat voor hem precies hetzelfde gold. Ook hij had het niet gedaan, om precies dezelfde reden.