EFF roept Apple op om iCloud-backups beter te versleutelen

Fix It Already

Bij Apple is EFF van mening dat het bedrijf de mogelijkheid moet bieden om iCloud-backups beter te beveiligingen. De backups zijn al versleuteld, maar kunnen op verzoek worden ontsleuteld door Apple. Het bedrijf blijkt namelijk de daarvoor benodigde (digitale) sleutel te bewaren en dat maakt het mogelijk dat je data toch door overheidsdiensten kan worden opgevraagd. Ook zou de data daardoor theoretisch kunnen worden onderschept door hackers. Ook bij acht andere techbedrijven dringt EFF erop aan om privacy- en beveiligingszaken te verbeteren.

‘Apple heeft de sleutel’

Data in een iCloud-backup is versleuteld, maar Apple heeft daarvan ook de sleutel. “Dat maakt die backups kwetsbaar voor overheidsverzoeken, third-party hackers en toegang door Apple-medewerkers”, benadrukt de EFF. Dit is een groot verschil met versleutelde gegevens die lokaal op je iPhone staan, want die zijn alleen toegankelijk voor de gebruiker zelf.

“Het goede nieuws is dat Apple CEO Tim Cook al vindt dat het versleutelen van iCloud-backups een goed idee is”, zegt de EFF op basis van een interview met Der Spiegel. “Hij lijkt het in de toekomst te willen implementeren”.

Opvragen van iCloud-data
Apple werkt regelmatig mee aan overheidsverzoeken als iCloud-data wordt opgevraagd. Daarbij lijkt als criterium te worden gehanteerd of de juiste procedures zijn gevolgd. Het gaat daarbij niet alleen om politiediensten die data van verdachten willen achterhalen, maar ook om geheime diensten zoals het National Security Agency (NSA).

In landen zoals China en Rusland kan deze niet-optimale beveiliging van iCloud-backups tot problemen leiden. In dergelijke landen komt het voor dat tegenstanders van het bewind worden opgepakt en vermoord. Apple probeert in de genoemde landen aan de lokale wetgeving te voldoen, waaronder het hosten van data in de landen zelf. Het is de vraag of verbeterde versleuteling van iCloud-backups wel haalbaar is, als Apple actief wil blijven in China en Rusland.

Verbeterde encryptie niet verplicht
Overigens vindt de EFF wel dat de verbeterde encryptie optioneel moet zijn. Het betekent namelijk ook dat je zelf niet meer bij je data kan als je je wachtwoord bent vergeten. Daarnaast komt het regelmatig voor dat nabestaanden toegang willen tot foto’s die op de iPhone een overledene staan. Is de persoon in kwestie bijvoorbeeld in een vliegtuigcrash overleden, dan is de fysieke iPhone niet nodig als de foto’s ook in een iCloud-backup staan. Zo’n backup kan verder nog video’s, berichten en data van apps bevatten.

Fix it Already: andere techbedrijven

De EFF vraagt Facebook om het telefoonnummer van gebruikers niet te misbruiken voor gerichte advertenties, ook als de gebruiker alleen een telefoon heeft opgegeven voor beveiligingsfuncties.

Van Google verwacht de EFF dat Android wordt aangepast, zodat gebruikers netwerkverzoeken van apps kunnen weigeren en intrekken. Dit zorgt ervoor dat de software ontwikkelaars niet meer op de hoogte kan houden van alles wat ze doen.

Twitter zou end-to-end encryptie voor direct messages moeten invoeren en Microsoft moet de versleuteling op Windows 10-apparaten verbeteren. Bij Slack wil EFF dat gebruiker van de gratis versie meer controle krijgen over de termijn waarop berichten blijven bestaan.

WhatsApp krijgt ook wat huiswerk mee: de veelgebruikte chatapp moet je toestemming vragen voordat je aan een WhatsApp-groep wordt toegevoegd.