Ars Technica ha parlato con diversi esperti di sicurezza per scoprire se iCloud è sicuro. I dati che vengono sincronizzati sui vari dispositivi registrati allo stesso Apple ID passano ovviamente per i server di Apple che, stando a quanto riportato da diversi ricercatori informatici, avrebbe in mano una chiave universale. Una sorta di passe-partout che permetterebbe agli ingegneri di Cupertino di decodificare ogni file condiviso tramite iCloud.
Lo conferma anche il ricercatore Jonathan Zdziarski: Posso dirvi che i termini e le condizioni di iCloud dicono chiaramente quali sono le capacità di Apple rispetto ad iCloud, e suggeriscono che loro possano vedere tutti i contenuti. Il documento che è necessario accettare per utilizzare iCloud, dice che apple ha il diritto di pre-visionare, muovere, rifiutare, modificare o rimuovere contenuti che vengono ritenuti inopportuni. Di più. Cupertino si prende la libertà di accedere, usare, preservare o pubblicare informazioni legate agli account che potrebbero essere utili alle autorità giudiziarie o violerebbero il Digital Millenium Copyright Act.
Zdiarski ha spiegato ad Ars Technica: “Se i dati di iCloud fossero completamente criptati, loro non sarebbero in grado di visionare i contenuti, fornire i contenuti alle autorità o cercare di individuare violazioni del DMCA”. Rich Mogull, CEO di Securosis, aggiunge che i dati sono criptati solo per il trasporto, mentre vengono spediti dai dispositivi ad Apple: “Se puoi accedere a qualcosa da una pagina web, questo significa che il webserver ha la chiave. Quindi sappiamo che Apple potrebbe accedere a qualsiasi cosa presente su iCloud che è anche visibile da un browser“.
Robby Gulty, vice presidente di Echoworx, ci tiene però a sottolineare che Apple lavora in modo sicuro, usando trasmissioni tramite SSL, criptando su disco con chiavi a 128 bit e impedendo agli sviluppatori di accedere agli UDID dei dispositivi degli utenti.
[via]
P.S. Grazie a Roberto per la segnalazione.
marco 04/04/2012 il 19:31
bene, non lo uso più
Alberto 04/04/2012 il 19:37
@ marco:
LOL
Nessuno 04/04/2012 il 20:08
La scoperta dell’acqua calda… Vale anche per lo Sky Drive di Microsoft, Dropbox, GMail… Anzi quest’ultimo campa di pubblicità inerente al testo contenuto nella mail! Il fatto che ti dicano che non leggono i contenuti non vuol dire che non possono farlo.
djeasy84 04/04/2012 il 20:31
credo sia anche per una questione di legge…
so che per legge i dati devono essere mantenuti per tot di anni anche dopo una cancellazione da parte dell’utente e che all’occorrenza, su richiesta delle forze dell’ordine, deve essere possibile la visione dei contenuti.
quindi più che per un fatto di apple stessa credo sia un vincolo imposto da leggi o cose simili… credo…
granuz88 04/04/2012 il 23:13
marco wrote:
Non allarmiamoci per nulla.
Da sistemista di rete vi posso confermare che non c’è nulla di strano in questo.
Posso leggere tutte le mail dei dipendenti dell’azienda dove lavoro, posso accedere a tutte le loro cartelle private, ecc… in gergo si chiama diventare “root”.
Root non è l’utenza amministrativa, è Dio (senza offesa) tanto per capirci.
Questo non vuol dire che lo faccio. Anche perchè credetemi che un sistemista ha ben altro da fare che gironzolare tra i dati degli utenti.
Avere la chiave di tutto è necessario per risolvere problemi, non per abusarne.
Facciamo un esempio concreto. Supponiamo che ogni utente di icloud abbia la cartella sul server criptata e l’algoritmo di crittografia si sblocca solo con la password dell’utente (nemmeno root può intervenire).
Siete sicuri che sia una mossa giusta? in realtà non lo è per nulla, perchè quel giorno che vi dimenticate la password potete dire addio ai vostri dati. Infatti anche con la procedura di recupero password non funzionerebbe nulla, dato che i files sono stati criptati con la vecchia password, quindi l’unica cosa da fare è buttarli nel c***o.
Insomma, una chiave di sblocco univoca serve per forza, che lo vogliate o meno.
Ed è meglio che ci sia, credetemi! ;-)
Lucio Botteri 04/04/2012 il 23:25
@ granuz88:
Parole sante!
kralin 05/04/2012 il 00:23
granuz88 wrote:
nono non ti credo affatto.
io voglio che i miei dati siano completamente criptati, che una multinazionale multimiliardaria non ne abbia libero accesso e se perdo la password sono fatti miei! credimi che è meglio!
p.s. hai voglia a diventare Dio a 23 anni…
Gius 05/04/2012 il 00:55
@ marco:
Non lo usare e basta… Ma non usare nemmeno gmail, dropbox, facebook e soprattutto un pc/Mac connesso a internet… E torna a spedire le lettere con l’aereoplanino, e a salvare le tue cose importanti, scritte a mano e conservate in un libro vecchio. Non credo che Apple sia infelice se tu non userai il loro sistema di backup… Ma fidati che anche Windows e android copieranno anche questa volta da Apple
Floriano 05/04/2012 il 02:48
@ granuz88:
Non è proprio come dici tu. Secondo me la chiave per criptare i file non è creata dalla password ma è un hash dell’appleId che è univoco. E comunque in tutti i sistemi l’amministratore ha l’accesso a gran parte dei dati ma solo per correggere dei bug. Apple invece scrive nel contratto che può eliminare file non idonei. Quindi chi accetta espone i propri dati al giudizio di Apple.
jack 05/04/2012 il 09:37
@ Floriano: E lo fa consapevolmente, e quindi accetta tali condizioni.
jack 05/04/2012 il 09:37
kralin wrote:
p.s. hai voglia a diventare Dio a 23 anni…
E un po’ di ironia, no?
granuz88 05/04/2012 il 09:42
@ Kralin
Lasciando perdere il discorso di “Dio” che non sono affatto, era per far capire in modo metaforico la situazione…
Se vuoi avere un livello di sicurezza del genere non ti dovresti affidare a nessun servio internet esistente. Il problema è che non posso offrire ad un cliente un servizio, se poi non sono in grado di risolvere i problemi che possono capitare legati ai suoi dati presente sui server.
Posso capire iCloud, che alla fine è un banale servizio di sincronizzazione, ma ci sono servizi dove il “non poter recuperare i files” è inconcepibile, vedi server di posta o server di files in genere.
Inoltre aggiungi che ci sono delle normative, come qualcuno ha già accennato, che prevedono la possibilità di accedere ai files degli utenti (ovviamente servono mandati di giudici in caso di indagini e menate varie, il resto sono abusi).
Io sono dell’idea che una chiave di sblocco ci deve essere sempre, ovviamente non bisogna abusarne, e qui penso che siamo d’accordo.
@ Floriano
Ovviamente non so come è strutturata l’infrastruttura di Apple e come gestiscono gli account, ho solo fatto notare che la possibilità di accedere ai files degli utenti è una cosa normale che è comune a tutti i servizi internet.
E sia ben chiaro, non è che Apple, Google o chicchesia cancellano dati a caso… lo fanno quando c’è una giustificazione. Di solito quando viene imposto da una autorità superiore, come quella giudiziaria per esempio.
Che vantaggi avrebbero a cancellare files a caso?
Floriano 05/04/2012 il 17:50
@ granuz88:
Sono perfettamente d’accordo con te. Facendo di professione lo sviluppatore sul web concordo col fatto che un utente superAdmin lo sviluppatore del sito/servizio lo crea (anche io lo faccio) sempre.
Quello che volevo sottolineare è la leggerezza con cui alcuni utenti – e non mi riferisco a te, sia ben chiaro – lasciano in mano di terzi i propri dati.
Penso a Gmail, Facebook e anche alla funzione Genius di iTunes… sembrano dei fantastici servizi gratuiti ma in realtà ricavano un sacco di informazioni utili da rivendere alle agenzie di marketing… è una sorta di 1984 “2.0” in cui il regime totalitario non è quello comandato dal Grande Fratello ma dalle lobby economiche.
marco 06/04/2012 il 12:00
qua state parlando di utente root, admin, password sicure, di differenze tra questo e quel servizio e vi è sfuggita l’unica cosa rilevante dell’articolo:
“apple ha il diritto di pre-visionare, muovere, rifiutare, modificare o rimuovere contenuti che vengono ritenuti inopportuni. ”
mi sembra sufficiente per usare icloud solo per la funzione “trova il mio…”