¿Qué claves se transfieren a Apple durante una copia de seguridad de iCloud?

9

La implementación de la protección de datos de iOS y la implementación de las copias de seguridad de iTunes están razonablemente bien documentadas, en un alto nivel por por Apple , y en un nivel mucho más detallado por parte de terceros .

Sin embargo, me pregunto sobre los detalles de implementación de las copias de seguridad de iCloud. El documento de Apple solo menciona el asunto muy brevemente en un párrafo de la bolsa de copia de seguridad iCloud .

De acuerdo con esa información, y a diferencia de una copia de seguridad local de iTunes, los datos se leen desde el dispositivo aún encriptado (a excepción de los archivos con la clase de protección NSFileProtectionNone , para los cuales la clave de clase está disponible en todo momento). Por otro lado, Apple es claramente capaz de descifrar una copia de seguridad de iCloud incluso sin que el usuario proporcione las credenciales de ID de Apple originales o el teléfono con el que se creó originalmente, pasando de este modo (¿o falla?) El prueba de charco de lodo .

Esto parece implicar que en algún momento del proceso de copia de seguridad, las claves de clase reales se transmiten a Apple (de lo contrario, no hay forma de que una copia de seguridad de iCloud funcione mientras el dispositivo está bloqueado; algunos archivos están protegidos con una clase Tecla que solo está disponible mientras la pantalla esté desbloqueada). (Para las copias de seguridad locales, los archivos se descifran en el dispositivo, utilizando las claves contenidas en la bolsa de claves de custodia, por lo que no exponen ninguna clave a largo plazo a la computadora que realiza la copia de seguridad).

Si bien ya se sabe que Apple tiene acceso completo a las copias de seguridad de iCloud almacenadas en sus servidores, esto implicaría que al habilitar la copia de seguridad de iCloud incluso una sola vez, algunas claves de cifrado que de otra manera nunca dejarían un dispositivo iOS se transmiten y almacenan a iCloud.

Me pregunto qué podría hacer un adversario una vez que obtuvieran acceso a una copia de seguridad de iCloud, usando algún software de terceros para descargar todo en una computadora:

Parecería que no solo son capaces de examinar el contenido de la copia de seguridad en sí, sino que también obtienen suficiente información para descifrar todo lo que hay en la NAND del dispositivo, si pudieran adquirirla físicamente (además de las credenciales de ID de Apple ), ya que las claves de clase están contenidas en el archivo de copia de seguridad descargado.

¿Alguien puede compartir algún conocimiento sobre cómo funciona realmente el proceso de copia de seguridad de iCloud, y si el escenario anterior es plausible?

    
pregunta lxgr 08.08.2013 - 19:32
fuente

1 respuesta

1

Hay una guía de seguridad más reciente publicada por Apple que la que mencionó que contiene una lista de Claves no migratorias, elementos de llavero para los que la clase está protegida. La palabra privacidad aparece en la guía de 2012 una vez. Se agregaron otras 21 referencias en el 2016. Las consultas de esta naturaleza son comunes, especialmente cuando los usuarios de iOS tienen información médica, financiera, de propiedad intelectual y otra información confidencial.

Tal como dedujo, no es posible deserializar el llavero Y proporcionar privacidad a los atacantes internos de Apple a menos que se guarde un secreto en el cliente y se use para cifrar los datos antes de ingresar al proceso de copia de seguridad. No se menciona ningún mecanismo que permita al usuario de iOS instalar un certificado o establecer una contraseña de respaldo a la que Apple no pueda acceder.

Si desea tener una privacidad altamente segura, necesita cifrado del lado del cliente en el nivel de la interfaz de usuario. No está claro si una aplicación podría llegar a la App Store con un dispositivo de privacidad de este tipo. Tal código probablemente sería considerado una fuente potencial de malware o virus por parte de Apple. (Consulte la sección Compromiso con la seguridad de la nueva guía).

Aunque se pueden encontrar varios comentarios sobre su tema, ninguno es del equipo de desarrollo o seguridad de Apple, ya que la información del lado del servidor seguramente se considera confidencial por parte de la compañía Apple. La API para las aplicaciones del lado del cliente es de caja negra, la transparencia de los servicios centrales es baja y la API Core Backup no es lo suficientemente granular para proporcionar sugerencias.

Puede leer más sobre la clase NSFileProtectionNone y las clases relacionadas en la documentación de la API, pero no se proporciona ningún diagrama de secuencia o descripción. No pude encontrar una secuencia o un diagrama de acción con ningún detalle. Solo sabemos que la transferencia se realiza a través de TLS .

Un rastreador de paquetes generaría detalles, pero el segundo párrafo anterior se mantendría independientemente de los detalles operativos.

respondido por el FauChristian 24.01.2017 - 18:53
fuente

Lea otras preguntas en las etiquetas