Apple: duizenden keren iCloud-data verstrekt aan autoriteiten VS en Brazilië
Apple heeft de afgelopen jaren duizenden keren iCloud-data van gebruikers aan de Amerikaanse en Braziliaanse autoriteiten verstrekt. Autoriteiten in andere landen, waaronder Nederland vangen meestal bot als het om dit soort data gaat. Dat stelt Apple in de eigen transparantierapporten. Security.NL bekeek de door Apple zelf verstrekte cijfers van januari 2020 tot en met juni 2023. Cijfers over de tweede helft van 2023 en heel 2024 zijn niet beschikbaar.
Apple stelt dat het 'non-content data' en 'content data' aan autoriteiten kan verstrekken. Non-content data gaat onder andere om ip-adressen, transactiegegevens en e-mailadressen. Content data bestaat uit opgeslagen foto's, e-mail, 'iOS device backups', contacten of de inhoud van kalenders. In de genoemde periode deden de Nederlandse autoriteiten 348 dataverzoeken, waarbij informatie over 870 accounts werd gezocht. Geen enkele keer verstrekte Apple content data, aldus de transparantierapporten.
De Britse autoriteiten deden meer dan 6100 verzoeken, waarbij om gegevens van iets meer dan 7200 accounts werd gevraagd. In vier verzoeken overhandigde Apple naar eigen zeggen content data. Het is onduidelijk van hoeveel accounts de gegevens zijn verstrekt. In de transparantierapporten springen er twee landen uit als het gaat om dataverzoeken en ontvangen content data. Zo deed Brazilië in de genoemde periode bijna 14.000 verzoeken om gegevens, die betrekking hadden op zo'n 78.000 accounts. Bij 8800 verzoeken overhandigde Apple content data. Wederom is onduidelijk om hoeveel accounts het gaat.
Bovenaan de lijst staat de Verenigde Staten. Amerikaanse autoriteiten deden in zeven kwartalen bijna 52.000 dataverzoeken, waarbij data van 528.000 accounts werd gevraagd. Bij 22.306 verzoeken besloot Apple content data te overhandigen. De cijfers van Apple laten vooral in de laatste helft van 2022 een piek zien als het gaat om het aantal accounts waar de VS informatie over wilde hebben. In deze zes maanden worden 8500 dataverzoeken gedaan die op bijna 344.000 accounts betrekking hebben.
Apple zegt dat het dataverzoeken weigert als die geen legitieme juridische grondslag hebben, onduidelijk of te breed zijn. Het transparantierapport maakt daarnaast niet duidelijk welke informatie de autoriteiten zochten. Bij niet alle verzoeken wordt content data gevraagd. Sommige verzoeken vragen alleen om non-content data. Apple maakt ook niet specifiek duidelijk waarom het verzoeken weigert of waarom in bepaalde landen vaker content data wordt gedeeld dan in andere landen.
ICloud-back-ups zijn standaard niet end-to-end versleuteld, wat inhoudt dat Apple en ook de autoriteiten hier toegang toe kunnen krijgen. Gebruikers kunnen via de optie 'Advanced Data Protection voor iCloud' back-ups end-to-end versleutelen. Apple heeft dan geen toegang meer. Deze optie staat echter niet standaard ingeschakeld. Vorige week meldde The Washington Post dat de Britse autoriteiten Apple een Technical Capability Notice (TCN) hadden gegeven, waarin de autoriteiten eisen dat Apple toegang tot end-to-end versleutelde iCloud-back-ups biedt. Onder Britse wetgeving is het verboden voor de entiteit die een TCN ontvangt om die openbaar te maken. De inhoud van de betreffende Technical Capability Notice die Apple ontving is niet bekend.
Alleen in de standaard instelling wat ongeveer denk ik 99% heeft is het overdraagbaar wanneer je 'Advanced Data Protection voor iCloud' aan zet houd het op alleen jij hebt dan de sleutel en heeft het geen zin voor Apple om data over te dragen.
Backups welke in iCloud staan zijn inderdaad versleuteld, maar niet e2e. Apple bezit de sleutels zelf en kan dus een backup decrypten. Wil je e2e versleuteling dan zul je een extra instelling moeten aanzetten genaamd Advanced Data Protection.
Mijn volgende vraag is dan of dit überhaupt wel grondwettelijk is.
Wie beheert de keys voor de versleuteling?
De methode is hieronder beschreven. Lees de instructies goed door, vooral het dialoogvenster om een kopie te maken.
https://support.apple.com/nl-nl/108796
Ik heb het vandaag uitgeprobeerd op MacOS Sequoia (laatste versie) en het werkt perfect. Dan kun je iCloud voor je iPhone en iPad uitschakelen en bewaar je je gegevens op een veilige en versleutelde manier lokaal op je eigen computer. Daar kan welke overheid dan ook niet zo makkelijk bijkomen.
Let wel, deze instructie is alleen bedoeld voor legale activiteiten en gericht tegen overheden die de rechten van de niet-criminele burger minachten.
De methode is hieronder beschreven. Lees de instructies goed door, vooral het dialoogvenster om een kopie te maken.
https://support.apple.com/nl-nl/108796
Ik heb het vandaag uitgeprobeerd op MacOS Sequoia (laatste versie) en het werkt perfect. Dan kun je iCloud voor je iPhone en iPad uitschakelen en bewaar je je gegevens op een veilige en versleutelde manier lokaal op je eigen computer. Daar kan welke overheid dan ook niet zo makkelijk bijkomen.
Let wel, deze instructie is alleen bedoeld voor legale activiteiten en gericht tegen overheden die de rechten van de niet-criminele burger minachten.
Ik zou zowieso geen icloud gebruiken. Ook de ingebouwde lokale "versleutelde" backup is natuurlijk niet te vertrouwen. Drie maal raden wie er een backdoor heeft/krijgt voor deze "versleuteling".
Een lokaal apparaat wat aan het internet verbonden is kan een overheid ook vrij makkelijk bijkomen, of screen je al het verkeer van je macOS? Automatisch een compromised updateje voor je OS installeren en voila.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?