2 pontos por GN⁺ 2025-02-08 | 1 comentários | Compartilhar no WhatsApp
  • A exigência do governo britânico envolve uma autorização de acesso abrangente a todo o conteúdo criptografado de usuários enviado ao iCloud, abalando a promessa de segurança para usuários do mundo todo e indo além da cooperação investigativa de um único país
  • A ordem foi emitida como um technical capability notice sob o Investigatory Powers Act (IPA) de 2016, exigindo que a Apple crie um backdoor que permita às autoridades de segurança do Reino Unido acessar dados criptografados globalmente
  • A Apple pode ter dificuldade para informar aos usuários que a criptografia mais forte talvez já não ofereça segurança completa, e a lei relacionada também transforma em crime criminal a própria divulgação da existência dessa exigência
  • A Apple pode encerrar os serviços de armazenamento criptografado no Reino Unido em vez de quebrar sua promessa de segurança, mas essa escolha não eliminaria uma ordem de acesso por backdoor do Reino Unido sobre serviços em outros países, como os EUA
  • A ordem enfraquece o Advanced Data Protection do iCloud, introduzido em 2022, e a Apple e especialistas em segurança alertam que backdoors também se tornam pontos de entrada para agentes maliciosos

Exigência secreta do Reino Unido para acesso ao iCloud

  • Surgiram relatos de que o governo britânico exigiu secretamente da Apple uma autorização de acesso abrangente a todo o conteúdo criptografado de usuários enviado à nuvem
  • A ordem confidencial teria sido emitida no mês passado e exige que a Apple crie um backdoor que permita às autoridades de segurança do Reino Unido acessar dados criptografados de usuários no mundo todo
  • A exigência é considerada sem precedentes, em um nível raramente visto em outras democracias

technical capability notice e o IPA

  • A ordem foi enviada na forma de um technical capability notice do secretário do Interior do Reino Unido para a Apple
  • A base legal é o Investigatory Powers Act (IPA) do Reino Unido, de 2016
    • A lei permite que as autoridades forcem empresas a cooperar quando isso for necessário para coletar provas
    • Críticos há muito chamam a lei de “Snooper’s Charter”
  • Um porta-voz da Apple se recusou a comentar o caso
  • O Home Office também afirmou que não discute exigências técnicas e que não confirma nem nega a existência de notificações específicas
  • A legislação relacionada transforma em crime criminal o simples ato de revelar que o governo fez esse tipo de exigência

Limites à notificação dos usuários e alcance internacional

  • Uma pessoa informada sobre a situação acredita que a Apple também seria proibida de alertar usuários de que o Advanced Data Protection já não oferece segurança completa
  • A mesma pessoa considerou chocante que o governo britânico esteja exigindo da Apple a vigilância de usuários não britânicos sem que os governos desses países saibam disso
  • Um ex-assessor de segurança da Casa Branca confirmou a existência da ordem britânica

Possível resposta da Apple e impacto nos recursos do iCloud

  • Pessoas familiarizadas com o assunto acreditam que a Apple provavelmente encerraria a oferta de serviços de armazenamento criptografado no Reino Unido em vez de quebrar as promessas de segurança feitas aos usuários
  • A interrupção do serviço no Reino Unido não afetaria a ordem britânica de acesso por backdoor a serviços em outros países, incluindo os EUA
  • A Apple já afirmou no passado que poderia considerar retirar do Reino Unido serviços como FaceTime e iMessage em vez de aceitar compromissos de segurança
  • A ordem enfraquece o Advanced Data Protection lançado pela Apple em 2022
    • O recurso permite aplicar opcionalmente criptografia de ponta a ponta a mais categorias de dados do iCloud, como Photos, Notes, Voice Memos, backups do Messages e backups de dispositivos
    • Esses dados são projetados para que ninguém, incluindo a própria Apple, possa acessá-los

Criptografia de backups do Android pelo Google

  • O Google aplica criptografia padrão aos backups de telefones Android desde 2018
  • O porta-voz do Google, Ed Fernandez, não respondeu diretamente se o governo já solicitou um backdoor, mas indicou que esse backdoor não existe
  • Fernandez afirmou que o Google não consegue acessar dados de backup criptografados de ponta a ponta do Android, mesmo com ordem judicial

Revisão do IPA em 2023 e preocupações anteriores da Apple

  • O IPA foi revisado em 2023, permitindo que o Home Office proíba determinados serviços de criptografia por meio de um technical capability notice
  • Na época, a Apple classificou a proposta de revisão como um “abuso sem precedentes de poder” por parte do governo
  • A empresa manifestou preocupação de que, se a revisão entrasse em vigor, o Reino Unido poderia vetar secretamente novos recursos de proteção ao usuário em escala global, impedindo a Apple de oferecê-los a seus clientes

Posição da Apple e do setor de segurança sobre backdoors

  • O CEO da Apple, Tim Cook, tem dito de forma consistente que um acesso por backdoor à criptografia para autoridades também pode abrir caminho para que “bad guys” acessem dados de usuários
  • Especialistas em cibersegurança concordam que, uma vez criado esse ponto de entrada, será apenas uma questão de tempo até que agentes maliciosos o encontrem
  • A posição da Apple se fortaleceu depois que a empresa venceu, em 2016, a disputa contra uma ordem dos EUA para desbloquear o iPhone do autor do tiroteio de San Bernardino, na Califórnia

Mudança no debate sobre criptografia nos EUA e invasões ligadas à China

  • As autoridades policiais dos EUA se opõem à criptografia há muito tempo, mas recentemente cresceu a preocupação com grandes invasões cibernéticas atribuídas a hackers apoiados pelo Estado chinês
  • Os invasores conseguiram penetrar em grandes operadoras de telecomunicações e tiveram acesso irrestrito a ligações telefônicas privadas
  • Em uma coletiva de imprensa em dezembro, um representante do Departamento de Segurança Interna dos EUA, ao lado de autoridades do FBI, alertou para que não se presumisse que a rede telefônica tradicional oferece privacidade
  • Na mesma ocasião, recomendou-se o uso de comunicações criptografadas sempre que possível
  • No mesmo mês, FBI, NSA e CISA divulgaram um comunicado conjunto sobre a campanha cibernética chinesa e recomendaram criptografar o tráfego de ponta a ponta na maior extensão possível

Reação de grupos da sociedade civil

  • O grupo de campanha pela privacidade Big Brother Watch afirmou que esta tentativa, justificada pelo combate ao crime e ao terrorismo, não tornará o Reino Unido mais seguro
  • Segundo a entidade, a medida enfraquecerá direitos fundamentais e liberdades civis de toda a população

1 comentários

 
GN⁺ 2025-02-08
Opiniões no Hacker News