Wie sicher sind iCloud-Backups?


17

Werden iCloud-Backups sowohl beim Übertragen als auch beim Speichern verschlüsselt? Ist es jemandem bei Apple möglich, auf ein Backup zuzugreifen, das für die Dateneingabe erstellt wurde?

Ich habe gehört, dass Apps, die aus dem App Store abgerufen wurden, auch aus iCloud-Backups entfernt wurden. Wenn sie also von Apple geändert werden können, sind sie sicher nicht sicher gespeichert?

Ich habe viele meiner Passwörter für Websites und Apps gespeichert. Ich gehe also davon aus, dass diese auch in den Backups gespeichert sind.


Falls es aus den Antworten nicht klar hervorgeht, werden Ihre Apps nicht in iCloud gespeichert, sondern aus dem Store heruntergeladen, sobald die iCloud-Daten für die Apps wiederhergestellt sind. Wenn also eine App aus dem Store gelöscht wird (und nicht nur aus dem Verkauf entfernt wird), sind die Daten dort nicht in der Lage, etwas zu tun, da ein Alles fehlt. Es gibt keinen Hinweis darauf, dass Apple Dateien aus einem Backup entfernt, es sei denn, Sie werden aufgefordert, das Backup für eine bestimmte App zu deaktivieren. Lassen Sie es mich wissen, wenn Sie möchten, dass dies unten explizit beantwortet wird ...
bmike

Haben Sie eine Quelle über das Entfernen von Apps durch Apple in iCloud-Backups?
Nicolas Barbulesco

@bmike - Das ist interessant ... und ein bisschen besorgniserregend. Lädt die Wiederherstellung die richtige Version aus dem App Store herunter? Oder die letzte (kompatible) Version?
Nicolas Barbulesco

1
@NicolasBarbulesco Sie möchten mit iTunes synchronisieren, sichern und dann wiederherstellen, um sicherzustellen, dass kompatible Versionen neu geladen werden. Ich hatte kein Problem damit, dass iCloud keine kompatible App gefunden hat. Ich habe jedoch die Absicht, dass Sie eine heruntergeladene App erhalten könnten, wenn die App vom Entwickler nicht ordnungsgemäß im Store markiert wurde (um ältere Downloads zuzulassen usw.). )
bmike

Antworten:


6

ArsTechnica hat gerade ein großartiges Stück dazu geschrieben .

Ein kurzer Überblick:

Die einfache Antwort lautet, dass Ihre Daten mindestens so sicher sind wie auf einem beliebigen Remote-Server, wenn nicht sogar noch sicherer. Alle Daten werden mit Secure Sockets Layer über WebDAV, IMAP oder HTTP auf Computer und mobile Geräte übertragen. Alle Daten außer E-Mail und Notizen - dazu später mehr - werden auf den Servern von Apple gespeichert und verschlüsselt. Auf mobilen Geräten werden sichere Authentifizierungstoken erstellt, um Informationen abzurufen, ohne ständig ein Kennwort zu übertragen.

Und Backups werden verschlüsselt gespeichert und übertragen. Wenn ein Mitarbeiter auf ein Backup zugreifen kann, kann dies nur ein Apple-Mitarbeiter richtig beantworten.

Wenn eine App aus dem Store gezogen wurde, muss sie möglicherweise nicht in Ihr Backup aufgenommen werden, um sie zu entfernen. Alle Apps haben eine eindeutige Kennung, und wenn überhaupt, können sie dieses Backup einfach für alle löschen (denken Sie daran, dass die Backups einzeln gespeichert werden und nicht, wenn Sie so wollen, eine große ZIP-Datei). Auch dies ist Apple-intern, sodass niemand diesen Teil vollständig beantworten kann.

Schließlich enthalten Sicherungen den Schlüsselbund, der jedoch auch verschlüsselt ist, und der Schlüssel ist an das Gerät gebunden, auf dem die Sicherung durchgeführt wurde.

Von verschiedenen Stellen aus, die ich online gelesen habe, erfüllt oder übertrifft Apple in dieser Hinsicht (häufiger) die Standardsicherheitsverfahren.


13

Die guten Nachrichten. Daten werden mit SSL verschlüsselt, während sie zwischen Ihrem Computer und den iCloud-Servern übertragen werden. Außerdem werden Daten im Ruhezustand verschlüsselt und auf den iCloud-Servern gespeichert (mit einigen Ausnahmen, siehe unten). Die Verschlüsselung ist unsichtbar, benutzerfreundlich und automatisch (standardmäßig aktiviert).

Die weniger guten Nachrichten.iCloud verwendet eine serverseitige Verschlüsselung, keine clientseitige Verschlüsselung. Wenn Sie Daten an die Cloud senden, werden diese auf Ihrem Computer mit SSL verschlüsselt, auf den iCloud-Servern entschlüsselt und anschließend mit einem von Apple für die Speicherung bekannten Verschlüsselungsschlüssel erneut verschlüsselt. Dies bedeutet, dass Apple-Mitarbeiter technisch in der Lage sind, Ihre Daten zu lesen. Möglicherweise gibt es verfahrenstechnische, technische oder Richtlinienkontrollen, um dies unwahrscheinlich zu machen, aber die Fähigkeit ist vorhanden. Das bedeutet, dass der Angreifer potenziell auf alle Ihre Daten zugreifen kann, falls die Cloud von Apple jemals von einem erfahrenen Angreifer kompromittiert wird. Mit anderen Worten, jeder Datenverstoß oder Unfall von Apple kann dazu führen, dass Ihre Daten offengelegt werden. Dies mag nicht allzu wahrscheinlich sein, aber angesichts der Tatsache, dass auch angesehene Unternehmen wie Google verletzt wurden, ist ein Verstoß oder eine andere Gefährdung der iCloud-Server nicht undenkbar.

E-Mails und Notizen werden auf Apples Servern nicht verschlüsselt gespeichert. E-Mails enthalten häufig vertrauliche Informationen - z. B. Kontokennwörter, Links zurücksetzen - und sind daher etwas gefährlich.

Wenn die Strafverfolgung Apple um eine Kopie Ihrer Daten bittet, gibt Apple diese an diese weiter. Apple benötigt nicht unbedingt einen Haftbefehl. EFF gibt Apple nur einen von vier Sternen für den Schutz von Benutzerdaten in seinem Bericht " Wenn die Regierung anklopft, wer hat den Rücken?". Apple ist der Ansicht, dass die Anfragen der Regierung nach Zugriff auf Ihre Daten nicht transparent sind und dass es den Nutzern nicht mitteilt, wann ihre Daten an die Regierung weitergegeben wurden.

Die Risiken beschränken sich nicht nur auf staatliche Anfragen. Wenn Sie verklagt werden oder in eine streitige Scheidung geraten, könnten die Anwälte der Gegenpartei Ihre Daten von Apple vorladen, und Apple müsste sie ihnen mitteilen. Beachten Sie, dass der Schwellenwert für eine Vorladung relativ niedrig ist: Vor allem, dass die Daten wahrscheinlich für den Fall relevant sind.

Die Sicherheit Ihrer Daten in iCloud ist nur so gut wie die Passphrase in Ihrer Apple ID. Wenn Sie also möchten, dass Ihre Daten sicher sind, müssen Sie eine lange und sichere Passphrase wählen. Leider gibt es einige Aspekte der aktuellen Systeme, die dazu neigen, Benutzer dazu zu bewegen, kurze, schwache Passphrasen zu wählen. Das Betriebssystem weigert sich, diese Passphrase im Schlüsselbund zu speichern, und fordert Sie auf, sie häufig einzugeben. Wenn Sie ein iOS-Gerät verwenden, müssen Sie häufig Ihre Apple ID-Passphrase eingeben (z. B. jedes Mal, wenn Sie eine App installieren oder aktualisieren). Da das Eingeben einer langen und starken Passphrase ein großes Problem für ein iPhone ist, entscheiden sich viele Benutzer möglicherweise nur aus Gründen der Benutzerfreundlichkeit für eine kurze, schlechte Passphrase, wodurch ihre iCloud-Daten leider nur unzureichend gesichert sind. So kann das aktuelle Design dazu neigen, viele Benutzer zu ermutigen, ein schwaches Passwort zu verwenden.

Weitere Lektüre. The Economist hat ein hervorragendes Argument, das die Auswirkungen der Speicherung Ihrer Daten in der Cloud auf die Sicherheit und die unterschiedlichen Sicherheitsstandards der verschiedenen Anbieter zusammenfasst . Zum Vergleich: iCloud ähnelt DropBox in seinen Sicherheitseigenschaften und ist schwächer als SpiderOak. Um zu verstehen, warum Apple sich für eine bestimmte Architektur entschieden hat, könnte Ihnen der Blog-Artikel von Ben Adida gefallen: Verschlüsselung ist keine Soße; Dies hat erhebliche Auswirkungen auf die Benutzerfreundlichkeit. .

Zusammenfassung. Die Sicherheitspraktiken von iCloud entsprechen weitgehend den gängigen Praktiken in diesem Bereich. iCloud scheint eine vernünftige und professionell gestaltete Sicherheitsarchitektur zu haben. Obwohl es einige Sicherheitsrisiken gibt, ist die Sicherheit von iCloud für die meisten Menschen wahrscheinlich gut genug, und die Vorteile von iCloud für die Bequemlichkeit werden die Risiken für die meisten Leute wahrscheinlich überwiegen.

Das Speichern Ihrer Daten in der Cloud erhöht jedoch das Risiko. Für einige besonders sensible Benutzer - z. B. Patientenakten, Finanzinstitute oder andere Unternehmen mit sensiblen Daten - ist es möglicherweise ratsam, das Speichern der sensibelsten Daten in der Cloud zu vermeiden.


Gute Antwort. Seit der Einführung von Touch ID hat sich die Häufigkeit, mit der Sie Ihr Apple ID-Kennwort erneut eingeben müssen, erheblich verringert, wenn Sie sich dafür entscheiden.
Mike Chamberlain

"iCloud verwendet serverseitige Verschlüsselung, nicht clientseitige Verschlüsselung." Ist diese Aussage noch korrekt? Laut apple.com/business/docs/iOS_Security_Guide.pdf (Stand: März 2017) werden Dateien in ihrem ursprünglichen, verschlüsselten Zustand in iCloud gesichert. (allerdings im Zusammenhang mit "Dateien ..., die in Datenschutzklassen erstellt wurden, auf die bei gesperrtem Gerät nicht zugegriffen werden kann").
Jhfrontz

1
@ jhfrontz, soweit ich weiß, ja. Es ist beabsichtigt. Probieren Sie den Schlammpfützentest aus: blog.cryptographyengineering.com/2012/04/05/… .
DW

OK, danke - ich hatte keine Ahnung, dass es einen "iForgot" -Dienst gibt (und daher nahm ich an, dass das iCloud-Kennwort vor der Übertragung in die [i] Cloud lokal zum Verschlüsseln verwendet wurde).
Jhfrontz

2

Es gibt eine Dokumentation zu diesem Thema. Hinweis:

iCloud-Sicherheit
iCloud schützt Ihre Inhalte, indem es sie beim Versand über das Internet verschlüsselt, in einem verschlüsselten Format speichert und sichere Token zur Authentifizierung verwendet.

Mehr finden Sie unter:

http://support.apple.com/kb/HT4865

Sie sollten Ihre Passwörter jedoch wahrscheinlich nicht an einen Cloud-Server senden. In jedem Fall ist dies eine schlechte Wahl, wenn es um Ihre Sicherheit und Informationen geht.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.