Een Russisch forensisch bedrijf genaamd Elcomsoft heeft ontdekt dat Apple de browsegeschiedenis van gebruikers in iCloud opsloeg die meer dan een jaar terugging, mogelijk veel langer. Dit gebeurde zelfs nadat gebruikers hadden gevraagd om verwijderde records van hun met iCloud verbonden apparaten te wissen. Kort nadat Elcomsoft een manier aankondigde om verwijderde browsegeschiedenis uit iCloud te extraheren, paste Apple een server-side fix toe om het ophalen te stoppen en scheen blijkbaar alle records ouder dan twee weken.
"Goede zet, Apple," zei Elcomsoft. "Toch willen we graag een uitleg krijgen."
Apple weigerde publiekelijk commentaar te geven op de bevindingen van Elcomsoft.
Elcomsoft heeft toevallig ontdekt dat informatie over verwijderde items in de browsegeschiedenis van Safari werd opgeslagen in iCloud, mogelijk voor onbepaalde tijd. Die records bevatten zaken als website-namen, URL's en wanneer een bepaalde site werd bezocht.
Gewiste records werden eenvoudigweg gemarkeerd als "verwijderd" in de tabel op iCloud. De items lijken niet toegankelijk te zijn geweest voor wetshandhavingsverzoeken.
Volgens beveiligingsexperts was dit een ontwerpfout in plaats van een soort snode regeling van Apple.
Synchronisatie met iCloud vereist dat records met verwijderde items nog enige tijd toegankelijk blijven op servers nadat de werkelijke items zijn verwijderd. Hiermee kan een iCloud-apparaat dat is uitgeschakeld of ontoegankelijk is, een kopie van het item verwijderen dat eerder uit Safari op een ander apparaat is verwijderd, zodra dat apparaat weer online is.
Nu zijn alle bedrijven die online services uitvoeren die gebruikersgegevens op servers opslaan, wettelijk verplicht zich te houden aan een vorm van gegevensretentie, waardoor ze verplicht zijn om verwijderde items gedurende een bepaalde periode op servers te bewaren. Zoals uitgelegd, stelt Apple het bijhouden van een bepaalde site die is bezocht en gewist in staat deze informatie te synchroniseren met andere apparaten die momenteel mogelijk niet toegankelijk zijn voor iCloud.
Elcomsoft heeft deze records met succes opgehaald met zijn mobiele acquisitietool die meer dan een jaar terugging, maar dat was voordat Apple stilletjes een server-side fix toepaste. De tool haalt volledige informatie over elke record op, inclusief de datum en tijd waarop de record voor het laatst is geopend, evenals de datum en tijd waarop de record is verwijderd.
Elcomsoft vond die records al in november 2015 opgeslagen in niet-gehashte vorm.
Hoewel de Phone Breaker-sonderingstool van Elcomsoft kan worden gebruikt om toegang te krijgen tot deze gegevens in een niet-gecodeerde vorm, moet de gebruiker toegang hebben tot de iCloud-inloggegevens van een doel of een authenticatietoken opgeslagen op het apparaat zelf, waardoor iCloud-gerelateerde privacyinvallen moeilijk te trekken zijn uit.
Volgens Forbes verandert een door Apple geïmplementeerde wijziging in Safari 9.1 en iOS 9.3 alle verwijderde URL's uit de webgeschiedenis van de gebruiker in een gehashte vorm om snuffelen te voorkomen. In de tussentijd kunt u dit probleem helemaal voorkomen door Safari-synchronisatie uit te schakelen in de iCloud-instellingen op uw iPhone, iPad of Mac.
Bron: Elcomsoft via Forbes
