Apple Schrapt Geavanceerde Databeveiliging in VK

Apple heeft recentelijk veel aandacht getrokken door zijn geavanceerde functie voor databeveiliging, Advanced Data Protection (ADP), voor klanten in het Verenigd Koninkrijk te schrappen.

Dit besluit volgde op een verzoek van het Ministerie van Binnenlandse Zaken, dat toegang zocht tot gegevens die door deze tool beschermd worden—een mogelijkheid die zelfs Apple momenteel niet heeft.

In plaats van aan deze eis te voldoen, heeft de technologiegigant vrijdag aangekondigd nieuwe registraties voor deze functie in het VK stop te zetten en zal het uiteindelijk de toegang voor bestaande gebruikers intrekken.

Deze beslissing heeft geleid tot kritiek op de acties van de Britse overheid, en heeft verwarring veroorzaakt over de resterende bescherming die beschikbaar is voor Apple-gebruikers in het VK.

Wat houdt Apple’s Advanced Data Protection in?

ADP is een vrijwillige beveiligingsoplossing die is ontworpen om de bescherming van gegevens in iCloud-accounts voor gebruikers van apparaten zoals iPhones te verbeteren.

Standaardversleuteling wordt toegepast op verschillende items, waaronder back-ups, foto's, notities en spraakberichten. In bepaalde gevallen kan de wetshandhaving het bedrijf verplichten om deze gegevens vrij te geven.

In tegenstelling tot de standaardbeveiliging voegt ADP een extra beveiligingslaag toe door middel van end-to-end versleuteling, zodat Apple geen toegang heeft tot de gegevens; alleen de gebruiker heeft toegang.

Aangezien Apple de decryptiesleutel niet heeft, kan het verliezen van toegang tot een account leiden tot permanente gegevensverlies. Dit betekent ook dat wetshandhavingsinstanties deze gegevens niet kunnen terughalen.

Het is belangrijk op te merken dat deze tool onafhankelijk opereert van de bestaande beveiligingen voor blauwe berichten die via iMessage worden verzonden, wachtwoorden die zijn opgeslagen in iCloud-sleutelhanger, informatie uit de Gezondheids-app en FaceTime, die allemaal van nature end-to-end versleuteld zijn.

Wat betekent dit voor mijn iCloud-gegevens?

Als je in het VK woont en Advanced Data Protection (ADP) niet hebt geactiveerd, zal er niets veranderen in de manier waarop jouw gegevens worden beveiligd vanwege de beslissing van Apple om deze functie uit te schakelen.

Je iCloud-gegevens blijven beveiligd met standaardversleuteling en, zoals voorheen, blijven ze toegankelijk voor Apple. Dit betekent echter dat je geen end-to-end versleuteling voor je iCloud-opslag kunt kiezen, ook al zou je dat willen.

Bovendien zullen individuen in het VK die ADP eerder hebben ingeschakeld, uiteindelijk ook hun toegang tot deze functie op een later moment verliezen, zoals externe bronnen aangeven. Apple heeft geen informatie verstrekt over de tijdlijn of het aantal getroffen gebruikers in het VK.

Verscheidene experts hebben zorgen geuit over het schrappen van bepaalde beschermingen, waarna ze vrezen dat dit kan leiden tot een afname van de gebruikersbeveiliging en mogelijk bredere wereldwijde implicaties.

Graeme Stewart van het cybersecuritybedrijf Check Point merkte op dat dit niet betekent dat er een onbeperkte toegankelijkheid is, aangezien wetshandhaving nog steeds een huiszoekingsbevel nodig heeft om toegang te krijgen tot iCloud-gegevens.

Hij waarschuwde echter dat andere landen mogelijk hetzelfde verzoek om een zogenaamde "backdoor" in versleutelde cloudgegevens bij Apple zullen indienen.

Cybersecurityprofessionals hebben het idee van het creëren van een backdoor vergeleken met het achterlaten van je huissleutels onder een deurmat, waarmee een kwetsbaarheid ontstaat die door iedereen, inclusief kwaadwillenden, kan worden misbruikt.

De Electronic Frontier Foundation, een organisatie die opkomt voor digitale rechten, verklaarde dat als Apple aan het verzoek had voldaan, dit een backdoor zou hebben gecreëerd, niet alleen voor gebruikers in het VK, maar ook wereldwijd.

In een verklaring aan de BBC benadrukte Apple dat het "nooit een backdoor of meester sleutel voor een van onze producten heeft gebouwd, en dat ook nooit zal doen."

Welke bescherming biedt Google en Android?

Net als Apple beweert Google standaardversleuteling toe te passen voor verschillende diensten om gegevens te beschermen tijdens de overdracht tussen de apparaten van gebruikers, zijn diensten en datacenters.

De technologiegigant, eigenaar van het Android-besturingssysteem, heeft de bescherming voor Android-telefoonsystemen verbeterd sinds 2018; het maakt gebruik van een systeem dat een willekeurige beveiligingssleutel op het apparaat genereert, die vervolgens wordt versleuteld met het toegangscode, patroon of PIN van de gebruiker.

Google beweert dat het deze beveiligingssleutel niet kan benaderen en dat de gegevens die met een wachtwoord zijn beschermd veilig worden verzonden naar beveiligde chips in zijn datacenters.

Echter, deze beschermingen gelden niet voor Google Foto's of inhoud die in Google Drive is opgeslagen, die niet end-to-end zijn versleuteld.

Bovendien biedt Google een Advanced Protection Program voor individuen die een verbeterde beveiliging voor hun accounts wensen. Dit programma vertrouwt op het gebruik van toegangssleutels om de rekeninghouder te verifiëren.

Bepaalde Samsung Galaxy-smartphones hebben "verbeterde databeveiliging" die versleuteling biedt voor back-ups van berichten, belgeschiedenis, applicaties, instellingen en andere gegevens, en zorgt voor uitgebreide end-to-end beveiliging.

De beslissing van Apple om Advanced Data Protection in het VK in te trekken, roept aanzienlijke zorgen op over de toekomst van gebruikersprivacy en gegevensbeveiliging. Terwijl het bedrijf beweert privacy te prioriteren, zou deze stap een gevaarlijk precedent kunnen scheppen, wat mogelijk meer overheden aanspoort tot vergelijkbare eisen voor toegang tot versleutelde gegevens.

Zonder end-to-end versleuteling op iCloud kunnen gebruikers hogere risico's van datalekken of surveillance ervaren. Deze verschuiving vermindert ook het niveau van controle dat gebruikers hebben over hun eigen informatie, waardoor ze kwetsbaar blijven voor zowel overheidsaccess als mogelijke kwaadaardige aanvallen, wat uiteindelijk de beveiliging ondermijnt die Apple ooit beloofde.