News E2EE in iCloud: Apple entzieht sich Zugriff auf Safari-Lesezeichen

[Frank]

Über iCloud lassen sich Lesezeichen aus Safari bereits seit geraumer Zeit zwischen verschiedenen Systemen von Apple synchronisieren, gleich ob diese mit macOS, iOS oder iPadOS betrieben werden. Von nun an erfolgt auch die Übertragung der Lesezeichen mit Ende-zu-Ende-Verschlüsselung.

Zur News: E2EE in iCloud: Apple entzieht sich Zugriff auf Safari-Lesezeichen

 

[T2xlc]

Ich finde die Überschrift ein wenig missverständlich...
Vielleicht liegts an mir, aber auf den ersten Blick dachte ich, Apple "nimmt sich", also im Sinne von "holt sich" den Zugriff auf die Lesezeichen der Nutzer.

Besser fände ich persönlich entweder die Schreibweise: "Apple nimmt sich SELBST" den Zugriff auf, oder "Apple schließt sich von dem Zugriff aus".

Kann mich aber auch täuschen...

---Passt, hat sich erledigt---

 

[Cool Master]

Nett und auch wichtig, dass sämtliche Sachen verschlüsselt werden.

Ich würde mich aber noch mehr freuen, wenn der CSAM-Scan auf Endgeräten komplett eingestellt wird und das auch dauerhaft passiert und die entsprechenden Code-Schnipsel aus alles Systemen entfernt wird.

@T2xlc

Ja so ging es mir auch als erstes.

 

[Radde]

So wird die News wahrscheinlich öfters geklickt....

Apple strebt nach eigenen Angaben an, alle Daten Ende-zu-Ende-verschlüsseln, dem sollen aber auch Begehrlichkeiten von US-amerikanischen Strafverfolgungsbehörden im Wege stehen.

Nun ja, es gibt einen Grund, warum die USA nach Ansicht der EU seit "Schrems II" nicht mehr als sicheres Land in Sachen DSGVO gilt. Es gibt dort keinen ausreichenden Schutz der persönlichen Daten.

 

[leipziger1979]

Auf diese Weise hat niemand mit Ausnahme des Nutzers selbst Zugriff auf die in iCloud gespeicherten Lesezeichen, auch Apple nicht.

Solltet ihr es nicht besser wissen?

Wir reden hier von proprietärer Apple Software, und die hat natürlich Zugriff auf die privaten Schlüssel der Nutzer, und könnte diese an Apple übertragen.
Und die ganze Kommunikation läuft über Apple Server.

Und schon hätte Apple alles was es braucht um mitzulesen.

Aber das ist das grundsätzliche Problem bei E2EE.
Sobald proprietäre Software vom Anbieter, wo niemand nachweisen kann was die treibt, im Einsatz ist und die Kommunikation über die Server vom Anbieter läuft ist E2EE nicht wirklich garantiert.

 

[knoxxi]

wo niemand nachweisen kann was die treibt,

Aber um irgendwelche Möglichkeiten in den Raum zu werfen reicht es, ne?

 

[Ranayna]

@Frank: Bitte in der Ueberschrifft "nimmt" durch "entzieht" ersetzen. So jedenfalls ist diese zweideutige Ueberschrift maximal verwirrend. Meine erste interpretation war jedenfalls, das Apple jetzt explizit Zugriff auf Lesezeichen hat. Klar kann es anderherum interpretiert werden, aber das duerfte nicht die uebliche Interpretation sein.
Und ja, ich bin mir bewusst dass das Absicht sein duerfte Ist aber nicht das erste mal in letzter Zeit das mir solche absichtlichen Clickbait Ueberschriften negativ aufgefallen sind.

Das mal ganz abgesehen vom Sinn dieser Aktion

 

[0screamer0]

Clickbait ComputerBase wird langsam zu Bild !!!

 

[Frank]

Nein, das war ganz und gar keine Absicht. Ich wäre ehrlich gesagt nicht auf die hier genannte Interpretation gekommen. Dann wäre es ja eher "gibt sich Zugriff", "genehmigt sich Zugriff" o.ä.

 

[knoxxi]

Danke 👍🏻 So ist es glatt viel verständlicher im ersten Blick.

 

[Ranayna]

Die deutsche Sprache ist immer wieder fuer eine Missinterpretation gut
So ists besser.

Zu den bedenken die hier einige aeussern: Apple ist kein Heiliger, das ist mir vollkommen bewusst. Mir gefaellt bei Leibe nicht alles was sie tun.
Wenn ich aber die Wahl habe zwischen iOS und Android, da wuerde ich aus Datenschutzaspekten immer iOS waehlen.
Denn bei Google ist es ganz offensichtlich das alle moeglichen Daten erhoben und ausgewertet werden. Damit ist die Firma gross geworden und verdient ihr Geld.

Bei Apple ist das vielleicht so, aber noetig haetten sies definitiv nicht

 

[tidus1979]

@Ranayna @0screamer0

Ich finde, CB verhält sich bei den Überschriften ziemlich vorbildlich. Da hauen z.B. Heise und Golem gerne mal ganz andere Dinge raus. Vor allem aber hält sich CB bei unbestätigten Berichten oder unbewiesenen Behauptungen angenehm zurück. Nicht jeder Furz landet hier in den News.

 

[KitKat::new()]

Aber um irgendwelche Möglichkeiten in den Raum zu werfen reicht es, ne?

Möglichkeiten vor denen E2EE eigentlich schützen soll.

Was bringt daher dieses E2EE hier wirklich ausser Marketing?
Mir fällt da nur ein, dass es sein könnte, dass Behörden zwar auf alle von Apple zugänglichen Daten Zugriff fordern, aber Apple nicht aktiv dazu auffordern Daten zugänglich zu machen (also eine backdoor zu implementieren).
Fragt sich wie das beim Durchsuchen der Fotos gelaufen ist...

 

[Maviapril2]

Sobald jemand iCloud-Backups nutzt, werden die Encryption Keys auch mitgesichert, das heißt Apple und etwaige Behörden haben dann auch Zugriff. Nutzt man das nicht, hat Apple auch tatsächlich keinen Zugriff

(https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT)

Edit: Laut Apple soll das aber je nach Service unterschiedlich sein, für Messages soll es wohl definitiv so sein. Wie das bei den Lesezeichen gelöst ist, ist dann natürlich die Frage. Habe da auch vor kurzem etwas gelesen, dass WhatsApp Backups mit Passwortsicherung anbieten will, da Apple diese bis heute nicht verschlüsselt.

 

[mojitomay]

Die waren bisher nicht verschlüsselt? WTF?

 

[chartmix]

Alle iCloud-Daten sind dennoch weiterhin nicht verschlüsselt.

Bei Apple bin ich davon ausgegangen, dass das bereits der Fall ist. Passt meiner Meinung nach nicht zu ihrem Image.

 

[iSight2TheBlind]

@chartmix Apple wollte das auch eigentlich tun, das FBI hat nur sehr laut Einspruch eingelegt und diverse US-Staaten/Abgeordnete haben Gesetzesvorschläge vorgebracht, die in Verschlüsselungen verpflichtende Hintertüren erfordert hätten.
Damals gab es ja auch den ganzen Aufruhr bezüglich des einen iPhone 5c, welches irgendein Terrorist genutzt hatte und wo Apple nicht helfen wollte es zu entschlüsseln.
Das iCloud-Backup hatte Apple den Strafverfolgungsbehörden auch zur Verfügung gestellt, die meinten aber das reicht ihnen nicht und wollten Zugriff auf das Telefon selbst.

Ein anderer Aspekt, aber ich bin ziemlich überzeugt, dass die Einwände der Strafverfolgungsbehörden und die drohende Gesetzgebung, Verschlüsselung dann einfach grundsätzlich illegal zu erklären) der wichtigste Punkt waren:
Ein komplett verschlüsseltes iCloud-Backup kann auch dazu führen, dass verpeilte Kunden sich aus ihrem Backup aussperren (da sie sich an das Passwort nicht mehr erinnern usw. und ihr iPhone gestohlen wurde) und Apple nicht helfen könnte an die Daten zu kommen.
Beim aktuellen System kann ein Supportmitarbeiter noch nach Prüfung der Identität das Passwort zurücksetzen und da das Backup ja nicht gesondert verschlüsselt ist kann es dann auf ein neues iPhone heruntergeladen werden.
Da wo das Backup mit dem Passwort verschlüsselt ist geht das nicht.

Aus diesen beiden Gründen, Apple nennt eher den zweiten, ich denke es ist eher der erste, gibt es bisher kein E2E-verschlüsseltes iCloud-Backup.

Aber: Gerade deshalb finde ich die Ankündigung des CSAM-Scans ja so interessant, denn damit fällt eines der großen Argumente der Behörden weg.
Wenn man in iCloud kein "kinderpornografisches" Material aufbewahren kann, ohne dass das automatisiert gemeldet wird, dann haben Behörden auch nicht mehr das Buhmann-Argument, dass Verschlüsselung Kindesmissbrauch unterstützt.

Dann könnte Apple als Option anbieten, dass iCloud-Backup E2E-verschlüsselt umzusetzen.
Zur Sicherheit würde man das hinter diversen Abfragen platzieren, inklusive der "Pflicht" einen Masterkey für das Backup auszudrucken und sicher aufzubewahren, und erst wenn man das verstanden, umgesetzt und akzeptiert hat wird das Backup verschlüsselt.

Somit könnte man gegenüber den Strafverfolgungsbehörden und der "aufgebrachten" Öffentlichkeit sagen, dass Backups ganz sicher "sauber" sind und Nutzer die das Backup verschlüsseln wollen sind gut genug vor sich selbst geschützt.