Segurança do iCloud em 2017: o que vem a seguir?

Publicados Março 8^th, 2017 — Atualizada mais de uma semana atras

Por

Aidan Fitzpatrick Ética e verificação de fatos

Reincubar ajuda as empresas e os indivíduos a criar valor com seus próprios dados de maneira ética e transparente e, como tal, é importante que os dados e as plataformas subjacentes sejam, eles próprios, seguros. Além de alguns dos elementos de segurança de nuvem mais amplos, há quatro tendências principais e áreas de mudança positiva para o iCloud no início de 2017.

Autenticação de dois fatores: promovida intensamente no iOS 10.3

O primeiro é o lançamento escalonado de 2FA. Este é um excelente passo da Apple para aumentar a segurança das contas do iCloud. Em um esforço para incentivar a adoção do padrão, a Reincubate lançou suporte gratuito para 2FA, 2SV e tokenização para todos os seus usuários em 2016. Emocionante, a Apple criou vários recursos no iOS 10.3 para promover mais o 2FA, a partir de um selo indicador no ícone de configurações, melhor documentação e notificações regulares para os usuários habilitá-lo. O lançamento do 10.3 no final deste mês vai impulsionar a adoção do 2FA, que, segundo os próprios dados do Reincubate, ainda é baixo.

iOS 10.3's 2FA activation notification — Notificação de ativação 2FA do iOS 10.3

Diminuição do armazenamento de dados dinâmicos em backups

Enquanto em 2015, a Apple armazenou a maioria dos seus dados nos backups do iCloud, o que não é cada vez mais o caso. Em 2016, o iOS 9.3 mudou o histórico do navegador do Safari para o serviço de sincronização CloudKit da Apple, e o lançamento do iOS 10 moveu os registros de chamadas para o CallKit.

A crescente complexidade desses sistemas impede hackers e reduz o significado dos backups do iCloud como um único conjunto de dados mestre, ao mesmo tempo em que apresenta um mecanismo pelo qual alguns dados são sincronizados com mais frequência do que a cada 24 horas. A Cloud Data API da Reincubate apoiou todos os estágios desse processo.

Notificação de acesso à conta, restrição e extração de recursos

Embora a Apple construa sistemas de notificação de conta para alguns elementos do iCloud, nem todo o acesso é divulgado e responsável para os usuários. A equipe da Reincubate acredita que esse deve ser o caso e, por isso, está trabalhando para definir e fornecer o padrão do setor para esse mecanismo na Cloud Data API. Haverá mais anunciados sobre isso nos próximos meses, à medida que o padrão se desenvolver.

Existem técnicas a serem usadas para limitar a quantidade de dados em nuvem fluindo pelos sistemas. A API do Reincubate fornece funcionalidade crítica para restringir o volume e a natureza dos dados que os clientes podem acessar, de modo que eles possam ser salvaguardados no caso de violação de seus próprios sistemas ou credenciais. Da mesma forma, as técnicas de aprendizado de máquina (ML), como a extração de recursos, atuam como ótimas maneiras para os clientes obterem insight da nuvem sem precisar armazenar ou revelar os dados subjacentes.

Confiança em sistemas e ambientes confiáveis

Por fim, como acontece com as técnicas usadas no Apple Pay e no TouchID, a Apple fará mais na grande atualização do iOS de 2017 para aproveitar os ambientes seguros disponíveis no iOS e no macOS. Para os hackers que tentam entrar, esse trabalho aumentará significativamente a complexidade e o custo de encontrar e manter o acesso a esses sistemas, na esperança de que eles tenham como alvo outras plataformas mais fracas - que, por sua vez, precisarão melhorar. A Apple lançou outro olhar sobre isso em 2016, quando eles corrigiram a criptografia local dos backups do iTunes 10 do iOS para ser incrivelmente cara .

Notável especialista em segurança e autor do Little Flocker , Jonathan Zdziarski escreve com mais detalhes sobre como a tecnologia fechada no macOS e no iOS é usada para proporcionar uma experiência segura com o Apple Pay, e como essas técnicas podem ser estendidas para combater o phishing .