21 lutego Apple ogłosiło, że wycofuje funkcję Advanced Data Protection (ADP) w Wielkiej Brytanii. Decyzja ta jest konsekwencją rządowych żądań dotyczących dostępu do szyfrowanych danych użytkowników. Rzekomo brytyjskie organy władzy zażądały od Apple, aby firma umożliwiła im nieograniczony dostęp do zaszyfrowanych danych iCloud – nie tylko na terenie Wielkiej Brytanii, ale na całym świecie.
Ta sytuacja sprawia, że wielu użytkowników Apple zastanawia się, jak wpłynie to na bezpieczeństwo ich danych i prywatność w sieci. Warto dokładnie przyjrzeć się, czym jest Advanced Data Protection i dlaczego Apple zdecydowało się na tak stanowczy krok.
Czym jest Advanced Data Protection?
Advanced Data Protection to najbezpieczniejszy poziom ochrony danych dostępny w chmurze iCloud. Funkcja ta została wprowadzona w 2022 roku jako opcja, którą użytkownicy mogą włączyć ręcznie. ADP rozszerza szyfrowanie end-to-end na większą liczbę kategorii danych w iCloud – oznacza to, że Apple nie przechowuje kluczy deszyfrujących, a dostęp do informacji ma jedynie użytkownik za pośrednictwem swoich zaufanych urządzeń.
Mimo że Apple nigdy nie ujawniło, ilu użytkowników korzysta z tej inicjatywy, można przypuszczać, że nie jest ona aktywowana przez większość osób. Niektórzy mogą nie wiedzieć o jej istnieniu, inni mogą używać starszego sprzętu, który nie wspiera ADP. Pełne szyfrowanie wymaga bowiem najnowszego oprogramowania na wszystkich urządzeniach podłączonych do danego konta Apple.
Jeśli ADP nie jest włączone, dane w iCloud są nadal szyfrowane, ale Apple przechowuje klucze deszyfrujące. Oznacza to, że firma – w razie prawnego zobowiązania – może uzyskać dostęp do określonych informacji, takich jak e-maile, kontakty czy kalendarze użytkownika.
Dzięki ADP sytuacja wygląda inaczej. Klucze deszyfrujące istnieją tylko na urządzeniach użytkownika, co sprawia, że nawet jeśli Apple otrzyma nakaz sądowy, technicznie nie ma możliwości dostępu do tych danych.
Jakie dane obejmuje Advanced Data Protection?
Standardowe szyfrowanie w iCloud obejmuje dane przesyłane i przechowywane na serwerach Apple, ale firma przechowuje klucze dostępu. W przypadku ADP klucze pozostają wyłącznie na urządzeniach użytkownika. Dotyczy to takich kategorii danych jak:
– Kopie zapasowe iCloud (w tym kopie zapasowe urządzeń oraz wiadomości)
– iCloud Drive
– Zdjęcia
– Notatki
– Przypomnienia
– Zakładki Safari
– Skróty Siri
– Notatki głosowe
– Karty w aplikacji Wallet
– Dane z aplikacji Freeform
Tym samym Apple eliminowało możliwość nieautoryzowanego dostępu do tych danych – nawet ze strony samej firmy.
Kogo dotyczy decyzja Apple?
Zmiana polityki Apple dotyka dwóch grup użytkowników w Wielkiej Brytanii:
– Nowych użytkowników – od 21 lutego nie mają oni możliwości włączenia Advanced Data Protection, a podczas próby jego aktywacji zobaczą komunikat informujący, że funkcja nie jest już dostępna.
– Dotychczasowych użytkowników ADP – Apple nie może automatycznie wyłączyć tej funkcji, więc osoby, które miały ją aktywowaną, będą musiały wyłączyć ją samodzielnie, aby nadal korzystać z iCloud. Firma zapowiedziała, że przekaże szczegółowe instrukcje w tej sprawie.
Użytkownicy w Wielkiej Brytanii, którzy nigdy nie włączyli ADP, nie odczują żadnych zmian. Ich dane pozostaną chronione standardowym szyfrowaniem, ale Apple nadal będzie posiadało klucze dostępu do ich treści.
Jakie funkcje iCloud nadal pozostają zabezpieczone?
Warto zaznaczyć, że Apple nadal stosuje szyfrowanie end-to-end do niektórych funkcji iCloud, nawet po wycofaniu ADP. Dane takie jak:
– Wiadomości iMessage oraz FaceTime
– Pęk kluczy iCloud
– Dane z Apple Health
– Informacje dotyczące płatności i transakcji Apple Pay
– Mapy
– Historia przeglądania Safari i grupy kart
– Dane z funkcji Screen Time
– Hasła Wi-Fi
To oznacza, że chociaż wycofanie ADP wpłynie na użytkowników z Wielkiej Brytanii, wiele kluczowych funkcji i danych nadal pozostaje dobrze chronionych.
Dlaczego Apple wycofało ADP z Wielkiej Brytanii?
Brytyjski rząd wystosował wobec Apple żądanie dostosowania się do „technical capability notice” wynikającego z Ustawy o Uprawnieniach Śledczych (Investigatory Powers Act, IPA). Oznaczało to, że Apple musiałoby stworzyć backdoor do szyfrowanych danych, umożliwiający służbom dostęp do zawartości przechowywanej w iCloud – nie tylko w Wielkiej Brytanii, ale na całym świecie.
Co gorsza, IPA zobowiązuje firmy technologiczne do zachowania żądań rządowych w tajemnicy. W praktyce oznaczałoby to, że Apple nie mogłoby poinformować użytkowników o istnieniu luki w zabezpieczeniach. Aby obejść ten problem, Apple postanowiło całkowicie wycofać ADP z Wielkiej Brytanii, zamiast narażać swoich użytkowników na potencjalne zagrożenia związane z osłabieniem szyfrowania.
Eksperci ds. cyberbezpieczeństwa wielokrotnie ostrzegali przed skutkami tworzenia backdoorów do systemów szyfrowania. Nawet jeśli pierwotnym celem jest zapewnienie dostępu dla organów ścigania, taka luka może zostać wykorzystana przez cyberprzestępców lub obce rządy. To tak, jakby zostawić klucz pod wycieraczką – znalezienie go przez niepowołaną osobę jest tylko kwestią czasu.
Apple wydało oficjalne oświadczenie, w którym podkreśliło swoje zaangażowanie w ochronę danych użytkowników:
„Jesteśmy nadal zobowiązani do zapewniania najwyższego poziomu bezpieczeństwa danych osobowych naszych klientów i mamy nadzieję, że w przyszłości będziemy mogli ponownie oferować tę usługę w Wielkiej Brytanii.”
Co dalej?
Obecnie nie wiadomo, czy Apple znajdzie sposób na ponowne wdrożenie Advanced Data Protection w Wielkiej Brytanii, bez konieczności ugięcia się przed żądaniami rządu. Jedno jest pewne – firma konsekwentnie sprzeciwia się próbom osłabienia zabezpieczeń użytkowników, nawet jeśli oznacza to wycofanie funkcji z rynku.
Użytkownicy Apple w Wielkiej Brytanii powinni śledzić oficjalne komunikaty firmy w tej sprawie i zastanowić się, czy ich obecne ustawienia bezpieczeństwa są dla nich wystarczające. Ostatecznie, decyzja ta przypomina nam o rosnącym napięciu między prywatnością użytkowników a ingerencją państw w cyfrową ochronę danych.
