Como já informamos, a Apple migrou os dados do iCloud de usuários localizados na China para um servidor local, administrado pela Guizhou-Cloud Big Data Industry (GCBD), a fim de satisfazer as leis de segurança cibernética do país. O que nós não sabíamos era que, além dos dados dos usuários, as chaves criptográficas necessárias para desbloquear tais contas também serão migradas para a China, conforme informou a Reuters.
Desde sempre essas chaves ficavam armazenadas nos Estados Unidos, o que significa que qualquer governo ou autoridade que queira acessar os dados de uma determinada conta precisava passar pelo sistema jurídico americano. É justamente por esse motivo que vemos o Brasil e a China, por exemplo, em relatórios da empresa como esses.
Agora, a empresa passará a armazenar as chaves das contas chinesas do iCloud na própria China. Isso significa que as autoridades locais não terão mais que solicitar aos tribunais dos EUA uma permissão para buscar informações sobre usuários. Em vez disso, a China usará o seu próprio sistema legal para solicitar à Apple que entregue dados do iCloud de usuários chineses. E como governo chinês não é lá muito famoso por ser um defensor de privacidade…
Obviamente, ativistas dos direitos humanos temem que as autoridades possam usar esse poder para rastrear dissidentes, citando casos de mais de uma década atrás, em que o Yahoo entregou dados de usuários que levaram à prisão de dois defensores da democracia. Se defendendo, a Apple disse que tinha que cumprir as leis chinesas introduzidas recentemente as quais exigem que os serviços da nuvem oferecidos aos cidadãos locais sejam operados por empresas chinesas e que os dados sejam armazenados na China, afirmando ainda que, embora os valores da empresa não mudem em diferentes partes do mundo, ela está sujeita às leis de cada país.
Ainda segundo a Maçã, a mudança não significa que a China tenha qualquer tipo de backdoor nos dados do usuário e que apenas a Maçã controlará as chaves de criptografia. Além disso, as chaves criptográficas armazenadas na China serão específicas dos dados dos clientes chineses, o que significa que as autoridades chinesas não poderão solicitar à Apple para usá-las a fim de descriptografar dados em outros países.
Ainda assim, não tenho dúvidas de que a decisão da Maçã ainda gerará muita polêmica.
Apple usando a Google Cloud Platform
Numa nota relacionada, a Apple informou que a Google Cloud Platform é um dos serviços de terceiros utilizados para armazenar dados criptografados de contas do iCloud. A empresa deixou claro, porém, que não há nenhuma informação que possa servir para identificar o usuário nesses dados.
A informação foi compartilhada na última atualização do Guia de Segurança do iOS (iOS Security Guide), que ocorreu no mês passado. A mudança, contudo, passou despercebida até Jordan Novet, da CNBC, trazer o assunto à tona.
As versões anteriores do documento mencionavam o Microsoft Azure como serviço utilizado pela empresa, mas a Google Cloud Platform está agora listada em seu lugar. A Apple também continua utilizando o serviço S3, da Amazon, para armazenamento adicional.
O iCloud armazena informações de contatos, calendários, fotos e documentos em arquivos os quais são divididos em pedaços e criptografados com chaves AES-128 e SHA-256. Por isso, pelo menos no papel, o armazenamento das informações num serviço de nuvem de uma concorrente não deve ser uma preocupação de segurança para usuários da plataforma.
via AppleInsider, MacRumors
