Eine russische Forensikfirma namens Elcomsoft hat herausgefunden, dass Apple die Safari-Browserverläufe der Benutzer in iCloud seit mehr als einem Jahr speichert, möglicherweise sogar noch viel länger. Dies geschah sogar, nachdem Benutzer aufgefordert hatten, gelöschte Datensätze von ihren mit iCloud verbundenen Geräten zu löschen. Kurz nachdem Elcomsoft eine Möglichkeit zum Extrahieren gelöschter Browserverläufe aus iCloud angekündigt hatte, führte Apple eine serverseitige Korrektur durch, um den Abruf zu stoppen, und löschte anscheinend alle Datensätze, die älter als zwei Wochen waren.
"Guter Schachzug, Apple", sagte Elcomsoft. "Trotzdem möchten wir eine Erklärung bekommen."
Apple lehnte es ab, die Ergebnisse von Elcomsoft öffentlich zu kommentieren.
Elcomsoft hat zufällig festgestellt, dass Informationen zu gelöschten Einträgen im Browserverlauf von Safari möglicherweise auf unbestimmte Zeit in iCloud gespeichert wurden. Diese Aufzeichnungen enthielten Dinge wie Website-Namen, URLs und wann eine bestimmte Website besucht wurde.
Gelöschte Datensätze wurden in der Tabelle von iCloud einfach als "gelöscht" markiert. Die Artikel scheinen für Strafverfolgungsanfragen nicht zugänglich zu sein.
Laut Sicherheitsexperten war dies eher ein Designfehler als ein schändlicher Plan von Apple.
Für die iCloud-Synchronisierung müssen Aufzeichnungen gelöschter Elemente auf den Servern für einige Zeit verfügbar sein, nachdem die tatsächlichen Elemente gelöscht wurden. Auf diese Weise kann ein iCloud-Gerät, das möglicherweise ausgeschaltet ist oder auf das nicht zugegriffen werden kann, eine Kopie des Elements entfernen, das zuvor auf einem anderen Gerät aus Safari gelöscht wurde, sobald dieses Gerät wieder online ist.
Alle Unternehmen, die Onlinedienste betreiben, bei denen Benutzerdaten auf Servern gespeichert werden, sind gesetzlich verpflichtet, eine Form der Datenaufbewahrung einzuhalten und gelöschte Elemente für einen bestimmten Zeitraum auf Servern aufzubewahren. Wie bereits erläutert, ermöglicht das Aufzeichnen, dass eine bestimmte Site besucht und gelöscht wurde, dass Apple diese Informationen mit anderen Geräten synchronisiert, auf die iCloud derzeit möglicherweise keinen Zugriff hat.
Elcomsoft hat diese Rekorde mit seinem mobilen Erfassungstool bereits seit mehr als einem Jahr erfolgreich erstellt. Dies geschah jedoch, bevor Apple im Hintergrund eine serverseitige Korrektur durchführte. Das Tool extrahiert vollständige Informationen zu jedem Datensatz, einschließlich Datum und Uhrzeit des letzten Zugriffs auf den Datensatz sowie Datum und Uhrzeit des Löschens des Datensatzes.
Elcomsoft hat diese Datensätze bereits im November 2015 in unverschlüsselter Form gefunden.
Obwohl das Phone Breaker-Testtool von Elcomsoft verwendet werden könnte, um unverschlüsselt auf diese Daten zuzugreifen, muss der Benutzer Zugriff auf die iCloud-Anmeldeinformationen eines Ziels oder auf ein auf dem Gerät selbst gespeichertes Authentifizierungstoken haben, was das Abrufen von iCloud-bezogenen Datenschutzverletzungen erschwert aus.
Laut Forbes verwandelt eine in Safari 9.1 und iOS 9.3 implementierte Änderung von Apple alle gelöschten URLs aus dem Webprotokoll des Benutzers in eine gehashte Form, um das Snooping zu verhindern. In der Zwischenzeit können Sie dieses Problem ganz vermeiden, indem Sie die Safari-Synchronisierung in den iCloud-Einstellungen auf Ihrem iPhone, iPad oder Mac deaktivieren.
Quelle: Elcomsoft über Forbes