A empresa russa de segurança digital Elcomsoft revelou recentemente mais uma brecha no esquema de privacidade da Apple para os dados dos usuários dos iPhones. Segundo a Elcomsoft contou ao The Intercept, a Apple recebe e armazena por quatro meses os históricos de ligações de todos os seus usuários.

Informações sobre ligações feitas e recebidas por cada usuário, incluindo para quem ele ligou, quando e por quanto tempo conversou com ela, são enviadas automaticamente dos iPhones para os servidores da Apple. Segundo a Apple, os dados ficam armazenados junto com as demais informações do usuário na iCloud; esses dados ficam criptografados e exigem a senha da Apple ID do usuário para serem acessados.

No entanto, de acordo com a Elcomsoft, esse envio de dados de ligações aos servidores da iCloud acontecem mesmo que o usuário não utilize o backup do serviço de nuvem. Diferentemente dos outros serviços de sincronização da iCloud, não é possível impedir que os seus dados de ligações sejam compartilhados com a Apple.

Riscos

Mesmo que os históricos de ligações dos usuários sejam criptografados nos servidores da empresa, o fato de que eles ficam armazenados expõe os clientes da empresa a alguns riscos. O mais imediato deles é que suas informações sejam acessadas por agentes governamentais. Isso porque os quatro meses durante os quais a empresa retém os dados dos clientes são mais tempo do que as empresas de telefonia armazenam esses dados.

Segundo um ex-agente do FBI, Robert Osgood, as operadoras de telecomunicações geralmente armazenam esses dados por apenas de 30 a 60 dias. Por isso, o FBI ou outras agências de segurança poderiam acessar os dados de ligações dos clientes da Apple mesmo depois de eles terem sido excluídos dos servidores das provedoras de serviços de telefonia.

O principal risco, contudo, é que esses dados possam ser acessados por hackers. Já existem ferramentas – uma das quais foi desenvolvida pela própria Elcomsoft – que possibilitam que uma pessoa mal-intencionada acesse a conta da iCloud de uma vítima obtendo o seu token de autenticação. Essas frramentas permitem até mesmo burlar o sistema de dupla autenticação do serviço.

Mais e mais dados

De acordo com a Elcomsoft, o envio de registros de ligações dos usuários aos servidores do iCloud começou na versão 8.2 do iOS. No iOS 10, no entanto, esse envio foi ampliado. Nessa versão do sistema operacional, até mesmo ligações feitas e recebidas por meio de aplicativos de VoIP de terceiros, como o Skype, WhatsApp ou FaceTime, são registradas e enviadas aos servidores da Apple.

Chris Soghoian, um ativista da União de Liberdades Civis dos EUA, disse que nem mesmo considera essa a pior falha de segurança da Apple. Recentemente, um documento de órgãos de segurança dos Estados Unidos mostrou que a empresa também guarda registros das trocas de mensagens dos usuários por meio do iMessage.

Trata-se de uma ameaça relativamente grave à privacidde dos cidadãos. Isso porque a Apple, mesmo com essas falhas, ainda é a empresa mais segura no mercado de smartphones. Soghoian acredita que dentre os smartphones atuais, apenas os iPhones, Nexus e Pixels estão completamente seguros, e que a privacidade corre o risco de se tornar um luxo na internet do futuro.