Man met tablet, beeld via Shutterstock

Hoe goed zijn jouw gegevens in iCloud beveiligd?

De beveiliging van iCloud en data op een fysieke iPhone is verschillend geregeld. Dat heeft gevolgen voor je privacy. In deze gids leggen we het uit.

Man met tablet, beeld via Shutterstock (shutterstock_115207072)

Hoe goed zijn jouw gegevens op iCloud beveiligd tegen hackers en overheden? Dat lees je in deze gids. Ook lees je waarom gegevens op een fysieke iPhone beter beveiligd zijn dan gegevens die bij Apple’s online opslagdienst iCloud staan.

Voordat we uitleggen hoe het met de beveiliging van iCloud is gesteld, eerst iets over de beveiliging van iPhones. Er is namelijk een groot verschil in de mate van beveiliging. Eerder hebben we al eens geschreven hoe Apple omgaat met privacy in iOS 9 en hoe goed documenten in iCloud zijn beveiligd. Maar hoe zit het met je backups en andere nuttige gegevens? iPhones en iPads worden immers steeds meer afhankelijk van iCloud-opslag en -synchronisatie.

Gegevens op iPhones zijn goed beveiligd

Uit Apple’s FBI-zaak blijkt dat Apple geen toegang heeft tot de gegevens op een iPhone, als deze is voorzien van een pincode. Ook de FBI zegt dat ze op geen enkele manier toegang hebben tot de gegevens op de iPhone. Alle gegevens op het toestel zijn versleuteld en bovendien heeft Apple op de iPhone twee extra maatregelen doorgevoerd:

  • Na 3 foutieve pogingen moet je steeds langer wachten om een pincode te kunnen invoeren.
  • Na 10 foutieve pogingen wordt het toestel gewist.

Beschikt je iPhone over een Touch ID-vingerafdrukscanner, dan zijn de gegevens nog beter beschermd. Wel loop je dan het risico dat iemand met een afgehakte of nagemaakte vinger toch weet binnen te dringen. Dit geldt zowel voor hackers en kwaadwillenden als voor onderzoekers van bijvoorbeeld de FBI, als ze jouw toestel in beslag hebben genomen.

Als je alle informatie lokaal op je iPhone bewaart, is het dus erg moeilijk om daartoe toegang te krijgen. Als je via de buitenwereld met mensen communiceert, door bijvoorbeeld WhatsApp te gebruiken, is die informatie wel te onderscheppen. De informatie reist dan (deels onversleuteld) via internet en wordt ook opgeslagen op een plek waar niet altijd sprake is van versleuteling. Maar de informatie die jij in een dagboek-app of persoonlijke notitie opschrijft, is goed beveiligd.

Tenzij je een backup op iCloud maakt…

iCloud-backups minder goed beveiligd

Apple kan een iCloud-backup ontsleutelen en de inhoud ervan overdragen aan autoriteiten. Dat bleek uit de FBI-zaak in San Bernardino. Apple zal dit alleen doen als ze bevel van de rechter krijgen om hieraan mee te werken. Apple kan de informatie op een iPhone niet ontsleutelen, maar de informatie in een iCloud-backup wel. In de FBI-zaak heeft Apple de meest recente iCloud-backup ook aan de FBI gegeven.

De veiligheid van je gegevens is ook niet 100% gegarandeerd als je apps van derden gebruikt, vooral als ze met de buitenwereld communiceren. Die gegevens kunnen (al dan niet versleuteld) op externe servers komen te staan. Denk bijvoorbeeld aan een dagboeken-app, die gegevens via een eigen server synchroniseert, zodat je op al je iDevices toegang hebt tot jouw dagboeknotities.

iCloud en andere online opslagdiensten zijn bovendien gevoelig voor phishing en hacks, waardoor een kwaadwillende toch toegang kan krijgen tot jouw gegevens. Dit is op te lossen door tweestapsverificatie toe te passen.

Wil je dat er geen privacygevoelige informatie in de cloud komt te staan, dan zijn er twee oplossingen:

In zo’n geval zullen de autoriteiten jouw computer in beslag moeten nemen om de backup in handen te krijgen. Apple kan in dat geval niet gedwongen worden om mee te werken.

Hoe sterk is de beveiliging van iCloud?

Apple gebruikt minimaal 128-bit AES encryptie. De iCloud-gegevens zijn versleuteld als ze via internet worden verstuurd en worden ook versleuteld als ze bij Apple op de server staan. Het gaat hier om agenda, contacten, bookmarks, notities, herinneringen, foto’s, documenten, iCloud Drive, backups, Zoek mijn iPhone en Zoek mijn vrienden. Voor de iCloud Sleutelhanger wordt 256-bit AES encryptie gebruikt. Bij Mail is al het verkeer tussen apparaten en iCloud Mail versleuteld met SSL.

Om te zorgen dat wachtwoorden niet makkelijk geraden kunnen worden dwingt Apple je om een wachtwoord van minimaal 8 karakters te kiezen, waarin minimaal een getal, hoofdletter en kleine letter voorkomt. Veelgebruikte zwakke wachtwoorden zoals ‘123456’ en ‘qwerty’ zijn daardoor niet mogelijk. Wil je extra beveiliging, dan moet je tweestapsverificatie inschakelen.

In het privacybeleid van Apple is te lezen hoe Apple met je privacy omgaat.

Waarom verschil in beveiliging?

De beveiliging van de iPhone is dus veel beter geregeld dan dat van iCloud-backups. Dit blijkt een bewuste keuze van Apple: een iPhone is een fysiek apparaat dat je kan kwijtraken en dat gestolen kan worden. De persoonlijke data op het toestel moet daarom beschermd zijn. Bij iCloud moet de beveiliging ook goed zijn, maar Apple moet nog in staat zijn om gebruikers weer toegang te geven tot data als er iets mis is gegaan. Apple heeft zelf geen toegang tot de data op een iPhone waarop een pincode is ingesteld. Maar ze kunnen wel bij de iCloud-backups.

Bij andere techbedrijven werkt het op een soortgelijke manier: Google kan wel gebruikersgegevens van Gmail, Google Drive en Google Docs geven, maar niet van een Android-toestel waarvan de inhoud is versleuteld. Alleen de eigenaar van de telefoon heeft de sleutel, net zoals bij de iPhone.

Kan Apple alles uit iCloud vrijgeven?

Het betekent overigens niet dat alle informatie in een iCloud-backup open en bloot te raadplegen is door Apple. In ons eerdere artikel Zo gaat Apple om met privacygevoelige gegevens in iOS 9 kon je lezen welke data in iCloud opslaat, maar niet leest:

  • E-mail, agenda’s en contacten via Apple’s iCloud-dienst.
  • Foto’s en documenten.
  • Bookmarks en Safari-geschiedenis.
  • Wachtwoorden in de iCloud-sleutelhanger (dus niet de pincode van je toestel).
  • Backups van iOS-toestellen, inclusief iMessages en Gezondheid-data.

Wi-Fi-wachtwoorden, wachtwoorden uit de Sleutelhanger en wachtwoorden van externe diensten slaat Apple versleuteld op. Ze kunnen het ook niet ontsleutelen en aan de autoriteiten geven. Verder is het belangrijk om je te realiseren dat niet alle informatie die op de iPhone aanwezig is ook in een iCloud-backup wordt bewaard. De iPhone maakt bijvoorbeeld geen backup van Gmail, omdat die informatie al bij Google wordt bewaard en bij het terugzetten van een backup gemakkelijk weer kan worden opgehaald bij Google.

Informatieverzoeken aan Apple

Apple werkt ook niet zomaar mee aan elk verzoek. In de periode tussen 1 juli 2014 en 30 juni 2015 gaf Apple in 27 procent van de gevallen informatie aan de overheid. In 67 procent van de gevallen weigerde Apple de informatie te verstrekken. Ook is een relatief klein percentage (6%) sprake van de overdracht van accountinformatie.

Openingsafbeelding: graphixmania via Shutterstock.com

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt april 2016
Categorie Diensten
Onderwerpen beveiliging, icloud, privacy