Após resistir às solicitações do FBI para obter acesso ao iPhone do assassino de San Bernardino, Syed Rizwan Farook, a Apple passou a ser considerada uma verdadeira guardiã da privacidade de seus usuários. A empresa tem feito grandes esforços para dar mais segurança às informações de seus clientes nos últimos anos, aperfeiçoando a criptografia de seus telefones e se recusando a comprometê-la.

Mas, em algumas ocasiões, informações sigilosas ainda podem ser extraídas dos produtos da Apple. O caso mais recente diz respeito ao serviço de armazenamento sincronizado da Apple, o iCloud.

A firma de investigação digital forense, Elcomsoft, descobriu que os telefones celulares da Apple enviam o histórico de chamadas do usuário automaticamente para os servidores da empresa se o iCloud estiver ativado — mas, em muitos casos, os dados são enviados sem o consentimento ou notificação do usuário.

“Basta ter o iCloud ativado” para os dados serem enviados, disse Vladimir Katalov, CEO da Elcomsoft.

Os registros enviados para a Apple clandestinamente contêm uma lista de todas as chamadas realizadas e recebidas de um dispositivo iOS, incluindo números de telefone, data, horário e duração da chamada. Além disso, incluem as chamadas transferidas e as perdidas. A Elcomsoft contou que a Apple retém dados da conta do iCloud por até quatro meses em benefício das agências de segurança, que podem não conseguir obter os dados diretamente do dispositivo do usuário, caso esteja criptografado com uma senha forte, ou através da operadora telefônica. Embora operadoras nos EUA guardem registros de chamadas por uma ano ou mais, em outros países, esse pode não ser o caso.

Não são enviados apenas registros de chamadas comuns para os servidores da Apple. O FaceTime, que é usado para realizar chamadas de áudio e vídeo nos dispositivos iOS, também sincroniza o histórico de chamadas com o iCloud automaticamente, segundo a Elcomsoft. A empresa acredita que a sincronização de registros de chamadas normais e de FaceTime se deu até a versão 8.2 do iOS, lançada em março de 2015.

E, a partir do mais recente sistema operacional sistema operacional, o iOS 10, as chamadas perdidas de aplicativos VoIP de terceiros, como Skype, WhatsApp, Viber e que usem o Apple CallKit também serão registradas na nuvem, disse Katalov.

Como a Apple tem as chaves para abrir as contas do iCloud, as agências de segurança dos EUA podem obter acesso direto aos registros através de um mandado judicial. Mas, ainda assim, precisam de uma ferramenta para extrair e analisar os dados.

A Elcomsoft revelou estar lançando uma atualização de seu software Phone Breaker (Invasor de telefones), que pode ser usado para extrair históricos de chamada das contas do iCloud usando as credenciais das contas de usuário. Essas ferramentas de análise forense são usadas por agências de segurança, departamentos de segurança de empresas e até mesmo clientes particulares. A empresa também aluga seu código de extração para a Cellebrite, empresa israelense usada com frequência pelo FBI para invadir telefones apreendidos e obter dados do iCloud.

Em alguns casos, a ferramenta da Elcomsoft pode ajudar clientes a acessar o iCloud mesmo sem as credenciais da conta, caso consigam obter a chave de autenticação da conta no computador do usuário da conta, permitindo que acessem os dados do iCloud sem a ajuda da Apple. O uso de chaves de autenticação também pode superar a autenticação por dois fatores, se o usuário da conta houver acrescentado essa etapa para evitar a invasão por hackers, diz a Elcomsoft em seu site.

Essa coleta de registro de chamadas pode colocar informações sigilosas à disposição de pessoas que não tenham relações com agências de segurança e clientes da Elcomsoft. Qualquer um que puder obter as credenciais de um usuário do iCloud, como hackers, também poderá obtê-las. Em 2014, mais de 100 celebridade foram vítimas de um ataque de phishing que permitiram que um hacker obtivesse suas credenciais do iCloud e roubasse fotos em que estão nus de suas contas do iCloud. De acordo com reportagens, o autor usou o software da Elcomsoft para extrair as fotos das contas, após serem desbloqueadas.

Normalmente, se alguém tenta fazer o download de dados de uma conta do iCloud, o sistema envia uma notificação para o e-mail do usuário. Mas Kalatov disse que as notificações não são enviadas quando alguém faz o download de registros de chamadas sincronizados do iCloud.

A Apple reconheceu que os registros de chamada estão sendo sincronizados, acrescentando que isso era intencional.

“Oferecemos a sincronização de histórico de chamada para o conforto de nossos clientes, para que possam retornar as chamadas de qualquer um de seus dispositivos”, disse um porta-voz da Apple por e-mail. “Os dados do dispositivo são criptografados com uma senha e o acesso aos dados do iCloud, inclusive backups, requer a ID e senha do usuário da Apple. A Apple recomenda que todos seus clientes utilizem senhas seguras e a autenticação por dois fatores”.

O caso da sincronização de registros de chamadas no iCloud não foi a primeira vez que a Apple foi descoberta coletando dados de forma secreta. Há alguns meses, The Intercept revelou uma atividade semelhante nos registros do iMessage.

Chris Soghoian, tecnólogo da União Americana pelas Liberdades Civis, contou não estar surpreso que a Apple vem coletando informações.

“Provavelmente, não é a pior coisa a respeito do iCloud”, contou ao The Intercept. “O fato de que o iCloud faz backups daquilo que normalmente seria criptografado de ponta a ponta no iMessages é muito mais grave na minha opinião. Governos podem obter [registros de chamadas] de outras formas. Mas sem o backup do iMessages, pode não haver outra forma deles obterem essas mensagens”.

Ainda assim, o tecnólogo disse ser mais uma prova de que o “iCloud é o verdadeiro calcanhar de Aquiles da privacidade no iPhone. Os dois principais problemas de privacidade associados ao iCloud não oferecem caixas de seleção [para serem desmarcadas pelos usuários], assim como não é preciso optar por elas”.

Jonathan Zdziarski, especialista em análise forense no iOS e pesquisador de segurança, disse não achar que Apple está fazendo nada desonesto ao sincronizar os registros de chamada. Mas disse que a Apple precisa deixar claro para seus usuários que os dados estão sendo coletados e armazenados na nuvem.

Coleta autorizada e não autorizada do iCloud

O iCloud é um serviço na nuvem da Apple que permite que usuário sincronizem seus dados em diversos dispositivos da Apple, incluindo iPhones, iPads, iPods e Macs. O menu do iPhone correspondente ao serviço dá aos usuários a opção de sincronizar e-mails, contatos, calendários, lembretes, histórico e notas de navegação e dados da carteira eletrônica. Mas, ainda que os registros de chamada sejam sincronizados automaticamente, o menu não os inclui na lista de itens que o usuário pode escolher sincronizar. Como não há outra forma de optar pela sincronização dos registros de chamada, também não há como optar por não os sincronizar — exceto desativando o iCloud completamente, mas isso pode causar outros problemas, como impedir que aplicativos armazenem documentos e dados (como backups do WhatsApp) na nuvem.

“Só é possível desativar o carregamento/sincronização de notas, contatos, calendários e histórico da Web, mas a [sincronização] das chamadas não é desativada”, confirmou Katalov. Os registros de chamada podem desaparecer da nuvem se um usuário excluir uma camada do registro de seu dispositivo. Dessa forma, ele também será excluído da conta do iCloud na próxima sincronização automática.

Katalov disse que eles ainda estão analisando o problema, mas parece que, em alguns casos, a sincronização dos registros de chamada acontece quase instantaneamente para o iCloud, enquanto, em outros casos, acontece apenas algumas horas depois.

Além de sincronizar dados entre dispositivos, usuários também podem configurar suas contas do iCloud para fazer o backup e armazenamento automático de seus dados. Katalov disse que os registros de chamada são enviados para a nuvem com os backups. Mas isso é diferente do tráfego descoberto por sua empresa: Mesmo que os usuários desativem o backup, os registros de chamada são sincronizados com os servidores da Apple

“Eu sugeriria que a Apple adicionasse uma opção simples para desativar a sincronização de registros de chamada, como fazem com calendários e outras coisas”, disse Katalov ao The Intercept, embora tenha admitido que isso deve dar trabalho à Apple. Todavia, disse que “deveriam permitir que os usuários desativem a opção caso desejem”.

Mesmo que a Apple tenha aperfeiçoado a segurança de seus dispositivos móveis nos últimos anos, a empresa tem movido mais e mais dados para a nuvem, onde estão menos protegidos. Embora os dados do iCloud sejam criptografados no servidor da Apple, a empresa quase sempre retém as chaves de criptografia e, portanto, pode desbloquear as contas e acessas os dados, tanto por razões internas quanto para agências de segurança.

“Todos os dados [do seu iCloud] são criptografados com chaves sob o controle da Apple, mas um usuário comum não entendi isso”, disse Zdziarski. “Eu e você temos total ciência de que a Apple pode ver nossos dados do iCloud sempre que quiserem. ”

Um relatório publicado pelo Financial Times há nove meses sugeria que a Apple planejava reformular o iCloud para resolver esse problema e dar mais segurança aos dados de clientes, mas isso ainda não aconteceu.

A Apple aborda a questão da privacidade no iCloud em seu site e diz que a ativação dos backups resulta no envio de “quase todos os dados e configurações de seu dispositivo” para o iCloud. Um artigo técnico de 63 páginas no site revela com mais clareza que os registros de chamada são transferidos para os servidores da Apple quando o backup do iCloud é ativado. Mas nenhum dos documentos menciona que os registros são enviados mesmo que o backup não esteja ativado.

Em um documento on-line sobre como lidar com pedidos de agências de segurança, a Apple não menciona que os registros de chamada estão disponíveis através do iCloud. A empresa diz que tem informações de assinatura fornecida por seus clientes, incluindo nome, endereço residencial, endereço de e-mail e número de telefone. A empresa também disse manter os registros de IP (por até 30 dias), metadados de e-mails (por até 60 dias), e conteúdo carregado voluntariamente pelo usuário, como fotos, e-mails, documentos, contatos, calendários e sites favoritos. O documento sobre agências de segurança alea que os servidores da Apple contêm backups de dispositivos iOS, que podem incluir fotos e vídeos da galeria do usuário, configurações de dispositivo, dados de aplicativos, mensagens do iMessages, de SMS e MMS, além de mensagens de voz.

O documento menciona registros de chamada apenas uma vez para dizer que o iCloud armazena históricos de chamada associados com o FaceTime, mas defende que armazena somente os registros de convite para chamada do FaceTime, que indica quando um assinante enviou um convite para participar de uma chamada por FaceTime. A Apple alega que esses registros “não confirmam a ocorrência de comunicação entre os usuários”. E diz que apenas retém esses registros por “até 30 dias”.

Mas a Elcomsoft diz que isso não é verdade. Katalov contou que os registros do FaceTime contêm informações completas sobre a chamada, incluindo a identidade das duas partes e a duração da chamada. E acrescentou que os pesquisadores também descobriram que os registros de chamada do FaceTime eram retidos por até quatro meses.

Primeiros indícios de clientes frustrados

Alguns usuários estão cientes de que seus registros de chamada estão sendo sincronizados com os servidores da Apple, já que uma das consequências da sincronização automática se manifesta quando duas pessoas compartilham a mesma ID da Apple em dispositivos diferentes — por exemplo, um casal com telefones diferentes que usam a mesma ID da Apple — eles notarão as chamadas de um dispositivo sendo sincronizadas automaticamente para o outro dispositivo que está usando a mesma ID.

“É muito irritante,” reclamou um usuário em um fórum sobre o problema. “Minha esposa e eu temos iPhones e usamos a mesma ID da Apple. Quando ela recebe uma chamada, meu telefone não toca, mas quando é uma chamada perdida, meu telefone exibe o ícone de chamada perdida no aplicativo de telefone. Quando abro o aplicativo, fica claro que não era alguém ligando para o meu número. Há alguma forma de consertar isso?”

Outro usuário mostrou frustração por não saber como interromper a sincronização. “Eu uso meu telefone para trabalho e notei que, nos últimos dias, todas as chamadas que fiz e recebi estão sendo exibidas no histórico de chamadas recentes do iPhone da minha esposa. Procurei incansavelmente nas configurações de ambos os telefones sem resultado.”

No entanto, não há indicações de que esses clientes entenderam as implicações de seus registros de chamada serem sincronizados — o fato de esses dados estarem sendo enviados e armazenados nos servidores da Apple por meses.

A Apple não é a única empresa sincronizando registros de chamada na nuvem. Os celulares Android fazem o mesmo. Assim como celulares com Windows 10 também sincronizam registros de chamada por padrão com outros dispositivos que compartilham a mesma conta da Microsoft. Katalov disse haver muitas versões do Android a serem testadas, mas a pesquisa de sua empresa indica que a sincronização de registros de chamada acontece apenas nos dispositivos com o Android 6.x e posteriores. Assim como nos dispositivos da Apple, a única forma de um usuário desativar a sincronização do registro de chamadas é desativando a sincronização por completo.

“Em [versões] “puras do Android, como a instalada nos dispositivos Nexus e Pixel, não há como selecionar categorias a serem sincronizadas”, disse Katalov. “Por algum motivo, isso só é possível em algumas versões de Android de terceiros em dispositivos da Sony, HTC e Samsung.” A empresa já produz uma ferramenta para extrair registros de chamada associados com dispositivos Android.

Assinantes podem fazer poucas coisas para impedir que agências de segurança obtenham seus registros de chamada do iCloud. Mas para impedir que hackers em posse de sua ID da Apple façam o mesmo, eles podem usar a autenticação de dois fatores. Mas Zdziarski disse haver outra solução.

“A conclusão final é nunca usar o iCloud. Eu mesmo não vou mais usá-lo até que possa ter controle sobre as chaves de criptografia”, concluiu.