Seguridad de las sesiones de Reporte
Las sesiones de Reporte permiten al usuario elegir un contacto para que reciba una notificación si el dispositivo compatible del usuario no llega a un destino indicado. Cuando el usuario elige un contacto para iniciar una sesión de Reporte, se le envía un iMessage con detalles sobre la sesión, incluido el destino seleccionado. El dispositivo del usuario que inicia la sesión también genera un identificador de acceso y una clave de encriptación de Reporte. La clave de encriptación de Reporte se envía en un segundo iMessage; sin embargo, los servidores de iMessage retienen este mensaje en lugar de entregarlo inmediatamente. Dado que este mensaje se encripta de extremo a extremo entre el usuario y su contacto designado, su contenido no está disponible para Apple.
Mientras el dispositivo del usuario que inició la sesión avanza hacia su destino, envía periódicamente un mensaje de estado a los servidores de iMessage, el cual amplía el periodo de caducidad antes de que se entregue el mensaje con la clave de encriptación de Reporte. Si el dispositivo se apaga o pierde conexión, los servidores de iMessage envían automáticamente el mensaje con la clave de encriptación al contacto cuando se agota el tiempo de caducidad. El mensaje con la clave de encriptación de Reporte también puede enviarse si el dispositivo no avanza hacia su destino, y en este caso se incluye el identificador de acceso.
Durante una sesión de Reporte, el dispositivo del usuario que la inició la sesión recopila periódicamente datos relevantes de Reporte (por ejemplo, ubicación y nivel de batería), luego los encripta con la clave de Reporte y los envía a iCloud. Apple no tiene acceso a la clave de Reporte y no puede acceder a los datos enviados.
Para finalizar una sesión de Reporte se requiere la autenticación del usuario. Si el usuario cancela una sesión, los datos encriptados y el mensaje que contiene la clave de encriptación de Reporte se eliminan de forma segura del servidor.
Si el dispositivo que inició la sesión de Reporte no llega a su destino como se esperaba, o si se agota el temporizador configurado, el contacto elegido recibe el mensaje con la clave de encriptación de Reporte. Esto podría ocurrir en los siguientes dos escenarios:
Después de la pérdida de la conexión: en este caso, el contacto designado no tiene el identificador de acceso y su dispositivo realiza una segunda comprobación para determinar si ha transcurrido suficiente tiempo desde la última verificación de estado. El dispositivo del contacto solicita al servidor los datos de Reporte encriptados, y el servidor realiza una tercera comprobación para confirmar además si ha transcurrido tiempo suficiente desde la última verificación de estado. En caso afirmativo, el servidor proporciona al contacto los datos de Reporte encriptados, y este puede desencriptarlos con su clave de Reporte.
Después de que el dispositivo del usuario determina que no está avanzando hacia su destino: a menos que el usuario cancele o amplíe la sesión de Reporte cuando se le solicite, el contacto designado recibe tanto el identificador de acceso como la clave de encriptación de Reporte. El dispositivo del contacto proporciona el identificador de acceso al servidor, permitiéndole descargar los datos encriptados de Reporte. Enseguida, los datos pueden desencriptarse con la clave de Reporte.