4 juni 2026
In het Verenigd Koninkrijk worden maatregelen overwogen die Apple zouden kunnen dwingen toegang te geven tot bepaalde iCloud-gegevens. Dit roept een cruciale vraag op voor crypto-gebruikers die hun wallets op iPhones en Macs bewaren. Wanneer back-ups van apparaten en gangbare opslagplaatsen niet langer beschermd zijn door end-to-end encryptie (waarbij alleen de verzender en ontvanger de gegevens kunnen lezen), kunnen seed phrases en private keys gemakkelijker van een toestel naar locaties verplaatst worden die onderworpen zijn aan juridische procedures of technologische bevoegdheidsverklaringen.
De Britse autoriteiten hebben een vernieuwde Technological Capability Notice aan Apple gestuurd met de focus op iCloud-toegang voor Britse accounts. Apple heeft tot op heden geen commentaar geleverd op dit bevel. Het Ministerie van Binnenlandse Zaken heeft om redenen van vertrouwelijkheid geen commentaar gegeven op individuele kennisgevingen. In februari trok Apple de Advanced Data Protection-functie voor Britse gebruikers in; een instelling die normaal gesproken end-to-end encryptie uitbreidt naar categorieën zoals apparaatback-ups, iCloud Drive, Foto’s en Notities.
Hoewel de iCloud Keychain standaard end-to-end versleuteld blijft, geeft Apple aan nooit een achterdeurtje voor zijn producten te hebben gebouwd. Dit onderscheid is van groot belang, aangezien crypto-wallets zich niet uitsluitend binnen iCloud Keychain bevinden.
Gebruikers maken vaak screenshots van hun seed phrases en slaan deze op in Foto’s, noteren herstelwoorden in Notities of laten gegevens van wallet-apps achter in een apparaatback-up. Wanneer Advanced Data Protection niet beschikbaar is, worden deze categorieën teruggezet naar Apple-gecontroleerde sleutels, die na verificatie of onder een juridisch bevel kunnen worden ontsleuteld. Hoewel de wijzigingen in het VK van invloed zijn op inhoud buiten de Keychain, blijft deze ongerept. Historische gevallen hebben aangetoond dat er reële verliezen kunnen optreden wanneer wallet-vaults, opgeslagen in iCloud-back-ups, worden gephished en gedraineerd—met incidenten gerelateerd aan waarschuwingen van MetaMask als sprekend voorbeeld.
De manier waarop back-upbescherming werkt, wordt gedetailleerd in Apple’s beveiligingsoverzicht voor iCloud-back-ups, waar ook de beveiligingsmaatregelen voor de Keychain vermeld staan. De bredere pagina over Advanced Data Protection schetst welke categorieën end-to-end encryptie ontvangen wanneer deze functie beschikbaar is. De timing van het beleid creëert een korte termijn waarin het risico voor wallets verschuift zonder dat de protocollen voor Bitcoin of Ethereum veranderen. De codes van de Online Safety Act geven Ofcom de bevoegdheid om technologie maatregelen voor te stellen en goed te keuren, waaronder client-side scanning benaderingen, en om toezicht te houden op hoe diensten zich aan deze maatregelen houden.
In 2025 werden tijdens consultaties extra veiligheidsmaatregelen en potentiële technologiebevelen besproken. Hoewel de details van nieuwe Britse mandaten vertrouwelijk blijven totdat ze zijn geïmplementeerd, is de regulatorische richting nu al duidelijk genoeg voor gebruikers en ontwikkelaars om hun dreigingsmodellen aan te passen.
Een praktische manier om deze blootstelling te schatten is om de pool van iPhone-gebruikers in het VK te schatten wiens inhoud afhankelijk is van Apple-gecontroleerde sleutels. Met de geschatte bevolking van circa 69,3 miljoen mensen in het midden van 2024, een smartphonpenetratie van 90 tot 95 procent, een iOS-marktaandeel van 45 tot 55 procent en de aanname dat 60 tot 75 procent van de iPhone-gebruikers iCloud-opslag of back-ups inschakelt, komt het sluitende aantal op enkele tientallen miljoenen.
Veel van deze gebruikers lopen niet het risico op verlies van hun wallet. Desondanks schetst deze pool de omvang van het risico als Apple-helden sleutels en een VK-specifiek toegangspad elkaar kruisen
Stel dat gedurende een jaar 1 tot 3 basispunten van deze pool worden gecompromitteerd via misbruik van wettelijke toegang, social engineering na gegevensonrevealing of gerichte aanvallen voor accountherstel die slagen doordat meer inhoud ontsleuteld kan worden, dan ligt het aantal tussen 1.700 en 8.000 gebruikers. Met mediane hot wallet-balansen variërend van $2.000 tot $10.000, zouden directe verliezen kunnen oplopen van $3 miljoen tot $80 miljoen. Dit rekensom pleit niet automatisch voor onvermijdelijkheid, maar verduidelijkt wel de orde van grootte en de veranderende prikkels indien back-ups en gangbare opslagplaatsen niet end-to-end versleuteld zijn.
De wijze waarop sleutels uitlekken is van even groot belang als de beleidskwestie. iCloud Keychain blijft end-to-end versleuteld, waardoor wachtwoorden en sleutels die daar zijn opgeslagen geen kwetsbaar punt vormen. De zwakke plekken verschijnen daar waar gebruikers voor gemak kiezen boven compartmentalisatie. Foto’s en Notities, zonder Advanced Data Protection, zijn ontsleuteldbaar voor Apple.
App-gegevens in iCloud Back-up zijn ontsleuteldbaar door Apple. Optionele cloud-backupfuncties in sommige wallets, waaronder de documentatie van Coinbase Wallet, die een opt-in voor herstelwoordback-up beschrijft, zijn afhankelijk van de sterkte van de wachtzin van de gebruiker en de implementatie door de provider en erven iedere verandering in het omringende cloudbedreigingsoppervlak. Volgens Apple behoren geheimen thuis in de Secure Enclave, met passende toegangscontrole, en kunnen ontwikkelaars bestanden markeren om ze uit iCloud-back-up te sluiten.
Drie scenario’s helpen te verduidelijken hoe de komende 12 tot 18 maanden zich kunnen ontvouwen. In het eerste scenario blijft de UK-alleen carve-out bestaan, met Apple die Apple-helden sleutels behoudt voor back-ups en gangbare opslagplaatsen, terwijl interne processen worden aangepast om aan een vernieuwde kennisgeving te voldoen. Het risico voor retailgebruikers blijft hoog waar seeds samenvallen met deze opslagplaatsen.
In het tweede scenario keert Advanced Data Protection terug naar het VK, hetzij na juridische of politieke omwentelingen, en verschuift het risico terug naar de wereldwijde norm van phishing, apparaatdiefstal en gemene infostealers. In het derde scenario breidt de door Ofcom geaccrediteerde client-side scanning zich uit op het apparaat voordat versleuteling plaatsvindt, geprofileerd als een maatregel die formele sleutelopslag vermijdt.
Deze discussie weerspiegelt het voortdurende debat binnen de Europese Unie over chat scanning. Die koers vergroot echter wel de aanvalsvector, doordat nieuwe scanningcodepaden en beoordelings-API’s doelwitten worden en het normaliseert de inspectie van apparaatinhoud die voorheen ondoorzichtig was voor de dienst.
Ontwikkelaars beschikken over een beperkt aantal controles om de blootstelling te verminderen, ongeacht het beleid. Praktische stappen omvatten het vermijden van het opslaan van seed-materiaal in een cloud-gesynchroniseerde opslag, het taggen van geheimen en vaults met ‘do not backup’-attributen, vertrouwen op de Secure Enclave voor sleutels en het vereisen van hoge kosten voor sleutelafleidingsinstellingen voor optionele cloud-backupfuncties, zodat zwakke wachtzinnen worden afgewezen.
Gebruikers hebben een parallelle mogelijkheid: verplaats seed-opslag volledig van het apparaat en de cloud, vermijd screenshots en notities voor herstelwoorden en versterk het herstel van hun Apple ID en tweefactorauthenticatie, aangezien accountovername waardevoller wordt wanneer meer cloudgegevens te ontsleutelen zijn.
Uit de richtlijnen van Coinbase Wallet blijkt dat cloudback-up opt-in is en versleuteld met een door de gebruiker gekozen wachtwoord, wat de verantwoordelijkheid voor de kwaliteit van dat wachtwoord op de gebruiker legt indien ze voor deze functie kiezen.
De bredere marktomstandigheden helpen te verklaren waarom een beleidsverandering in het VK ook buiten de Britse grenzen resoneert. Apple en Google beheersen de mobiele infrastructuur voor bijna alle gebruikers, dus een jurisdictie-specifieke carve-out toegepast op een groot platform creëert zowel een codepad als een precedent.
De Australische Assistance and Access Act en de Indiase Section 69-autoriteiten tonen aan hoe gerichte bevelen na verloop van tijd aan bereik kunnen winnen. Het debat binnen de Europese Unie over client-side scanning, vaak aangeduid als chatcontrole, toont de strijd om veiligheidsdoelen te rijmen met end-to-end encryptie.
Zelfs als een Britse kennisgeving alleen van toepassing is op Britse accounts, zal enige techniek die dit Encryptie omzeilt in één locatie, druk uitoefenen om het resultaat elders te repliceren en nodigt tegenstanders uit om het nieuwe pad te bestuderen. Apple’s publieke positie blijft dat het geen achterdeuren bouwt en de documentatie somt data-categorieën op die end-to-end versleuteld blijven.
Volgens de verklaringen van Apple blijven iMessage en FaceTime gebruik maken van end-to-end encryptie, en de iCloud Keychain blijft geheimen veilig bewaren. De vraag voor crypto-gebruikers is niet of Apple overal end-to-end encryptie uitschakelt, maar of gangbaar opgeslagen content buiten Keychain, en de wettelijke processen die daarop van toepassing zijn, een praktische weg naar wallet-compromis creëren als seeds of sleutelmaterialen ooit die locaties aanraken.
Het VK heeft een geheim bevel verlengd dat toegang zoekt tot iCloud-gegevens voor Britse gebruikers. Apple trok in februari Advanced Data Protection in voor nieuwe Britse gebruikers. Het heeft gedetailleerd welke categorieën end-to-end versleuteld blijven in haar Britse ondersteuningsnotitie en de documentatie voor Advanced Data Protection.
Ofcom finet nu nog hoe de Online Safety Act gehandhaafd zal worden en hoe proactieve technologie maatregelen zullen worden geaccrediteerd en toegepast. Deze feiten zijn voldoende om duidelijke dreigingsmodellen op te bouwen en de blootstellingsreeksen te kwantificeren.
Wat er nu gebeurt, hangt af van de vraag of het VK methoden dwingt die de encryptie omzeilen of end-to-end bescherming voor back-ups, Foto’s, Notities en andere belangrijke opslagplaatsen herstelt.
Hoe beïnvloedt de terugtrekking van Advanced Data Protection gebruikers in het VK?
De terugtrekking van Advanced Data Protection vergroot de kwetsbaarheid van gebruikers doordat gevoelige gegevens in iCloud niet meer end-to-end versleuteld zijn, waardoor ze gemakkelijker toegankelijk worden voor derden.
Wat zijn de potentiële financiële gevolgen voor crypto-gebruikers?
Bij een schatting van 1 tot 3 basispunten van de gebruikerspool die gecompromitteerd wordt, kunnen de directe financiële verliezen voor crypto-gebruikers oplopen tot tussen de $3 miljoen en $80 miljoen, afhankelijk van hun wallet-balansen.
Hoe kunnen gebruikers zich beschermen tegen deze risico’s?
Gebruikers kunnen hun seed-opslag volledig van apparaten en cloud omgevingen verplaatsen, screenshots van herstelwoorden vermijden en hun Apple ID-beveiliging versterken met sterke wachtwoorden en tweefactorauthenticatie.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
