Безопасность iOS или как Apple защищает данные своих пользователей

Безопасность иконка

Из всех актуальных на сегодняшний день мобильных систем iOS на сегодня самая безопасная с огромным отрывом от остальных. За последние несколько лет Apple превратила свою операционную систему в неприступный бастион, новости о возможных брешах в котором становятся сенсацией. Но в последних версиях iOS стала не просто безопасной, а очень удобной для злоумышленников: Apple все чаще и чаще встраивает в систему средства защиты именно от полиции, а не от воришек.

Если подключить iPhone с неизвестным паролем к новому компьютеру, с него невозможно будет скачать даже фотографии (для того же самого в смартфоне с Android, что называется, есть варианты — от датчика отпечатков до разблокирования через Smart Lock).

Фотографии, конечно, важны, но они даже не верхушка айсберга. В современном смартфоне хранятся пароли к веб-сайтам, включая банковские, и социальным сетям, данные приложений, чаты, история переписки, поисковых запросов и многое другое. Чем интенсивнее мы пользуемся смартфонами, тем больше информации в них накапливается и тем серьезнее производители подходят к ее защите.

Не стоит на месте и iOS. С каждой ее новой версией разработчики Apple делают все возможные шаги для усиления защиты данных — вашей защиты и ваших данных. Но не зашла ли компания слишком далеко? Несколько последних решений уберегут вас исключительно от интереса со стороны правоохранительных органов, работающих с разрешения и одобрения суда. Давайте посмотрим, что это за решения и могут ли они обезопасить вас от действий злоумышленников, а не полиции.

Еще по теме: Безопасность Андроид-устройств

Доверительные отношения и lockdown-файлы

В начале этой статьи я писал, что с заблокированного iPhone, подключенного к неизвестному компьютеру, без пароля блокировки не получится вытащить даже фотографии. Это действительно так: в отличие от большинства устройств, работающих под управлением других систем, одного лишь физического подключения недостаточно. Для того чтобы обмениваться информацией (любой информацией, кроме самой базовой — вроде серийного номера устройства и версии iOS), iPhone и компьютер должны установить так называемые доверительные отношения.

На поверхности это выглядит как подтверждение запроса «Trust this computer?» на экране iPhone. В момент установления доверительных отношений на iPhone (именно внутри самого устройства) создается пара криптографических ключей. Одна часть будет храниться в самом устройстве, а другая передана на компьютер, который сохранит ее в виде файла — так называемого lockdown-файла, или iTunes pairing record. Только после этого станет возможен полноценный обмен данными между iPhone и компьютером. Об этом мы рассказывали в статье «Извлечение данных из iPhone».

Прояснив этот момент, перейдем от фотографий к анализу данных iPhone.

Самый распространенный в силу своей универсальности способ анализа устройств под управлением iOS — так называемое логическое извлечение данных. Под логическим извлечением обычно подразумевают создание на компьютере свежей резервной копии iPhone. Сделать это можно при помощи как специализированного программного обеспечения (Elcomsoft iOS Forensic Toolkit), так и iTunes (впрочем, полиция этот вариант использует редко, поскольку синхронизация с iTunes всегда двусторонняя). При правильном подходе такая резервная копия может содержать огромный массив информации, включающий в себя и данные большинства приложений, и пароли пользователя от веб-сайтов, социальных сетей и учетных записей.

Возвращаемся к lockdown. Логично, что для создания локальной резервной копии iPhone нужно подключить к компьютеру, а точнее — к авторизованному, «доверенному» компьютеру. Получается, полицейскому эксперту каждый раз нужно разблокировать iPhone и подтверждать запрос на установление доверительных отношений?

Не совсем. При том, что для обмена данными между устройствами необходимы обе половинки ключа, вторую половинку — lockdown-файл — можно извлечь из компьютера и использовать на любом другом компьютере. Именно так работают криминалистические приложения, например Elcomsoft iOS Forensic Toolkit.

безопасность ios
Безопасность iOS | Содержимое lockdown-файла

А что, если такой записи нет?

Если компьютер не авторизован (lockdown-файл отсутствует), то создать резервную копию устройства на нем невозможно; для ее создания потребуется предварительно установить доверительные отношения. В предыдущих версиях iOS для этого достаточно было разблокировать устройство при помощи пароля или датчика отпечатков пальца и подтвердить запрос «Trust this computer?», но с выходом iOS 11 все изменилось.

Пароль блокировки для установления доверительных отношений

Как-то раз мне довелось общаться с группой канадских полицейских. Когда зашла речь о методах их работы, полицейские с удовольствием продемонстрировали свои действия в случаях, когда им хочется получить от свидетеля разблокированный смартфон, но официального ордера пока нет. Уверенным тоном дается команда: выдать телефон. А теперь — разблокировать! «Главное — сделать это не позднее чем через десять минут после происшествия, — говорят полицейские. — Потом они начинают соображать, задавать вопросы… так что нужно успеть, пока они еще под впечатлением».

Получив в руки разблокированный телефон, полицейский его уже не выпустит. При грамотных действиях сотрудника полиции телефон будет изолирован от сети, а его настройки поменяют так, чтобы он не заблокировался по тайм-ауту. В особо важных случаях полиция выделяет сотрудника, единственной задачей которого будет сидеть и периодически касаться экрана, не давая телефону «уснуть» и заблокировать экран (так поступают тогда, когда в смартфон установлена внешняя политика безопасности, отменяющая возможность запрета автоблокировки).

Безопасность iOS
Безопасность iOS | Отключение автоматической блокировки iPhone

Что происходит дальше?

Телефон транспортируется в лабораторию в разблокированном состоянии и подключается к компьютеру. Устанавливаются доверительные отношения (Trust this computer?), снимается локальная резервная копия, извлекаются фотографии и файлы приложений. Обратите внимание: все это проделывается, когда смартфон был получен и разблокирован без соответствующего ордера, — здесь действует слово полицейского «владелец согласился выполнить мою просьбу» (да-да, то требование, высказанное приказным тоном, — это была всего лишь просьба!).

Именно этот сценарий решили пресечь специалисты по безопасности Apple.

Важным ограничением, введенным Apple в самой первой версии iOS 11, стало новое условие для установления доверительных отношений. Начиная с iOS 11.0 для создания lockdown-записи недостаточно разблокировать устройство и подтвердить запрос «Trust this computer?»; система дополнительно потребует ввести пароль блокировки устройства. Если пароль неизвестен, то и доверительные отношения установлены не будут.

В чем-то это требование логично; оно может защитить данные пользователя, когда телефон оставлен разблокированным или передан в разблокированном состоянии из рук в руки. Кроме того, требование ввести пароль поможет очнуться пользователям, привыкшим подтверждать все всплывающие запросы. А вот полицейскому эксперту для создания резервной копии теперь потребуется узнать пароль блокировки устройства. Альтернатива — доступ к компьютеру пользователя, с которого, возможно, удастся извлечь и использовать существующий lockdown-файл.

Следующей целью в противостоянии правоохранительным органам стал второй сценарий, использующий lockdown-запись.

Еще по теме: Досмотр телефона на границе: что делать?

Последовательное ограничение срока действия lockdown-записей

Как мы выяснили, обойти обязательное требование ввести пароль блокировки при подключении устройства iPhone или iPad к компьютеру можно при помощи lockdown-записи, извлеченной из компьютера пользователя. Вплоть до 11-й версии iOS ограничений на использование таких записей не было. Lockdown-файл, однажды извлеченный из компьютера, мог быть успешно применен спустя недели и месяцы. Этим фактом вовсю пользовалась полиция: от получения ордера до снятия образа жестких дисков и извлечения lockdown-файла обычно проходили недели, если не месяцы.

Безопасность iOS
Безопасность iOS | Использование lockdown-файла для извлечения информации из iPhone

В iOS 11 разработчики Apple ввели ограничения на срок действия lockdown-записей. В ранних сборках iOS 11 срок действия lockdown-записей не регламентировался и не документировался компанией. В дальнейших обновлениях определился срок действия lockdown-записей: теперь их можно было использовать в течение двух недель после создания (обратите отдельное внимание: время отсчитывалось именно с момента создания lockdown-записи при установлении доверительных отношений с компьютером).

В бета-версиях iOS 11.3 компания дополнительно ужесточила политику безопасности, одновременно «узаконив» и документировав срок действия lockdown-записей. Начиная с iOS 11.3 beta lockdown-файлы будут действовать в течение семи дней с момента создания. Впрочем, к релизу iOS 11.3 семидневный срок годности lockdown отыграли назад, использовав вместо этого альтернативный защитный механизм; очевидно, компания до сих пор в поиске оптимального срока действия lockdown.

Что это означает на практике?

Для пользователя это означает небольшое дополнительное неудобство: раз в несколько недель при подключении iPhone к компьютеру придется заново подтверждать запрос «Trust this PC?» и вводить на телефоне пароль блокировки. А вот полицейский эксперт компьютерной криминалистики вынужден будет поторопиться с получением всех необходимых разрешительных документов, чтобы успеть вовремя изъять компьютер, снять образы жестких дисков и воспользоваться существующими lockdown-записями, чтобы получить доступ к содержимому телефона.

Если семидневный срок годности lockdown-записей все же войдет в состав iOS (напомним, сейчас lockdown-записи живут порядка двух недель), у эксперта будет максимум семь дней (фактически — меньше, так как точное время создания доверительных отношений неизвестно) для того, чтобы извлечь lockdown-файл с компьютера и воспользоваться им для логического извлечения данных. Если же пользователь давно не подключал iPhone к компьютеру, то lockdown-запись и вовсе ничем не поможет.

Очень похоже, что этот шаг был предпринят компанией Apple с единственной целью — противодействовать методам работы правоохранительных органов, которые могут быть весьма неторопливы по объективным причинам (необходимость получения разрешительных документов, длительные задержки и завалы в лаборатории).

Однако на этом компания не остановилась.

Отключение обмена данных через USB Restricted Mode?

Как мы выяснили, lockdown-записи становятся бесполезными через одну или две недели с момента создания. Таким образом, если пароль блокировки устройства неизвестен, невозможным становится самый простой и удобный способ анализа — логический, через создание резервной копии.

Минуту! Пароль блокировки?

Пасскод, или пароль блокировки устройства, — основной и чуть ли не единственный барьер, охраняющий пользователя от злоумышленников. Если злоумышленнику станет известен пароль, он легко сможет проделать целый ряд замечательных вещей (о них мы писали в статье «Извлечение данных из iCloud»):

  • отвязать iPhone от iCloud и отключить функцию Find my iPhone;
  • включить двухфакторную аутентификацию (если она была отключена) или использовать устройство для генерации валидного кода, если она была активирована;
  • сбросить пароль на резервные копии, подключить телефон к компьютеру, создать и расшифровать резервную копию;
  • узнать все сохраненные на устройстве пароли (для этого на резервную копию, пароль к которой мы только что сбросили, нужно будет установить новый, известный пароль);
  • сменить пароль от учетной записи пользователя Apple ID;
  • скачать всю информацию из iCloud, включая пароли из iCloud Keychain, облачные резервные копии, фотографии и синхронизированные данные (да-да, всего лишь с паролем блокировки устройства — пароль от iCloud не нужен!);
  • дистанционно заблокировать или сбросить к заводским настройкам любое устройство Apple, привязанное к текущей учетной записи (имеются в виду другие устройства того же пользователя).
Безопасность iOS
Безопасность iOS | Как сбросить пароль на резервную копию в iOS 11
 iOS Безопасность
Безопасность iOS | Сбрасываем пароль к iCloud при помощи пароля блокировки
iPhone security
Безопасность iOS | Меняем пароль к Apple ID при помощи пасскода

Как видите, в Apple перешли с комплексной многослойной защиты (iOS 8–10) к простейшей одноранговой системе, завязанной исключительно на пароль блокировки устройства. Взломал пароль от любого устройства пользователя — получил полный доступ к данным как текущего устройства, так и любого другого, привязанного к той же учетной записи. Вместо того чтобы возвращаться к уже сданной в утиль системе многоуровневой защиты, в Apple пытаются усилить сопротивляемость ко взлому того единственного, что осталось, — пароля блокировки.

Итак, если вся проблема лишь в том, чтобы узнать пароль блокировки устройства, — нет ли возможности его как-то взломать?

Именно такие решения предоставили правоохранительным органам Северной Америки (и нескольких других регионов, в число которых Россия не входит) компании Cellebrite и Grayshift. Обе компании готовы помочь правоохранительным органам (и только им) взломать пароли устройств iPhone и iPad методом прямого перебора (в случае буквенно-цифровых паролей — атаки по словарю).

Решения двух компаний кардинально отличаются. Cellebrite предлагает услугу в виде сервиса, а телефон требуется отправить в офис компании, с соответствующими рисками и юридическими вопросами. В то же время Grayshift поставляет правоохранительным органам США и Канады готовый аппаратно-программный комплекс GrayKey, позволяющий полиции взламывать пароли устройств без необходимости их куда-либо отправлять.

Оба решения используют неизвестные уязвимости для того, чтобы начать перебор и обойти защиту Secure Enclave, который включает задержку в одну минуту после пяти неудачных попыток и блокировку телефона после десяти попыток. Обращаем внимание на то, что для работы обоих решений доступ к lockdown-записям не нужен — достаточно лишь наличия активного соединения по протоколу USB.

Именно для противодействия этим решениям Apple в очередной раз модифицировали iOS. В бета-версии iOS 11.3 появился новый режим USB Restricted Mode, который на аппаратном уровне блокировал обмен данными по протоколу USB между устройством iPhone или iPad и любым другим устройством, подключенным к нему через порт Lightning. Блокировка наступала через семь дней с момента последней разблокировки устройства — то есть обычному человеку, ежедневно использующему устройство, она никак не мешала.

Для того чтобы снять блокировку, необходимо разблокировать устройство исключительно при помощи пароля блокировки (не биометрического датчика). Отдельно отметим, что новый режим можно было отключать в устройствах с установленной внешней политикой безопасности.

В окончательную версию iOS 11.3 режим USB Restricted Mode не включен. Некоторые признаки позволяют предположить, что режим USB Restricted Mode может попасть в окончательную версию iOS 11.4. Пока нет достоверной информации о том, войдет ли новый режим в состав финальной сборки iOS 11.4 или нет.

Официальное описание ограничения сформулировано в Release Notes iOS 11.3 beta следующим образом:

To improve security, for a locked iOS device to communicate with USB accessories you must connect an accessory via lightning connector to the device while unlocked — or enter your device passcode while connected — at least once a week.

Нововведение — прямой удар по бизнесу Cellebrite и Grayshift, решениям которых необходимо установить соединение между устройством и компьютером, чтобы взломать пароль блокировки. Если для того, чтобы начать процедуру взлома пароля, потребуется этот самый пароль ввести, оба решения станут совершенно неэффективными. В большей мере может пострадать Cellebrite, которая требует отправки смартфона в офис компании, что занимает дополнительное время: можно просто-напросто не успеть.

В чем отличие нового ограничения от появившегося в ранних версиях iOS 11 ограничения на срок действия lockdown-записей?

Сведем информацию в краткую табличку:

Lockdown-запись:

  • Чему противодействует: логическому анализу (созданию резервной копии), если пароль неизвестен
  • Ограничения: после выключения питания или перезагрузки устройства его необходимо разблокировать паролем; в противном случае логический анализ невозможен из-за использования полнодискового шифрования
  • Срок действия: iOS 11.0–11.2.1, 11.3 релиз, 11.4 бета: до 14 дней с момента установления доверительных отношений; iOS 11.3 бета: 7 дней с момента установления доверительных отношений
  • Как создать: в iOS 11 — разблокировать устройство, подтвердить запрос «Trust this computer?», ввести пароль блокировки устройства

USB Restricted Mode:

  • Чему противодействует: взлому пароля блокировки методами Cellebrite и Grayshift
  • Ограничения: неизвестны
  • Срок действия: ограничение вступает в силу спустя 7 дней с момента последней разблокировки устройства (пока не до конца ясно, учитываются ли только разблокировки паролем или также биометрическим датчиком); возможно, учитывается и время последнего подключения к авторизованному устройству
  • Возможные методы обхода: подключить к доверенному устройству и оставить подключенным (необходимо дополнительное тестирование)

Еще раз отметим, что режим USB Restricted Mode впервые появился в тестовой сборке iOS 11.3 Beta и не включен в окончательную версию iOS 11.3. Этот режим может войти в окончательную версию iOS 11.4 — но может и не войти, о чем на данный момент достоверной информации нет.

А что есть?

На сегодняшний день в нашем распоряжении имеется последняя бета iOS 11.4. В бета-версию 11.4 новый режим USB Restricted Mode вошел не полностью, а точнее — он включен в более мягком режиме. Что же произойдет через семь дней бездействия с iPhone, на который установлена iOS 11.4 beta? Мы протестировали iPhone с iOS 11.4, для которого была создана свежая lockdown-запись.

Наши действия:

  1. iPhone подключен к компьютеру, подтверждено установление доверительных отношений; создан и извлечен свежий lockdown-файл.
  2. iPhone отключен от компьютера и подключен к зарядному устройству.
  3. Спустя семь дней мы попробовали подключить телефон к компьютеру.

В результате мы обнаружили следующее. Через неделю при подключении телефона к компьютеру iTunes выдает такое сообщение: «iTunes could not connect to the iPhone “name” because it is locked with a passcode. You must enter your passcode on the iPhone before it can be used with iTunes».

Мы подключили lockdown-файл в приложении Elcomsoft iOS Forensic Toolkit, попытавшись получить доступ к различным сервисам iOS. Результат:

  • Базовая информация об устройстве: ДОСТУПНО
  • Расширенная информация об устройстве, включая список приложений: НЕДОСТУПНО
  • Сервис AFC (для доступа к файлам приложений): НЕДОСТУПЕН
  • Сервис backup (для создания локальной резервной копии): НЕДОСТУПЕН
  • Медиасервис (для доступа к фотографиям): НЕДОСТУПЕН

Таким образом, спустя семь дней бездействия iOS 11.4 beta отключила доступ ко всем релевантным сервисам iPhone, позволяющим извлечь сколько-нибудь значимую информацию об устройстве. Что же произойдет, если мы введем на телефоне пароль блокировки, как нам рекомендует это сделать iTunes? Мы разблокировали телефон и воспользовались той же самой lockdown-записью. Результат:

  • Базовая информация об устройстве: ДОСТУПНО
  • Расширенная информация об устройстве, включая список приложений: ДОСТУПНО
  • Сервис AFC (для доступа к файлам приложений): ДОСТУПЕН
  • Сервис backup (для создания локальной резервной копии): ДОСТУПЕН
  • Медиасервис (для доступа к фотографиям): ДОСТУПЕН

Делаем вывод: lockdown-файл остался действителен, все релевантные сервисы доступны. Отсоединяем телефон от компьютера, подключаем к зарядному устройству и ждем еще семь дней. Вновь подключаем телефон к компьютеру. iTunes выдает сообщение, предлагающее установить связь с телефоном — так, как будто он подключен к компьютеру впервые. Запускаем iOS Forensic Toolkit и пытаемся воспользоваться все той же lockdown-записью, возраст которой перевалил за четырнадцать дней. Результат:

  • Базовая информация об устройстве: ДОСТУПНО
  • Расширенная информация об устройстве, включая список приложений: НЕДОСТУПНО
  • Сервис AFC (для доступа к файлам приложений): НЕДОСТУПЕН
  • Сервис backup (для создания локальной резервной копии): НЕДОСТУПЕН
  • Медиасервис (для доступа к фотографиям): НЕДОСТУПЕН

Разблокируем телефон паролем блокировки и повторяем попытку, используя все ту же lockdown-запись. Результат не изменился. Вывод: дело в самой lockdown-записи, у которой просто истек срок действия.

Экспертная оценка

По мнению автора, эффект от нововведений ожидается… неоднозначный. Так, ограничение срока действия lockdown-записи не только обезопасит пользователя от возможных атак (в том числе таких, которые предприняты злоумышленником, когда разблокированный телефон оставлен без присмотра), но и создаст дополнительные неудобства при регулярном проводном подключении iPhone к таким устройствам, как док-станции и портативные аудиосистемы.

Предназначение режима USB Restricted Mode, блокирующего передачу данных через USB-порт устройства, очевидно: воспрепятствовать работе правоохранительных органов, которые могут попытаться разблокировать iPhone или iPad при помощи решений Cellebrite, Grayshift и их аналогов. С некоторой натяжкой можно представить сценарий, когда телефон у пользователя изымается преступной группировкой, которая переправит устройство в подпольную лабораторию (до этого момента сценарий вполне реалистичен) и попытается взломать пароль блокировки с помощью технических средств. Против этой версии выступает тот факт, что соответствующие технические решения существуют на данный момент в единичных экземплярах и поставляются исключительно правоохранительным органам некоторых государств.

Режим USB Restricted Mode — решение по-своему гениальное: его использование позволяет заметно повысить безопасность устройств, при этом нисколько не уменьшая удобства работы. Тем не менее Apple медлит с его внедрением в официальную сборку iOS — вероятно, осознавая возможные неприятные последствия со стороны американского регулятора и реакцию правоохранительных органов. В ситуации, когда очередная возможность системы поможет пользователям устройств Apple обезопасить себя лишь от претензий правоохранительных органов, нам сложно составить однозначное мнение о ее значимости с социальной точки зрения.

Что еще ожидается в iOS 11.4?

Помимо стандартного списка исправлений и улучшений, в новой версии мобильной ОС должен появиться обещанный еще в анонсе iOS 11 режим полноценной синхронизации сообщений iMessage с облаком iCloud. Как это будет работать и какую пользу может принести для полиции — в одной из следующих статей.

Еще по теме: Безопасность Windows 10 Mobile

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий