Анализ модели безопасности Apple на примере категории «Сообщения»
iOS и зловредное программное обеспечение
Защита от атак MITM (man in the middle)
Выводы
Мы много писали о безопасности мобильной ОС Apple и о том, как отдельные уязвимости системы можно использовать для доступа к информации. И в каждой такой статье звучала мысль: несмотря на отдельные недостатки, iOS у Apple получилась грамотно спроектированной и хорошо защищенной ОС. Сегодня мы перевернем твой мир с ног на голову утверждением, что iOS — наименее безопасная из всех мобильных систем на рынке.
Скажу откровенно: мне нравится подход Apple к обеспечению безопасности. Мне известно о слабостях и уязвимостях iOS (они устраняются с каждым обновлением) и отлично видны слабости архитектуры безопасности, вызванные желанием компании угодить широкому кругу потребителей. Да, Apple можно было бы похвалить за тщательно продуманный и качественно реализованный подход к безопасности.
Можно было бы, если бы не одно «но»: iPhone — самое популярное в мире устройство. Да, мы помним, что смартфонов с Android на руках у пользователей гораздо больше, но моделей с Android — десятки тысяч, а iPhone — единицы. Популярность сыграла с Apple злую шутку: устройствами с iOS стали заниматься буквально все заинтересованные стороны, не жалея времени и денег. В результате на сегодняшний день ситуация сложилась весьма и весьма интересная: iOS считается безопасной, но заинтересованные стороны при соблюдении некоторых условий могут получить полный доступ к данным.
Физическая безопасность устройств iOS
Все современные, не очень современные и откровенно устаревшие iPhone и iPad применяют стойкое шифрование накопителя. Любые атаки методом извлечения микросхемы памяти заведомо обречены (это действительно так; данный вектор атаки стал бесполезен много лет назад).
В iOS предусмотрена (и действительно работает) система защиты данных в случае кражи или потери устройства. Доступны механизмы удаленного стирания и блокировки устройства. Украденное устройство невозможно будет разблокировать и перепродать, если злоумышленнику неизвестны пароль на устройство (код блокировки экрана) или пароль от учетной записи Apple ID владельца (требуется одно из двух).
Многоуровневое шифрование данных «из коробки» идеально спроектировано и реализовано. Пользовательские данные зашифрованы всегда — за редкими исключениями в виде файлов и баз данных, необходимых, чтобы телефон принимал звонки сразу после перезагрузки. В iOS используется файловая система APFS. Каждый файл зашифрован своим ключом, который будет уничтожен при удалении файла. В результате восстановить удаленные файлы становится в принципе невозможно. Ключи защищены выделенным сопроцессором, входящим в систему Secure Enclave, и извлечь их оттуда нельзя даже после взлома устройства. Данные при включении телефона остаются зашифрованными, пока не будет введен правильный пароль, разблокирующий экран.
Многоуровневое шифрование означает, в частности, то, что некоторые данные (например, пароли к веб-сайтам, скачанная на устройство электронная почта) дополнительно защищены: они хранятся в виде зашифрованных записей в базе данных связки ключей keychain (которая, в свою очередь, зашифрована при помощи пофайлового шифрования вместе с остальными файлами на пользовательском разделе).
Нельзя просто подключить к компьютеру iPhone и скачать с него данные (кроме фотографий). В iOS предусмотрена возможность установления доверительных отношений с компьютерами. При этом создается пара криптографических ключей, позволяющих доверенному компьютеру обмениваться информацией и создавать резервные копии устройства. Для установления доверительных отношений с компьютером iPhone необходимо разблокировать и ввести код блокировки.
Дополнительной степенью защиты от подключения к неавторизованному компьютеру устройства (начиная с iOS 11.4.1) блокируют передачу данных через USB-порт сразу после того, как экран телефона был выключен, если устройство недавно не подключалось к компьютеру или аксессуару. Режим USB Restricted Mode опционален, но включен по умолчанию. Кстати, появился этот режим для противодействия перебору паролей решениями GrayKey и Cellebrite.
Безопасность резервных копий обеспечивается возможностью установить сложный пароль (пароль требуется исключительно для восстановления данных из резервной копии, поэтому в режиме повседневного использования мешать не будет). Шифрование локальных резервных копий исключительно стойкое, перебор паролей — очень медленный. В старых версиях iOS эта защита была абсолютной; начиная с iOS 11 этот пароль можно сбросить, указав код блокировки экрана.
Для разблокировки можно использовать как стандартный PIN-код из четырех или шести цифр, так и более сложный пароль. Единственный дополнительный способ разблокирования устройства — биометрический (отпечаток пальца Touch ID или Face ID). При этом реализация биометрики такова, что число попыток будет ограничено. Данные отпечатка зашифрованы и будут удалены из оперативной памяти устройства после выключения или перезагрузки (а также после входа в режим S.O.S.); через некоторое время, если устройство ни разу не разблокировалось; после пяти неудачных попыток; через некоторое время, если пользователь ни разу не вводил пароль для разблокировки устройства.
В Apple спроектировали и реализовали достаточно логичную и всестороннюю архитектуру безопасности. Однако физическая безопасность iPhone в настоящий момент близка к нулю. Перечислим основные моменты, которые нам не нравятся.
В Apple придают исключительное значение коду блокировки экрана. Зная только и исключительно код блокировки, с устройством и данными пользователя можно проделать решительно всё: подключить к новому компьютеру, сбросить пароль от резервной копии, сбросить и изменить пароль от учетной записи Apple ID, сменить средства двухфакторной аутентификации, отвязать телефон от сервиса Find My iPhone и снять блокировку iCloud. В данном случае в Apple сложили все до единого яйца в одну корзину; в качестве единственной защиты выступает код блокировки, только код блокировки и ничего, кроме кода блокировки экрана.
На рынке существует по крайней мере два решения (компаний Cellebrite и GrayShift), которые позволяют подобрать код блокировки и извлечь данные из iPhone любой модели, работающего на актуальной или более старой версии iOS (на момент написания статьи это актуальная версия iOS 12.3.1). И если для выключенного устройства потребуется перебор кодов блокировки (он медленный, до десяти минут на попытку, что дает максимальный срок перебора девятнадцать лет для всего пространства шестизначных цифровых паролей), то для устройств, которые были разблокированы хотя бы раз после загрузки (а это большая часть устройств, конфискованных полицией), данные извлекаются сразу, а перебор паролей очень быстрый (приблизительно за 20–30 минут перебирается все пространство паролей из четырех цифр). После разблокировки из телефона извлекается абсолютно вся информация вплоть до зашифрованных записей из связки ключей (а это все сохраненные пароли пользователя из браузера Safari и сторонних приложений).
Устройства и услуги по взлому паролей и извлечению данных из заблокированных iPhone доступны исключительно государственным и правоохранительным органам, причем далеко не для каждой страны. К примеру, в США, Канаде, Израиле, странах Европы эти решения правоохранительным органам доступны, а в России и Китае — нет.
Результат интересный и неоднозначный: мощная, всесторонне продуманная архитектура безопасности соседствует с ущербной физической безопасностью. Данные могут быть извлечены из любого iPhone, вопрос лишь в доступности спецсредств и состоянии устройства (получено в лаборатории в выключенном виде или же было разблокировано пользователем хотя бы раз с момента включения). В Apple прекрасно осведомлены о решениях Cellebrite и GrayShift и попытались противодействовать им, добавив режим USB Restricted Mode, отключающий передачу данных через USB сразу после блокировки экрана устройства. Но он не стал принципиальным препятствием для взлома iPhone.
Разумеется, все может измениться с выходом iOS 13, а новое аппаратное обеспечение (11-е поколение iPhone) наверняка сделает невозможным используемые в настоящий момент подходы. Распространение спецсредств для взлома паролей и извлечения данных из iPhone тщательно контролируется компаниями — разработчиками Cellebrite и GrayShift, работающими исключительно с правоохранительными органами избранных государств, в число которых Россия не входит. А пока сделаем осторожный вывод: можно продолжать пользоваться устройствами Apple, которые надежно защищают данные от злоумышленников — но не от полиции и спецслужб США, Канады, стран ЕС или Израиля.
Продолжение доступно только подписчикам
Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.
Подпишись на «Хакер» по выгодной цене!
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке