Почему спецслужбы и хакеры не испытывают трудности в ходе взлома iPhone?
Группа экспертов в области криптографии предложила теорию о том, почему правоохранительным органам все еще удается взламывать iPhone, несмотря на постоянные исправления iOS и уровни безопасности мобильного устройства.
Как полагает исследователь в области кибербезопасности и преподаватель криптографии в Университете Джона Хопкинса Мэтью Грин (Matthew Green), хакерам и спецслужбам нет нужно взламывать аппаратный компонент Secure Enclave от Apple, отвечающий за безопасное хранение данных, потому что это слишком сложно. Вместо этого они используют не просто уязвимость, а системную особенность iOS, которая защищает не все типы пользовательских данных на устройстве.
iPhone может находиться в одном из двух состояний — до «первой разблокировки» (before first unlock, BFU) и «после первой разблокировки» (after first unlock, AFU). Когда пользователь впервые включает свое устройство и вводит пароль, оно переходит в состояние AFU. Когда пользователь вводит свой код, iPhone использует его для получения различных наборов криптографических ключей, которые остаются в памяти и используются для шифрования файлов.
Когда пользователь снова блокирует свое устройство, оно не переходит в BFU, а остается в состоянии AFU и пребывает в нем около 95% всего времени. Грин отмечает, что из памяти извлекается только один набор криптографических ключей. Этот набор сохраняется, пока пользователь снова не разблокирует свой iPhone, и используется для расшифровки множества файлов iPhone, подпадающих под определенный класс защиты. Другие наборы ключей, которые остаются в памяти, используются для расшифровки всех остальных файлов.
Для взлома единственного набора ключей шифрования спецслужбы и хакеры могут прибегнуть к использованию относительно несложных программных эксплойтов, позволяющих обойти экран блокировки и расшифровать большую часть файлов.
Согласно документации Apple, самый высокий класс защиты в состоянии AFU применяется только к почте и данным о запуске приложений. Примечательно, что до 2012 года шифрование охватывало куда больше данных. Остается неизвестным, почему Apple ослабила защиту, но Грин полагает, что компания отказалась от максимальной безопасности для обеспечения работы определенных приложений и системных функций, связанных с геолокации и другими технологиями.