Скажу откровенно: мне нравится подход Apple к обеспечению безопасности. Мне известно о слабостях и уязвимостях iOS (они устраняются с каждым обновлением) и отлично видны слабости архитектуры безопасности, вызванные желанием компании угодить широкому кругу потребителей. Да, Apple можно было бы похвалить за тщательно продуманный и качественно реализованный подход к безопасности.
Можно было бы, если бы не одно «но»: iPhone — самое популярное в мире устройство. Да, мы помним, что смартфонов с Android на руках у пользователей гораздо больше, но моделей с Android — десятки тысяч, а iPhone — единицы. Популярность сыграла с Apple злую шутку: устройствами с iOS стали заниматься буквально все заинтересованные стороны, не жалея времени и денег. В результате на сегодняшний день ситуация сложилась весьма и весьма интересная: iOS считается безопасной, но заинтересованные стороны при соблюдении некоторых условий могут получить полный доступ к данным.
Физическая безопасность устройств iOS
1)Все современные, не очень современные и откровенно устаревшие iPhone и iPad применяют стойкое шифрование накопителя. Любые атаки методом извлечения микросхемы памяти заведомо обречены (это действительно так; данный вектор атаки стал бесполезен много лет назад).
2)В iOS предусмотрена (и действительно работает) система защиты данных в случае кражи или потери устройства. Доступны механизмы удаленного стирания и блокировки устройства. Украденное устройство невозможно будет разблокировать и перепродать, если злоумышленнику неизвестны пароль на устройство (код блокировки экрана) или пароль от учетной записи Apple ID владельца (требуется одно из двух).
3)Многоуровневое шифрование данных «из коробки» идеально спроектировано и реализовано. Пользовательские данные зашифрованы всегда — за редкими исключениями в виде файлов и баз данных, необходимых, чтобы телефон принимал звонки сразу после перезагрузки. В iOS используется файловая система APFS. Каждый файл зашифрован своим ключом, который будет уничтожен при удалении файла. В результате восстановить удаленные файлы становится в принципе невозможно. Ключи защищены выделенным сопроцессором, входящим в систему Secure Enclave, и извлечь их оттуда нельзя даже после взлома устройства. Данные при включении телефона остаются зашифрованными, пока не будет введен правильный пароль, разблокирующий экран.
4)Многоуровневое шифрование означает, в частности, то, что некоторые данные (например, пароли к веб-сайтам, скачанная на устройство электронная почта) дополнительно защищены: они хранятся в виде зашифрованных записей в базе данных связки ключей iCloud Keychain (которая, в свою очередь, зашифрована при помощи пофайлового шифрования вместе с остальными файлами на пользовательском разделе).
5)Нельзя просто подключить к компьютеру iPhone и скачать с него данные (кроме фотографий). В iOS предусмотрена возможность установления доверительных отношений с компьютерами. При этом создается пара криптографических ключей, позволяющих доверенному компьютеру обмениваться информацией и создавать резервные копии устройства. Для установления доверительных отношений с компьютером iPhone необходимо разблокировать и ввести код блокировки.
6)Дополнительной степенью защиты от подключения к неавторизованному компьютеру устройства (начиная с iOS 11.4.1) является блокировка передачи данных через USB-порт сразу после того, как экран телефона был выключен, если устройство недавно не подключалось к компьютеру или аксессуару. Режим USB Restricted Mode опционален, но включен по умолчанию. Кстати, появился этот режим для противодействия перебору паролей решениями GrayKey и Cellebrite.
7)Безопасность резервных копий обеспечивается возможностью установить сложный пароль (пароль требуется исключительно для восстановления данных из резервной копии, поэтому в режиме повседневного использования мешать не будет). Шифрование локальных резервных копий исключительно стойкое, перебор паролей — очень медленный. В старых версиях iOS эта защита была абсолютной; начиная с iOS 11 этот пароль можно сбросить, указав код блокировки экрана.
8)Для разблокировки можно использовать как стандартный PIN-код из четырех или шести цифр, так и более сложный пароль. Единственный дополнительный способ разблокирования устройства — биометрический (отпечаток пальца Touch ID или Face ID). При этом реализация биометрики такова, что число попыток будет ограничено. Данные отпечатка зашифрованы и будут удалены из оперативной памяти устройства после выключения или перезагрузки (а также после входа в режим SOS); через некоторое время, если устройство ни разу не разблокировалось; после пяти неудачных попыток; через некоторое время, если пользователь ни разу не вводил пароль для разблокировки устройства.
В Apple спроектировали и реализовали достаточно логичную и всестороннюю архитектуру безопасности. Однако физическая безопасность iPhone в настоящий момент близка к нулю. Перечислим основные моменты, которые нам не нравятся
1-В Apple придают исключительное значение коду блокировки экрана. Зная только и исключительно код блокировки, с устройством и данными пользователя можно проделать решительно всё: подключить к новому компьютеру, сбросить пароль от резервной копии, сбросить и изменить пароль от учетной записи Apple ID, сменить средства двухфакторной аутентификации, отвязать телефон от сервиса Find My iPhone и снять блокировку iCloud. В данном случае в Apple сложили все до единого яйца в одну корзину; в качестве единственной защиты выступает код блокировки, только код блокировки и ничего, кроме кода блокировки экрана.
2-На рынке существует по крайней мере два решения (компаний Cellebrite и GrayShift), которые позволяют подобрать код блокировки и извлечь данные из iPhone любой модели, работающего на актуальной или более старой версии iOS (на момент написания статьи это актуальная версия iOS 12.3.1). И если для выключенного устройства потребуется перебор кодов блокировки (он медленный, до десяти минут на попытку, что дает максимальный срок перебора девятнадцать лет для всего пространства шестизначных цифровых паролей), то для устройств, которые были разблокированы хотя бы раз после загрузки (а это большая часть устройств, конфискованных полицией), данные извлекаются сразу, а перебор паролей очень быстрый (приблизительно за 20–30 минут перебирается все пространство паролей из четырех цифр). После разблокировки из телефона извлекается абсолютно вся информация вплоть до зашифрованных записей из связки ключей (а это все сохраненные пароли пользователя из браузера Safari и сторонних приложений).
3-Устройства и услуги по взлому паролей и извлечению данных из заблокированных iPhone доступны исключительно государственным и правоохранительным органам, причем далеко не для каждой страны. К примеру, в США, Канаде, Израиле, странах Европы эти решения правоохранительным органам доступны, а в России и Китае — нет.
Результат интересный и неоднозначный: мощная, всесторонне продуманная архитектура безопасности соседствует с ущербной физической безопасностью. Данные могут быть извлечены из любого iPhone, вопрос лишь в доступности спецсредств и состоянии устройства (получено в лаборатории в выключенном виде или же было разблокировано пользователем хотя бы раз с момента включения). В Apple прекрасно осведомлены о решениях Cellebrite и GrayShift и попытались противодействовать им, добавив режим USB Restricted Mode, отключающий передачу данных через USB сразу после блокировки экрана устройства. Но он не стал принципиальным препятствием для взлома iPhone.
Разумеется, все может измениться с выходом iOS 13, а новое аппаратное обеспечение (11-е поколение iPhone) наверняка сделает невозможным используемые в настоящий момент подходы. Распространение спецсредств для взлома паролей и извлечения данных из iPhone тщательно контролируется компаниями — разработчиками Cellebrite и GrayShift, работающими исключительно с правоохранительными органами избранных государств, в число которых Россия не входит. А пока сделаем осторожный вывод: можно продолжать пользоваться устройствами Apple, которые надежно защищают данные от злоумышленников — но не от полиции и спецслужб США, Канады, стран ЕС или Израиля.
Облачная безопасность iOS
С вопросом физической безопасности устройств с iOS мы разобрались. А как обстоят дела со слежкой за пользователем и с утечками данных?
В iOS есть отключаемая синхронизация с облаком через собственный сервис Apple iCloud. В частности, в iCloud могут сохраняться:
1)Резервные копии устройства (фактически используется достаточно редко из-за чрезвычайной скупости Apple, выделяющей пользователям не самых дешевых смартфонов всего 5 Гбайт свободного места в облаке iCloud).
2)Синхронизированные данные — журнал звонков, заметки, календари, почта.
3)Синхронизированные данные с дополнительным шифрованием (для доступа требуется как логин и пароль от Apple ID, так и второй фактор аутентификации и — обязательно! — код блокировки устройства). Сюда попадают пароли из облачной связки ключей iCloud Keychain, данные «Здоровья», сообщения в iCloud (SMS, iMessage). Обрати внимание: данные из этого списка не будут выданы компанией Apple по запросу правоохранительных органов.
3)Открытые вкладки (без ограничения по времени; лишь в iOS 13 появится режим, ограничивающий время жизни открытых вкладок) и история посещения ресурсов в браузере Safari за последние 30 дней.
5)Фотографии и видео, если включена облачная библиотека iCloud Photos.
6)Данные приложений, разработчики которых используют iCloud Drive.
Все виды облачной синхронизации пользователь iOS может отключить, выключив iCloud и деактивировав iCloud Drive. После этого данные не будут передаваться на серверы Apple. Несмотря на то что некоторые механизмы работают не слишком интуитивно (как пример — для выключения синхронизации звонков нужно отключать iCloud Drive, предназначенный для синхронизации файлов и фотографий), полное выключение облачных сервисов синхронизацию полностью отключает.
В iOS предусмотрен механизм для предотвращения отслеживания устройств (система может представлять внешнему миру случайные идентификаторы модулей Wi-Fi и Bluetooth вместо фиксированных настоящих).
Насколько безопасно хранить данные в iCloud? Здесь нужно отметить, что Apple использует для хранения пользовательских данных сторонние сервисы (Microsoft, Amazon, Google, AT&T, а также серверы, контролируемые правительством Китая). Означает ли это, что Microsoft, Amazon и далее по списку могут получить доступ к этим данным? Нет: все данные разбиты на блоки, а каждый блок зашифрован собственным уникальным ключом, который физически хранится на серверах Apple в Купертино. Соответственно, просто получить доступ к блокам на сервере Amazon или Google недостаточно — нужно еще и извлечь ключи шифрования, которые хранятся совсем в другом месте. В то же время доступ к этим ключам может получить как сама компания Apple, так и третьи лица, которые смогли зайти в учетную запись пользователя.
В зависимости от того, кто пытается получить данные и что ему известно о пользователе, можно сформулировать следующие правила.
Для резервных копий iCloud Backups, фотографий, а также всех видов синхронизированных данных, за исключением категории «Синхронизированные данные с дополнительным шифрованием»: для доступа достаточно знать логин и пароль пользователя. Если учетная запись защищена по методу двухфакторной аутентификации, также необходим доступ ко второму фактору (это требование можно обойти, если подключаться к синхронизированным данным с компьютера пользователя, где установлено приложение iCloud). Правоохранительные органы могут получить эти данные, отправив запрос в Apple. Запрос должен сопровождаться соответствующим постановлением суда (для Китая действуют упрощенные правила, когда достаточно просто требования полиции).
Для категории «Синхронизированные данные с дополнительным шифрованием» (пароли из облачной связки ключей, данные «Здоровья», сообщения SMS/iMessage, синхронизированные в облако): доступа к этим данным нет ни у полиции, ни у самой компании Apple. Эти данные не будут предоставлены по запросу правоохранительных органов. Тем не менее доступ к ним получить все-таки можно, если доступен полный набор из следующих факторов: логин и пароль к Apple ID; второй фактор аутентификации (к примеру, SIM-карта с доверенным телефонным номером или одно из устройств пользователя, привязанных к той же учетной записи, в разблокированном виде); код блокировки экрана (iPhone, iPad, iPod Touch) или системный пароль (Mac) одного из устройств пользователя, привязанных к той же учетной записи Apple.
Выводы
Из-за широкого распространения и ограниченной номенклатуры смартфоны Apple и операционная система iOS находятся в фокусе внимания как спецслужб, так и независимых исследователей безопасности. Это привело к появлению доступных для полиции ряда государств технических средств, позволяющих взломать код блокировки iPhone, а в ряде случаев — и получить доступ к данным даже без кода блокировки. Облачная синхронизация реализована практически идеально. Тем не менее большая часть данных доступна как компании Apple, так и полиции по официальному запросу.
Ограниченное число категорий данных защищено дополнительным уровнем шифрования и не выдается по запросу, однако даже их можно извлечь, если известны логин и пароль от Apple ID, есть доступ ко второму фактору аутентификации и известен код блокировки одного из устройств пользователя. Защита от слежки и зловредного ПО находится на максимально возможном для потребительских устройств уровне.
Больше интересных статей вы сможете найти здесь — Shadow Hacker
Можно было бы, если бы не одно «но»: iPhone — самое популярное в мире устройство. Да, мы помним, что смартфонов с Android на руках у пользователей гораздо больше, но моделей с Android — десятки тысяч, а iPhone — единицы. Популярность сыграла с Apple злую шутку: устройствами с iOS стали заниматься буквально все заинтересованные стороны, не жалея времени и денег. В результате на сегодняшний день ситуация сложилась весьма и весьма интересная: iOS считается безопасной, но заинтересованные стороны при соблюдении некоторых условий могут получить полный доступ к данным.
Физическая безопасность устройств iOS
1)Все современные, не очень современные и откровенно устаревшие iPhone и iPad применяют стойкое шифрование накопителя. Любые атаки методом извлечения микросхемы памяти заведомо обречены (это действительно так; данный вектор атаки стал бесполезен много лет назад).
2)В iOS предусмотрена (и действительно работает) система защиты данных в случае кражи или потери устройства. Доступны механизмы удаленного стирания и блокировки устройства. Украденное устройство невозможно будет разблокировать и перепродать, если злоумышленнику неизвестны пароль на устройство (код блокировки экрана) или пароль от учетной записи Apple ID владельца (требуется одно из двух).
3)Многоуровневое шифрование данных «из коробки» идеально спроектировано и реализовано. Пользовательские данные зашифрованы всегда — за редкими исключениями в виде файлов и баз данных, необходимых, чтобы телефон принимал звонки сразу после перезагрузки. В iOS используется файловая система APFS. Каждый файл зашифрован своим ключом, который будет уничтожен при удалении файла. В результате восстановить удаленные файлы становится в принципе невозможно. Ключи защищены выделенным сопроцессором, входящим в систему Secure Enclave, и извлечь их оттуда нельзя даже после взлома устройства. Данные при включении телефона остаются зашифрованными, пока не будет введен правильный пароль, разблокирующий экран.
4)Многоуровневое шифрование означает, в частности, то, что некоторые данные (например, пароли к веб-сайтам, скачанная на устройство электронная почта) дополнительно защищены: они хранятся в виде зашифрованных записей в базе данных связки ключей iCloud Keychain (которая, в свою очередь, зашифрована при помощи пофайлового шифрования вместе с остальными файлами на пользовательском разделе).
5)Нельзя просто подключить к компьютеру iPhone и скачать с него данные (кроме фотографий). В iOS предусмотрена возможность установления доверительных отношений с компьютерами. При этом создается пара криптографических ключей, позволяющих доверенному компьютеру обмениваться информацией и создавать резервные копии устройства. Для установления доверительных отношений с компьютером iPhone необходимо разблокировать и ввести код блокировки.
6)Дополнительной степенью защиты от подключения к неавторизованному компьютеру устройства (начиная с iOS 11.4.1) является блокировка передачи данных через USB-порт сразу после того, как экран телефона был выключен, если устройство недавно не подключалось к компьютеру или аксессуару. Режим USB Restricted Mode опционален, но включен по умолчанию. Кстати, появился этот режим для противодействия перебору паролей решениями GrayKey и Cellebrite.
7)Безопасность резервных копий обеспечивается возможностью установить сложный пароль (пароль требуется исключительно для восстановления данных из резервной копии, поэтому в режиме повседневного использования мешать не будет). Шифрование локальных резервных копий исключительно стойкое, перебор паролей — очень медленный. В старых версиях iOS эта защита была абсолютной; начиная с iOS 11 этот пароль можно сбросить, указав код блокировки экрана.
8)Для разблокировки можно использовать как стандартный PIN-код из четырех или шести цифр, так и более сложный пароль. Единственный дополнительный способ разблокирования устройства — биометрический (отпечаток пальца Touch ID или Face ID). При этом реализация биометрики такова, что число попыток будет ограничено. Данные отпечатка зашифрованы и будут удалены из оперативной памяти устройства после выключения или перезагрузки (а также после входа в режим SOS); через некоторое время, если устройство ни разу не разблокировалось; после пяти неудачных попыток; через некоторое время, если пользователь ни разу не вводил пароль для разблокировки устройства.
В Apple спроектировали и реализовали достаточно логичную и всестороннюю архитектуру безопасности. Однако физическая безопасность iPhone в настоящий момент близка к нулю. Перечислим основные моменты, которые нам не нравятся
1-В Apple придают исключительное значение коду блокировки экрана. Зная только и исключительно код блокировки, с устройством и данными пользователя можно проделать решительно всё: подключить к новому компьютеру, сбросить пароль от резервной копии, сбросить и изменить пароль от учетной записи Apple ID, сменить средства двухфакторной аутентификации, отвязать телефон от сервиса Find My iPhone и снять блокировку iCloud. В данном случае в Apple сложили все до единого яйца в одну корзину; в качестве единственной защиты выступает код блокировки, только код блокировки и ничего, кроме кода блокировки экрана.
2-На рынке существует по крайней мере два решения (компаний Cellebrite и GrayShift), которые позволяют подобрать код блокировки и извлечь данные из iPhone любой модели, работающего на актуальной или более старой версии iOS (на момент написания статьи это актуальная версия iOS 12.3.1). И если для выключенного устройства потребуется перебор кодов блокировки (он медленный, до десяти минут на попытку, что дает максимальный срок перебора девятнадцать лет для всего пространства шестизначных цифровых паролей), то для устройств, которые были разблокированы хотя бы раз после загрузки (а это большая часть устройств, конфискованных полицией), данные извлекаются сразу, а перебор паролей очень быстрый (приблизительно за 20–30 минут перебирается все пространство паролей из четырех цифр). После разблокировки из телефона извлекается абсолютно вся информация вплоть до зашифрованных записей из связки ключей (а это все сохраненные пароли пользователя из браузера Safari и сторонних приложений).
3-Устройства и услуги по взлому паролей и извлечению данных из заблокированных iPhone доступны исключительно государственным и правоохранительным органам, причем далеко не для каждой страны. К примеру, в США, Канаде, Израиле, странах Европы эти решения правоохранительным органам доступны, а в России и Китае — нет.
Результат интересный и неоднозначный: мощная, всесторонне продуманная архитектура безопасности соседствует с ущербной физической безопасностью. Данные могут быть извлечены из любого iPhone, вопрос лишь в доступности спецсредств и состоянии устройства (получено в лаборатории в выключенном виде или же было разблокировано пользователем хотя бы раз с момента включения). В Apple прекрасно осведомлены о решениях Cellebrite и GrayShift и попытались противодействовать им, добавив режим USB Restricted Mode, отключающий передачу данных через USB сразу после блокировки экрана устройства. Но он не стал принципиальным препятствием для взлома iPhone.
Разумеется, все может измениться с выходом iOS 13, а новое аппаратное обеспечение (11-е поколение iPhone) наверняка сделает невозможным используемые в настоящий момент подходы. Распространение спецсредств для взлома паролей и извлечения данных из iPhone тщательно контролируется компаниями — разработчиками Cellebrite и GrayShift, работающими исключительно с правоохранительными органами избранных государств, в число которых Россия не входит. А пока сделаем осторожный вывод: можно продолжать пользоваться устройствами Apple, которые надежно защищают данные от злоумышленников — но не от полиции и спецслужб США, Канады, стран ЕС или Израиля.
Облачная безопасность iOS
С вопросом физической безопасности устройств с iOS мы разобрались. А как обстоят дела со слежкой за пользователем и с утечками данных?
В iOS есть отключаемая синхронизация с облаком через собственный сервис Apple iCloud. В частности, в iCloud могут сохраняться:
1)Резервные копии устройства (фактически используется достаточно редко из-за чрезвычайной скупости Apple, выделяющей пользователям не самых дешевых смартфонов всего 5 Гбайт свободного места в облаке iCloud).
2)Синхронизированные данные — журнал звонков, заметки, календари, почта.
3)Синхронизированные данные с дополнительным шифрованием (для доступа требуется как логин и пароль от Apple ID, так и второй фактор аутентификации и — обязательно! — код блокировки устройства). Сюда попадают пароли из облачной связки ключей iCloud Keychain, данные «Здоровья», сообщения в iCloud (SMS, iMessage). Обрати внимание: данные из этого списка не будут выданы компанией Apple по запросу правоохранительных органов.
3)Открытые вкладки (без ограничения по времени; лишь в iOS 13 появится режим, ограничивающий время жизни открытых вкладок) и история посещения ресурсов в браузере Safari за последние 30 дней.
5)Фотографии и видео, если включена облачная библиотека iCloud Photos.
6)Данные приложений, разработчики которых используют iCloud Drive.
Все виды облачной синхронизации пользователь iOS может отключить, выключив iCloud и деактивировав iCloud Drive. После этого данные не будут передаваться на серверы Apple. Несмотря на то что некоторые механизмы работают не слишком интуитивно (как пример — для выключения синхронизации звонков нужно отключать iCloud Drive, предназначенный для синхронизации файлов и фотографий), полное выключение облачных сервисов синхронизацию полностью отключает.
В iOS предусмотрен механизм для предотвращения отслеживания устройств (система может представлять внешнему миру случайные идентификаторы модулей Wi-Fi и Bluetooth вместо фиксированных настоящих).
Насколько безопасно хранить данные в iCloud? Здесь нужно отметить, что Apple использует для хранения пользовательских данных сторонние сервисы (Microsoft, Amazon, Google, AT&T, а также серверы, контролируемые правительством Китая). Означает ли это, что Microsoft, Amazon и далее по списку могут получить доступ к этим данным? Нет: все данные разбиты на блоки, а каждый блок зашифрован собственным уникальным ключом, который физически хранится на серверах Apple в Купертино. Соответственно, просто получить доступ к блокам на сервере Amazon или Google недостаточно — нужно еще и извлечь ключи шифрования, которые хранятся совсем в другом месте. В то же время доступ к этим ключам может получить как сама компания Apple, так и третьи лица, которые смогли зайти в учетную запись пользователя.
В зависимости от того, кто пытается получить данные и что ему известно о пользователе, можно сформулировать следующие правила.
Для резервных копий iCloud Backups, фотографий, а также всех видов синхронизированных данных, за исключением категории «Синхронизированные данные с дополнительным шифрованием»: для доступа достаточно знать логин и пароль пользователя. Если учетная запись защищена по методу двухфакторной аутентификации, также необходим доступ ко второму фактору (это требование можно обойти, если подключаться к синхронизированным данным с компьютера пользователя, где установлено приложение iCloud). Правоохранительные органы могут получить эти данные, отправив запрос в Apple. Запрос должен сопровождаться соответствующим постановлением суда (для Китая действуют упрощенные правила, когда достаточно просто требования полиции).
Для категории «Синхронизированные данные с дополнительным шифрованием» (пароли из облачной связки ключей, данные «Здоровья», сообщения SMS/iMessage, синхронизированные в облако): доступа к этим данным нет ни у полиции, ни у самой компании Apple. Эти данные не будут предоставлены по запросу правоохранительных органов. Тем не менее доступ к ним получить все-таки можно, если доступен полный набор из следующих факторов: логин и пароль к Apple ID; второй фактор аутентификации (к примеру, SIM-карта с доверенным телефонным номером или одно из устройств пользователя, привязанных к той же учетной записи, в разблокированном виде); код блокировки экрана (iPhone, iPad, iPod Touch) или системный пароль (Mac) одного из устройств пользователя, привязанных к той же учетной записи Apple.
Выводы
Из-за широкого распространения и ограниченной номенклатуры смартфоны Apple и операционная система iOS находятся в фокусе внимания как спецслужб, так и независимых исследователей безопасности. Это привело к появлению доступных для полиции ряда государств технических средств, позволяющих взломать код блокировки iPhone, а в ряде случаев — и получить доступ к данным даже без кода блокировки. Облачная синхронизация реализована практически идеально. Тем не менее большая часть данных доступна как компании Apple, так и полиции по официальному запросу.
Ограниченное число категорий данных защищено дополнительным уровнем шифрования и не выдается по запросу, однако даже их можно извлечь, если известны логин и пароль от Apple ID, есть доступ ко второму фактору аутентификации и известен код блокировки одного из устройств пользователя. Защита от слежки и зловредного ПО находится на максимально возможном для потребительских устройств уровне.
Больше интересных статей вы сможете найти здесь — Shadow Hacker
