智能手机现在在法医识别中发挥着越来越重要的作用。 您的智能手机比其他任何东西都更了解您的日常生活。 它可以跟踪您的位置、记录您的足迹、人工智能您的照片并帮助您付款。 由于如此多的数据集中在一台设备中,因此期望获得最高级别的保护是合理的。 在本文中,我们回顾了苹果保护用户数据措施的时间表以及执法部门所采取的对策。 本文不涉及云取证,仅涉及纯设备取证。

“目前,我们非常尊重执法部门,并在许多领域与他们合作,但我们在这个问题上存在分歧。所以让我非常明确:削弱或删除加密会伤害那些永远使用它的人“好人。最终,我相信这将对我们的第一修正案权利产生寒蝉效应,破坏我们国家的建国原则。” (蒂姆·库克,2023)

那么,让我们回顾一下这些年来苹果在保护用户隐私和安全方面所做的努力。

操作系统 1 至 3 – 简单易行

在 iOS 的最初版本中,Apple 并不关心安全性。 如果不加密,密码很容易被绕过,安全性很差。 说实话,第一代在安全方面并没有做太多工作,因为最初没有太多需要保护的东西。 找到了一种从锁定设备中提取完整文件系统的方法,请参阅 iOS() 了解详细信息。

产品发布

iOS 4 – 文件系统加密

在 iOS 4 之前,输入的数据不受保护。 只需移除存储芯片即可访问所有用户数据。 请注意,文件系统加密是基于硬件密钥的; 解密数据不需要用户密码。 因此,当法律要求时,苹果仍然能够访问这些设备的内容。

产品发布

iOS 7 – 配对和通知

从 iOS 4 到 iOS 7,安全部分几乎没有变化。 iOS 7 中唯一显着的变化是新的配对流程,在 iOS 7 上会弹出一个通知窗口。用户必须点击通知框才能确认配对。 Apple 正在准备 iOS 8 的重大升级。

iOS 7也是第一个支持指纹识别和 Zone的64位iOS版本。

产品发布

同时发现了iOS设备上的后门,参见

iOS 8:使用密码加密; 密码破解不再有效

iOS 8 在安全性方面是一个里程碑式的版本。 在此版本中,Apple 几乎改变了整个安全模型。

产品发布

让我们从逻辑获取开始。

在 iOS 8 之前,Apple 为每个设备创建了静态配对记录(文件)。 配对记录由 Apple 保存。 即使出厂重置,静态配对记录也不会改变。 一旦配对,设备就无法“取消配对”。 也就是说,记录不会过期。 这使得苹果能够与执法部门合作。 一旦苹果收到锁定的苹果设备,它就可以提取数据并将图像提供给申请机构。

随着 iOS 8 的发布,这种情况发生了变化。每次配对记录都会有所不同。 现在,当处理配对请求时,iOS 会生成一对新的密钥对,其中一个密钥存储在内部存储器中,另一个存储在目标计算机上。 销毁任一密钥都会使配对和连接失效。

仅这一变化就足够严重了,但苹果并没有就此止步。 iOS 8 现在使用基于用户屏幕锁定密码的加密方案,而不是静态硬件凭据支持的文件系统加密。 现在,在用户在冷启动或开机后首次使用密码解锁设备之前,会动态生成密钥加密密钥。 更改密码将重新创建并重新保存密钥加密密钥。 因此,在不知道用户密码的情况下,任何人(包括苹果)都无法解密冷设备的完整文件系统(在今天的术语中的第一次解锁之前)。 请注意,文件系统的某些部分仍然可以访问以允许完全启动; 这包括一些期刊和系统数据库。 即使没有密码也可以提取这些片段。

正如您所看到的,密码开始成为 Apple 安全模型的标志。 在iOS 8中,苹果瞄准了当时市场上的破解盒子。 仅一次系统更新就使当时市场上所有密码破解盒失效。 取证公司花了数年时间才开发出新的、更复杂的解决方案。

请注意,在 iOS 8 之前,Apple 可以进行 iOS 数据提取。 但苹果的执行要求指南现在明确指出:

对于运行 iOS 8.0 及更高版本的所有设备,Apple 无法执行 iOS 设备数据提取,因为执法部门通常需要的数据已加密,而 Apple 没有加密密钥。 所有 6 及更高版本的设备都运行 iOS 8.0 或更高版本。

iOS 8 还引入了限制,允许使用单独的、用户可配置的限制 PIN(始终为 4 位数字)来限制某些设备活动。

iOS 9:默认 6 位密码

iOS 9 的一项显着变化是,现在设置新设备时默认使用 6 位密码。 虽然仍然可以切换回旧的 4 位密码,但随着每个新的 iOS 版本的发布,这些步骤变得越来越不那么突兀。

产品发布

iOS 10:缩短有效期

在 iOS 10 之前,配对记录(文件)几乎从未失效。 我们可以使用 6 个月前创建的记录。 由于许多取证公司依赖现有记录进行逻辑提取,因此苹果开始将记录视为威胁。 iOS10严重缩短了文件的有效期。 当时没有官方声明,但后来得知,iOS 10 及以上版本的配对记录在最后一次使用后 30 天就会过期。

另一方面,iOS 10 却带来了巨大的挫折。 自 iOS 5(甚至 iOS 4)以来,Apple 一直使用相同的算法来验证备份密码。 大约 20,000 次哈希迭代用于根据用户密码生成加密密钥。 这很慢,但可以接受。 然而,在iOS 10中,一些实习生不小心创建了后门。 该后门使用单个哈希迭代,这使我们能够以每秒数千万个密码的速度发起攻击。

产品发布

iOS 10.1:修复备份密码后门

iOS 10.0 中引入的备份密码后门已在 iOS 10.1 中修复。

iOS 10.2:备份密码加强

经过仔细考虑,Apple 认为它还不够慢,并大幅增加了使用密码生成备份加密密钥所需的哈希迭代次数。 此后,基于 CPU 的攻击每分钟可尝试约 12 个密码,而 GPU 辅助攻击的恢复速度约为每秒 100 至 200 个密码(单 GPU)。 从本质上讲,这使得暴力破解除了最简单的密码之外的所有密码都变得毫无意义。

iOS 10.3:过渡到 APFS

随着 iOS 10.3 的发布,Apple 将其所有设备升级到针对固态存储优化的新文件系统 — APFS。 新的文件系统迫使取证公司更新其软件。

iOS 11:配对需要密码

iOS 11 为设备安全模型带来了两项显着变化。 首先,Apple 引入了一种从 iOS 设备上的设置重置备份密码的方法。 重置备份密码需要用户输入锁屏密码; 因而屏幕锁定密码的作用明显增大。 我们认为这是从多层安全模型到完全基于用户密码的模型的巨大倒退。

产品发布

确立屏幕锁定密码相对于所有其他安全措施的完全主导地位的另一个步骤是在与新计算机配对时需要输入密码。

关于配对记录还有一点,苹果已经正式确认了 / 配对记录的失效规则。

配对过程需要用户解锁设备并接受来自主机的配对请求。 在 iOS 11 或更高版本中,用户还需要输入密码。 用户完成此操作后,主机和设备交换并保存2048位RSA公钥。 然后,主机将获得一个 256 位密钥,用于解锁设备上存储的托管密钥包。 交换的密钥用于启动加密的 SSL 会话,这是设备在将受保护的数据发送到主机或启动服务(同步、文件传输、Xcode 开发等)之前所需的。 通过 Wi-Fi 连接到主机时,设备使用加密会话进行所有通信,因此必须事先通过 USB 进行配对。 配对还支持各种诊断功能。 在 iOS 9 中,如果配对记录超过 6 个月,则会过期。 在 iOS 11 或更高版本中,该时间段缩短为 30 天。 (来源:iOS 安全指南 2023 年 5 月,iOS 12.3)。

iOS 11还为我们带来了新的SOS模式,一旦激活,就会禁用生物识别解锁。 此外,通知不再存储在备份中(这修复了一个错误,该错误允许通过分析旧通知来窥视用户的安全通信 – 顺便说一下,这些通知不会出现在设备本身上)。

iOS11.4.1:引入USB限制模式

iOS 11.4.1 版本引入了 USB 限制模式,该功能旨在防御 和 开发的密码破解工具。 iOS 11.4.1 会在设备上次解锁一小时后,或设备与 USB 配件或计算机断开连接一小时后,自动关闭与 端口的 USB 数据连接。 此外,用户可以随时使用 SOS 模式手动禁用 USB 端口。

iOS 12 进一步完善了 USB 限制。 根据苹果在 iOS 12 发布后发布的新 iOS 安全指南,如果最后一次 USB 连接已经超过三天,或者设备处于需要密码的状态,则设备连接后会立即禁用 USB 连接。被锁住了。 此外,如果用户使用 SOS 模式,USB 端口也将被禁用。

另外,在iOS 12中,如果USB连接建立超过三天,设备将在锁定后立即禁止新的USB连接。 这是为了增强对不经常使用这些类型连接的用户的保护。 当设备处于需要密码才能重新启用生物识别身份验证的状态时,USB 连接也会被禁用。 ”

此外,iOS 12 还引入了屏幕时间功能。 过一会儿,屏幕时间就可以同步通过了。

产品发布

iOS 13:更改备份密码需要密码; USB 限制模式再次改进

随着 iOS 13 的发布,苹果宣布对 iOS 进行重大改革,这是 iOS 设备本地备份唯一的“官方”应用程序。 在 macOS 及更高版本上,本地备份是在应用程序内创建的,而不是 . Mac 电脑上不再有此功能。

产品发布

当您设置或更改保护本地备份的密码时,系统将提示您输入锁屏密码。 与新的配对请求(从 iOS 11 开始)类似,您需要在设备上输入密码。

那么USB限制又如何呢? iOS 13 带来了一种配件的“配对”。 为了“配对”计算机,您需要在设备上输入 PIN; 然后,设备将交换加密密钥以实现数据传输(包括图片)。 “配对”配件是一个单方面的过程,不需要 PIN 码,也不涉及加密密钥。 当用户解锁设备(或连接配件后解锁)时,配件将与其“配对”。 然后存储有关“配对”配件的信息,并且为该配件分配“可信”状态。

iOS 13 对配对配件和新配件的 USB 限制有所不同。 在 iOS 13 中,由于设备被锁定或用户断开以前使用的配件,通过 USB 端口(连接)的数据通信在一小时后受到限制。

iOS 13 以不同的方式对待配对的和新的 USB 配件。 如果用户尝试连接之前配对的 USB 配件,则可以在一小时内建立连接。

但是,如果用户尝试连接之前未配对过的新配件,USB 端口将立即被锁定,即使在尝试连接后一小时内也是如此。

此外,未加密的本地备份不再包含通话日志和浏览历史记录。

硬件漏洞利用

从 5s 到 8、8 Plus 和 X 代设备的所有 64 位 Apple 设备中都发现了巨大的硬件缺陷,包括具有类似处理器的 iPad 和 Apple TV 型号。 即使密码未知,也可以通过 DFU 在锁定设备上进行漏洞利用和越狱。 该漏洞允许从锁定的设备执行有限的文件系统求和,并从任何易受攻击的设备提取完整的文件系统求和,无论 iOS 版本如何,只要密码已知。 请注意,漏洞利用和越狱都无法帮助破解锁屏密码。

本文翻译整理自博客,原作者Oleg

好了,今天的主题就讲到这里吧,不管如何,能帮到你我就很开心了,如果您觉得这篇文章写得不错,欢迎点赞和分享给身边的朋友。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注