Hoy hablaré sobre una solución técnicamente interesante de Apple, a través de la cual la compañía trató de proteger sus dispositivos de la adivinación de contraseñas, y lo que surgió como resultado. Primero, responderé la pregunta, ¿por qué necesito un modo de restringir el acceso a los accesorios en el iPhone?
Protección contra descifrar el código de bloqueo de pantalla
La historia básica sobre la seguridad de iOS aún está por llegar. Ahora quiero centrarme en una característica bastante controvertida de iOS, que hace que la seguridad de todos los datos del usuario tanto en el dispositivo como en la cuenta en la nube dependa de un solo factor: el código de bloqueo de pantalla. Si se conoce el código de bloqueo de pantalla, prácticamente todos los datos se pueden extraer del iPhone, incluidas las contraseñas de las cuentas. Contraseña de protección de copia de seguridad? No, no escucharon: es como si lo hubiera, pero para restablecerlo, saber que el código de bloqueo es cuestión de unos segundos. ¿Desvincular un teléfono robado de iCloud? Si se conoce el código de bloqueo, no hay ningún problema; La contraseña de iCloud cambia en unos segundos y no se necesita la contraseña anterior de Apple ID. Autenticación de dos factores? ¡Genial, asegúrese de encenderlo! Pero solo si se conoce el código de bloqueo, todo el dispositivo se convierte en el segundo factor. Menciono humildemente cosas como la base de datos de contraseñas del usuario en iCloud, sus mensajes SMS e iMessage, así como los datos de salud que nuestros programas pueden descifrar usando el código de bloqueo (si es necesario, primero restableciendo la contraseña de la "nube" usando el mismo código de bloqueo único).
Conocer el código de bloqueo del iPhone puede hacer una serie de cosas asombrosas; el país debería conocer a sus héroes, y escribiré sobre ello en detalle. No es sorprendente que la última línea de defensa restante, de hecho, el código de bloqueo de pantalla, en Apple esté siendo protegida como la niña de un ojo. Durante varios años seguidos, la longitud del código de bloqueo predeterminado no es 4, sino 6 dígitos. Secure Element, el componente de hardware del subsistema de seguridad Secure Enclave, con un éxito variable, limita la velocidad de búsqueda. Entonces, para el iPhone recién encendido (o reiniciado), la velocidad de búsqueda será lenta; Nos llamaron cifras del orden de 19 años para una búsqueda completa del espacio de la contraseña. (Sin embargo, nadie rompe el código de bloqueo de 6 dígitos con ataques frontales; se utilizan diccionarios en los que los códigos de bloqueo se ordenan por frecuencia de uso).
Protección de recuperación de datos
Parece que un código de bloqueo de 6 dígitos y 19 años de revés ya no está mal. Sin embargo, el progreso no se detiene, y ya hay al menos dos soluciones en el mercado (el desarrollo de las compañías Cellebrite y GrayShift para la policía y los servicios especiales) que pueden acelerar significativamente la búsqueda en los casos en que el teléfono entró en AFU (después de First Unlock, es decir, eliminado del usuario en el estado activado, y el usuario desbloqueó el dispositivo al menos una vez después de un reinicio). Además, para tales dispositivos (y esto, notamos, la gran mayoría de los teléfonos incautados), tales soluciones también tienen un modo especial en el que parte de los datos (aquí me disculpo de antemano, sin detalles) se recuperan incluso sin la necesidad de descifrar el código de bloqueo. Desesperado por proteger sus dispositivos de las vulnerabilidades explotadas por Cellebrite y GrayShift, Apple decidió dar un paso desesperado que provocó un acalorado debate entre todos los involucrados. Este paso es la introducción a iOS 11.4.1 (y una mejora adicional en iOS 12) del modo de restricción de acceso o modo restringido por USB.
Restricción de acceso USB
Dado que GrayKey y Cellebrite UFED (o el servicio CAS) se conectan al iPhone para transferir datos a través del puerto Lightning (que es exactamente el caso, no utilizan ningún puerto de servicio o diagnóstico), entonces ¿simplemente deshabilitamos este puerto por completo? No, le permitiremos que cargue (y aun así no con ningún cargo), ¡pero hackearemos por completo la posibilidad de transferencia de datos! Con el modo de transferencia de datos deshabilitado, GrayKey y UFED ni siquiera podrán ver el iPhone, y aún más, ¡extraer información de él!
Entonces llegamos al modo de restricción de acceso, o modo restringido por USB. Ambos nombres no son oficiales; La propia Apple no destaca particularmente este modo. El artículo
Uso de accesorios USB con iOS 11.4.1 y posterior dice lo siguiente:
En iOS 11.4.1 y posterior [...], es posible que deba desbloquear el dispositivo para reconocer y usar el accesorio más adelante. El accesorio permanecerá conectado, incluso si el dispositivo se bloquea posteriormente. Si no desbloquea primero el dispositivo iOS protegido con contraseña (o lo desbloquea y lo conecta a un accesorio USB en la última hora), el dispositivo iOS no interactuará con el accesorio o la computadora, y en algunos casos puede que no se cargue. También puede aparecer una notificación de que el dispositivo debe estar desbloqueado para usar accesorios.A continuación se describen los pasos para deshabilitar esta función (de forma predeterminada, activa).
Puede hacer que su dispositivo iOS siempre tenga acceso a accesorios USB. [...] En muchos dispositivos auxiliares, un parámetro se activa automáticamente, lo que proporciona acceso a dispositivos USB en la primera conexión. (Aclararé: hay una clara inexactitud de la traducción. El artículo original en inglés usa la frase "Muchos dispositivos de asistencia activarán automáticamente la configuración para permitir dispositivos USB la primera vez que estén conectados", es decir, "muchos dispositivos de acceso universal pueden activarlo automáticamente"). configuración ". En los dispositivos mismos, como se desprende del texto en ruso de Apple, de hecho, nada está encendido).
Si no se conecta a los accesorios USB con regularidad, es posible que deba habilitar esta opción manualmente.
En el menú Configuración, seleccione "ID de cara y código de contraseña" o "ID táctil y código de contraseña" y habilite el acceso a los accesorios USB en la sección "Acceso a la pantalla de bloqueo".Si el acceso a los accesorios USB está deshabilitado, [...] puede que necesite desbloquear su dispositivo iOS para conectarse a los accesorios USB.
Tenga en cuenta que el modo de restricción de acceso se activa cuando el interruptor de accesorios USB está apagado.Por cierto, el modo de restricción de acceso para accesorios se activa instantáneamente cuando el usuario activa el modo SOS en el teléfono, para lo cual, según el modelo, debe presionar el botón de encendido de la pantalla varias veces (3 o 5 según el mercado), o mantener presionado el botón encienda la pantalla y cualquiera de los botones de control de volumen.
¿Qué hace este modo? En el modo de restringir el acceso a los accesorios, el iPhone o iPad desactiva por completo cualquier intercambio de datos a través del puerto Lightning integrado en el dispositivo. Lo único que queda disponible es la carga (en la práctica, incluso no siempre es así). Desde el punto de vista de una computadora u otro dispositivo al que se conectará el iPhone en modo de protección, el teléfono no será diferente de una batería externa.
Como funciona A nivel filisteo, bien. Olvídate de iOS 11.4.1, después de todo, esta versión del sistema existe desde hace más de un año. En las versiones actuales de iOS (comenzando con iOS 12), el acceso a los accesorios se bloquea en el momento en que el usuario bloquea la pantalla del iPhone. Hay excepciones; por ejemplo, si conecta su teléfono a una computadora u otros accesorios "digitales" de vez en cuando (el adaptador para auriculares de 3.5 mm "no se considera", más sobre eso a continuación), entonces el modo de protección no se activará inmediatamente después de que la pantalla esté bloqueada, sino después de una hora.
Si intenta conectar un iPhone bloqueado a una computadora, la computadora no verá nada: incluso la información básica sobre el dispositivo (como modelo, número de serie y versión de iOS) no está disponible. Aparecerá una notificación emergente en el propio dispositivo, que ofrece desbloquear el iPhone para usar el accesorio.
Teóricamente, el modo de protección es bastante confiable: el teléfono aún se negará a comunicarse con la computadora, incluso si se reinicia. Si coloca el iPhone en modo Recuperación o DFU, estará disponible desde la computadora, pero no es posible enumerar las contraseñas en estos modos. Incluso puede completar el último firmware (lo hicimos), pero luego de cargarlo en el sistema, el puerto se desactiva nuevamente. En otras palabras, a nivel filisteo, la protección funciona.
¿Y no a nivel filisteo? Somos conscientes de dos soluciones cuyos desarrolladores
supuestamente pudieron eludir la protección. Estos son Cellebrite (una solución fuera de línea UFED Premium y servicio CAS) y GrayShift (una solución de hardware grayKey). Bajo ciertas condiciones (las condiciones no fueron reveladas), ambos fabricantes pueden conectarse al iPhone con un puerto "bloqueado" y llevar a cabo un ataque al código de bloqueo (y en algunos casos, extraer cierta información sin el código de bloqueo).
Por lo tanto, Apple logró alcanzar su objetivo solo parcialmente. Sí, el iPhone es un poco más seguro. Ni una galleta accidental, ni siquiera artesanos de bandas criminales que buscan iPhones robados, pueden eludir esta protección. Pero la policía y los servicios especiales tienen posibilidades y son bastante buenos.
Vulnerabilidades de límite de acceso
Inmediatamente haré una reserva: no sé (no puedo "decir", pero realmente se desconoce) las vulnerabilidades que Cellebrite y GrayShift usan para evitar la protección de las restricciones. Solo puedo hacer suposiciones de la información obtenida de fuentes públicas. El primer supuesto es una vulnerabilidad en el protocolo Lightning. ¿Recuerdas que mencioné el adaptador del conector Lightning a la salida de auriculares de 3.5 mm? Este adaptador no obedece las reglas generales: su conexión no restablece el temporizador de activación del modo de protección, y si el modo de protección ya se ha activado, puede conectar y usar este adaptador sin desbloquear el iPhone.
Mientras tanto, a diferencia de muchos adaptadores USB tipo C similares que utilizan el modo USB Alt para transmitir una señal analógica, este adaptador es un
dispositivo digital completo
con un chip DAC incorporado . Es decir, incluso en el modo "protector", el iPhone aún transmite algunos datos a través de un puerto aparentemente muy bloqueado. Pero, ¿qué pasa si nuestro dispositivo "finge" ser un adaptador para activar el puerto y luego sigue la cadena de vulnerabilidades? Esto es solo una suposición, pero la opción parece plausible.
La segunda suposición es nuevamente la vulnerabilidad Lightning, pero algo por otro lado. Recientemente resultó que otro adaptador de Apple, el adaptador Lightning a HDMI, es en realidad una
computadora con un arranque seguro incorporado y un núcleo Darwin . Además, este adaptador no tiene su propio firmware; el firmware se descarga desde el iPhone cada vez que un usuario conecta un adaptador. Al mismo tiempo, el firmware no está firmado con un identificador único, la firma digital es estática. Es poco probable que se haya encontrado la vulnerabilidad en este adaptador en particular, pero la idea parece bastante prometedora.
Finalmente, también hay dispositivos de "acceso universal" que pueden ser utilizados por personas con discapacidad visual, personas con habilidades motoras finas y otras categorías de usuarios que necesitan dispositivos especiales para comunicarse con el iPhone. Esta categoría de dispositivos tiene un estado especial; Según la documentación de Apple, su uso conduce a la desactivación de las restricciones de acceso a los accesorios. Puede intentar imaginar un ataque en el que nuestro dispositivo aparecerá primero como un adaptador de 3.5 mm (el intercambio de datos ha comenzado), y luego como un accesorio para personas con impedimentos motores finos (en otras palabras, un teclado externo).
¿Por qué creo que la vulnerabilidad reside en el protocolo Lightning? En el mercado negro, puede encontrar modelos de "ingeniería" de diferentes versiones del iPhone, en los que parte del hardware de protección está desactivado, así como algunos cables especiales que proporcionan funciones adicionales. Este fue un
artículo detallado
en inglés ; Aquí hay un
artículo en ruso que se refiere a él. Y
aquí publicaron una foto de un cable de ingeniería especial, por desgracia, sin detalles. Además, en detalle sobre Lightning en general, puede leer
aquí .
¿Hay algún beneficio de restringir el acceso a los accesorios?
¿Qué tan útil es el modo de restricción de acceso? Después de todo, ¿pueden Cellebrite y GrayShift evitarlo? Aquí quiero prestar atención a dos cosas. En primer lugar, pocas personas saben exactamente cómo, en qué casos y para qué combinaciones particulares de hardware y versiones de iOS las dos compañías mencionadas pueden omitir el modo de protección. La información es emitida por las empresas de forma estrictamente dosificada, estrictamente confidencial y exclusivamente a los usuarios de sus productos después de firmar un acuerdo de confidencialidad. En segundo lugar, los usuarios de los productos de ambas compañías son exclusivamente organismos encargados de hacer cumplir la ley y servicios especiales de varios países, entre los cuales Rusia no está incluida actualmente. Por lo tanto, nada amenaza personalmente sus datos y su dispositivo en el territorio de Rusia: otras soluciones similares simplemente no existen ahora.
Por lo tanto, al usar este modo (se activa automáticamente para todos los usuarios y permanece activo si usted mismo o alguno de los accesorios de acceso universal no lo desactiva), puede obtener un grado adicional de protección contra el descifrado de contraseñas y la fuga de datos de inmediato después del bloqueo de pantalla. Sin embargo, incluso si conectó su iPhone a una computadora o adaptador en los últimos tres días, la transferencia de datos seguirá bloqueada durante una hora.
Enlaces relacionados: