Aujourd'hui, je vais parler d'une solution techniquement intéressante d'Apple, grâce à laquelle la société a essayé de protéger ses appareils contre la devinette des mots de passe - et ce qui en est résulté. Tout d'abord, je répondrai à la question: pourquoi ai-je besoin d'un mode de restriction d'accès aux accessoires de l'iPhone.
Protection contre le piratage du code de verrouillage d'écran
L'histoire de base sur la sécurité iOS est encore à venir. Maintenant, je veux me concentrer sur une caractéristique assez controversée d'iOS, qui rend la sécurité de toutes les données utilisateur à la fois dans l'appareil et dans le compte cloud dépendante d'un seul facteur: le code de verrouillage d'écran. Si le code de verrouillage d'écran est connu, pratiquement toutes les données peuvent être extraites de l'iPhone, y compris les mots de passe des comptes. Protection de sauvegarde par mot de passe? Non, ils n'ont pas entendu: c'est comme s'il y en avait, mais pour le réinitialiser, connaître le code de verrouillage est une question de quelques secondes. Dissocier un téléphone volé d'iCloud? Si le code de verrouillage est connu - pas de problème du tout; Le mot de passe iCloud change en quelques secondes et l'ancien mot de passe de l'identifiant Apple n'est pas nécessaire. Authentification à deux facteurs? Super, assurez-vous de l'allumer! Mais seulement si le code de verrouillage est connu, l'ensemble de l'appareil devient le tout deuxième facteur. Je mentionne humblement des choses telles que la base de données de mots de passe de l'utilisateur dans iCloud, ses messages SMS et iMessage, ainsi que les données de santé que nos programmes peuvent décrypter en utilisant le code de verrouillage (si nécessaire, réinitialiser d'abord le mot de passe à partir du "cloud" en utilisant le même code de verrouillage unique).
Connaître le code de verrouillage de l'iPhone peut faire un certain nombre de choses incroyables; le pays devrait connaître ses héros, et j'écrirai à ce sujet en détail. Sans surprise, la dernière ligne de défense restante - en fait, le code de verrouillage d'écran - chez Apple est gardée comme la prunelle des yeux. Pendant plusieurs années consécutives, la longueur du code de verrouillage par défaut n'est pas 4, mais 6 chiffres. Secure Element, le composant matériel du sous-système de sécurité Secure Enclave, dont le succès varie, limite la vitesse de recherche. Ainsi, pour l'iPhone qui vient d'être allumé (ou redémarré), la vitesse de recherche sera lente; nous avons été appelés des chiffres de l'ordre de 19 ans pour énumérer complètement l'espace du mot de passe. (Cependant, personne ne casse le code de verrouillage à 6 chiffres avec des attaques frontales; des dictionnaires sont utilisés dans lesquels les codes de verrouillage sont triés par fréquence d'utilisation).
Protection contre la récupération des données
Il semblerait qu'un code de verrouillage à 6 chiffres et 19 ans de casse n'est déjà pas mauvais. Cependant, les progrès ne s'arrêtent pas et il existe déjà au moins deux solutions sur le marché (le développement des sociétés Cellebrite et GrayShift pour la police et les services spéciaux) qui peuvent accélérer considérablement la recherche dans les cas où le téléphone est entré dans l'AFU (After First Unlock, c'est-à-dire qu'il a été supprimé de l'utilisateur à l'état activé et l'utilisateur a déverrouillé l'appareil au moins une fois après un redémarrage). De plus, pour de tels appareils (et cela, notons-le, la grande majorité des téléphones saisis), ces solutions ont également un mode spécial dans lequel une partie des données (ici je m'excuse à l'avance - sans détails) est récupérée même sans avoir besoin de casser le code de verrouillage. Désespéré de protéger leurs appareils contre les vulnérabilités exploitées par Cellebrite et GrayShift, Apple a décidé de prendre une mesure désespérée qui a provoqué un débat houleux parmi toutes les personnes impliquées. Cette étape est l'introduction à iOS 11.4.1 (et une amélioration supplémentaire dans iOS 12) du mode de restriction d'accès ou du mode restreint USB.
Restriction d'accès USB
Étant donné que GrayKey et Cellebrite UFED (ou le service CAS) se connectent à l'iPhone pour transférer des données via le port Lightning (ce qui est exactement le cas, ils n'utilisent aucun service ou port de diagnostic), alors désactivons-nous complètement ce port? Non, nous lui permettrons de facturer (et même dans ce cas pas de frais), mais nous piraterons complètement la possibilité de transfert de données! Avec le mode de transfert de données désactivé, GrayKey et UFED ne pourront même pas voir l'iPhone, et plus encore - en extraire des informations!
Nous sommes donc passés au mode de restriction d'accès, ou au mode restreint USB. Les deux noms ne sont pas officiels; Apple lui-même ne met pas particulièrement en valeur ce mode. L'article
Utilisation des accessoires USB avec iOS 11.4.1 et versions ultérieures dit ce qui suit:
Dans iOS 11.4.1 et versions ultérieures, [...] vous devrez peut-être déverrouiller l'appareil pour reconnaître et utiliser l'accessoire ultérieurement. L'accessoire restera connecté, même si l'appareil est par la suite bloqué. Si vous ne déverrouillez pas d'abord le périphérique iOS protégé par mot de passe (ou le déverrouillez et le connectez à un accessoire USB dans la dernière heure), le périphérique iOS n'interagira pas avec l'accessoire ou l'ordinateur et, dans certains cas, il pourrait ne pas se charger. Une notification peut également apparaître indiquant que l'appareil doit être déverrouillé pour utiliser des accessoires.Ce qui suit décrit les étapes afin de désactiver cette fonctionnalité (par défaut - active).
Vous pouvez faire en sorte que votre appareil iOS ait toujours accès aux accessoires USB. [...] Sur de nombreux appareils auxiliaires, un paramètre est automatiquement activé, ce qui permet d'accéder aux appareils USB lors de la première connexion. (Je clarifierai: il y a une inexactitude de traduction claire. L'article original en anglais utilise le libellé «De nombreux appareils d'assistance activent automatiquement le paramètre pour autoriser les appareils USB la première fois qu'ils sont connectés», c'est-à-dire que «de nombreux appareils à accès universel peuvent activer automatiquement ce ». Sur les appareils eux-mêmes, comme indiqué dans le texte en langue russe d'Apple, en fait, rien n'est allumé).
Si vous ne vous connectez pas régulièrement aux accessoires USB, vous devrez peut-être activer cette option manuellement.
Dans le menu Paramètres, sélectionnez «Face ID et code de mot de passe» ou «Touch ID et code de mot de passe» et activez l'accès aux accessoires USB dans la section «Accès à l'écran verrouillé».Si l'accès aux accessoires USB est désactivé [...], vous devrez peut-être déverrouiller votre appareil iOS pour vous connecter aux accessoires USB.
Remarque: le mode de restriction d'accès est activé lorsque le commutateur d'accessoires USB est désactivé.Soit dit en passant, le mode de restriction d'accès pour les accessoires est instantanément activé lorsque l'utilisateur active le mode SOS sur le téléphone, pour lequel, selon le modèle, vous devez appuyer plusieurs fois sur le bouton d'alimentation de l'écran (3 ou 5 selon le marché), ou maintenir le bouton enfoncé allumez l'écran et l'un des boutons de contrôle du volume.
Que fait ce mode? En mode de restriction d'accès aux accessoires, l'iPhone ou l'iPad désactive complètement tout échange de données via le port Lightning intégré à l'appareil. La seule chose qui reste disponible est la recharge (en pratique, même ce n'est pas toujours le cas). Du point de vue d'un ordinateur ou d'un autre appareil auquel l'iPhone sera connecté en mode protecteur, le téléphone ne sera pas différent d'une batterie externe.
Comment ça marche? Au niveau philistin - très bien. Oubliez iOS 11.4.1, après tout, cette version du système existe depuis plus d'un an. Dans les versions actuelles d'iOS (à partir d'iOS 12), l'accès aux accessoires est bloqué au moment même où l'utilisateur verrouille l'écran de l'iPhone. Il y a des exceptions; par exemple, si vous connectez votre téléphone à un ordinateur ou à d'autres accessoires "numériques" de temps en temps (l'adaptateur pour casque 3,5 mm n'est "pas pris en compte", plus de détails ci-dessous), le mode de protection ne sera pas activé immédiatement après le verrouillage de l'écran, mais après une heure.
Si vous essayez de connecter un iPhone verrouillé à un ordinateur, l'ordinateur ne verra rien: même les informations de base sur l'appareil (comme le modèle, le numéro de série et la version iOS) ne sont pas disponibles. Une notification contextuelle apparaîtra sur l'appareil lui-même, proposant de déverrouiller l'iPhone pour utiliser l'accessoire.
Théoriquement, le mode de protection est assez fiable: le téléphone refusera toujours de communiquer avec l'ordinateur, même s'il est redémarré. Si vous mettez l'iPhone en mode de récupération ou DFU, il devient disponible à partir de l'ordinateur - mais il n'est pas possible d'énumérer les mots de passe dans ces modes. Vous pouvez même remplir le dernier firmware (nous l'avons fait), mais lors du chargement ultérieur sur le système, le port est à nouveau désactivé. En d'autres termes, au niveau philistin, la protection fonctionne.
Et pas au niveau philistin? Nous connaissons deux solutions dont les développeurs
auraient pu contourner la protection. Il s'agit de Cellebrite (une solution hors ligne UFED Premium et un service CAS) et GrayShift (une solution matérielle grayKey). Sous certaines conditions (les conditions n'ont pas été divulguées), les deux fabricants peuvent se connecter à l'iPhone avec un port "bloqué" et mener une attaque sur le code de verrouillage (et dans certains cas, extraire des informations sans le code de verrouillage).
Ainsi, Apple n'a réussi à atteindre son objectif que partiellement. Oui, l'iPhone est un peu plus sûr. Ni un pirate accidentel, ni même les artisans de gangs criminels à la recherche d'iPhone volés ne peuvent contourner cette protection. Mais la police et les services spéciaux ont des chances et sont plutôt bons.
Vulnérabilités de limite d'accès
Je vais immédiatement faire une réservation: je ne sais pas (je ne peux pas «dire», mais je ne sais vraiment pas) les vulnérabilités que Cellebrite et GrayShift utilisent pour contourner la protection des restrictions. Je ne peux faire d'hypothèses qu'à partir d'informations obtenues de sources publiques. La première hypothèse est une vulnérabilité du protocole Lightning. Rappelez-vous, j'ai mentionné l'adaptateur du connecteur Lightning à la sortie casque 3,5 mm? Cet adaptateur n'obéit pas aux règles générales: sa connexion ne réinitialise pas le minuteur d'activation du mode de protection, et si le mode de protection a déjà été activé, vous pouvez connecter et utiliser cet adaptateur sans déverrouiller l'iPhone.
Pendant ce temps, contrairement à de nombreux adaptateurs USB de type C similaires qui utilisent le mode Alt USB pour transmettre un signal analogique, cet adaptateur est un
appareil numérique à part entière
avec une puce DAC intégrée . Autrement dit, même en mode «protecteur», l'iPhone transmet toujours certaines données via un port apparemment bien bloqué. Mais que se passe-t-il si notre appareil «fait semblant» d'être un adaptateur pour activer le port, et qu'il suit la chaîne des vulnérabilités? Ce n'est qu'une hypothèse, mais l'option semble plausible.
La deuxième hypothèse est à nouveau la vulnérabilité Lightning, mais quelque peu d'un autre côté. Récemment, il s'est avéré qu'un autre adaptateur Apple, l'adaptateur Lightning vers HDMI, est en fait un
ordinateur avec Secure Boot et Darwin Core intégrés . De plus, cet adaptateur n'a pas son propre firmware; le firmware y est téléchargé depuis l'iPhone à chaque fois qu'un utilisateur connecte un adaptateur. Dans le même temps, le firmware n'est pas signé avec un identifiant unique, la signature numérique est statique. Il est peu probable que la vulnérabilité ait été trouvée dans cet adaptateur particulier, mais l'idée semble assez prometteuse.
Enfin, il existe également des dispositifs «d'accès universel» qui peuvent être utilisés par les malvoyants, les personnes ayant une déficience motrice fine et d'autres catégories d'utilisateurs qui ont besoin de dispositifs spéciaux pour communiquer avec l'iPhone. Cette catégorie d'appareils a un statut spécial; selon la documentation Apple, leur utilisation entraîne la désactivation des restrictions d'accès aux accessoires. Vous pouvez essayer d'imaginer une attaque dans laquelle notre appareil apparaîtra d'abord comme un adaptateur 3,5 mm (l'échange de données a commencé), puis comme un accessoire pour les personnes ayant une déficience motrice fine (en d'autres termes, un clavier externe).
Pourquoi est-ce que je pense que la vulnérabilité réside dans le protocole Lightning? Sur le marché noir, vous pouvez trouver à la fois des modèles «d'ingénierie» de différentes versions de l'iPhone, dans lesquels une partie du matériel de protection est désactivée, ainsi que des câbles spéciaux qui offrent des fonctions supplémentaires. C'était un
article détaillé
en anglais ; voici un article en
russe qui y fait référence. Et
ici, ils ont posté une photo d'un câble d'ingénierie spécial - hélas, sans détails. Plus en détail sur Lightning en général, vous pouvez lire
ici .
Y a-t-il un avantage à restreindre l'accès aux accessoires?
Quelle est l'utilité du mode de restriction d'accès? Après tout, Cellebrite et GrayShift peuvent-ils contourner cela? Ici, je veux faire attention à deux choses. Premièrement, peu de gens savent exactement comment, dans quels cas et pour quelles combinaisons particulières de versions matérielles et iOS, les deux sociétés mentionnées peuvent contourner le mode de protection. Les informations sont délivrées par les entreprises de manière strictement dosée, strictement confidentielle et exclusivement aux utilisateurs de leurs produits après signature d'un accord de confidentialité. Deuxièmement, les utilisateurs des produits des deux sociétés sont exclusivement des services répressifs et des services spéciaux d'un certain nombre de pays, dont la Russie n'est pas actuellement incluse. Ainsi, rien ne menace personnellement vos données et votre appareil sur le territoire de la Russie: d'autres solutions similaires n'existent tout simplement pas maintenant.
Ainsi, en utilisant ce mode (il est activé automatiquement pour tous les utilisateurs et reste actif si vous-même ou l'un des accessoires d'accès universel ne le désactivez pas), vous pouvez obtenir immédiatement un degré de protection supplémentaire contre le craquage de mot de passe et la fuite de données après le verrouillage de l'écran. Cependant, même si vous avez connecté votre iPhone à un ordinateur ou à un adaptateur au cours des trois derniers jours, le transfert de données sera toujours bloqué pendant une heure.
Liens connexes: