Hoje vou falar sobre uma solução tecnicamente interessante da Apple, através da qual a empresa tentou proteger seus dispositivos contra a adivinhação de senhas - e o que resultou disso. Primeiro, responderei à pergunta: por que preciso de um modo de restringir o acesso a acessórios no iPhone.
Proteção contra a quebra do código de bloqueio da tela
A história básica sobre a segurança do iOS ainda está por vir. Agora, quero focar em um recurso bastante controverso do iOS, que torna a segurança de todos os dados do usuário no dispositivo e na conta na nuvem dependente de um único fator: o código de bloqueio de tela. Se o código de bloqueio da tela for conhecido, praticamente todos os dados poderão ser extraídos do iPhone, incluindo senhas de contas. Proteção de backup por senha? Não, eles não ouviram: é como se houvesse, mas para redefini-lo, sabendo que o código de bloqueio é questão de alguns segundos. Desvincular um telefone roubado do iCloud? Se o código de bloqueio for conhecido - não há problema algum; A senha do iCloud muda em alguns segundos e a senha antiga do ID da Apple não é necessária. Autenticação de dois fatores? Ótimo, certifique-se de ativá-lo! Mas somente se o código de bloqueio for conhecido, todo o dispositivo se tornará o segundo fator. Menciono humildemente coisas como o banco de dados de senhas do usuário no iCloud, suas mensagens SMS e iMessage, bem como os dados de Saúde que nossos programas podem descriptografar usando o código de bloqueio (se necessário, primeiro redefinindo a senha da "nuvem" usando o mesmo código de bloqueio único).
Conhecer o código de bloqueio do iPhone pode fazer uma série de coisas surpreendentes; o país deve conhecer seus heróis, e vou escrever sobre isso em detalhes. Não é de surpreender que a última linha de defesa restante - na verdade, o código de bloqueio de tela - na Apple esteja sendo guardada como a menina dos olhos. Por vários anos seguidos, o comprimento padrão do código de bloqueio não é 4, mas 6 dígitos. O Secure Element, o componente de hardware do subsistema de segurança Secure Enclave, com sucesso variável, limita a velocidade da pesquisa. Portanto, para o iPhone ativado (ou reiniciado), a velocidade da pesquisa será lenta; fomos chamados dígitos da ordem de 19 anos para enumerar completamente o espaço da senha. (No entanto, ninguém quebra o código de bloqueio de 6 dígitos com ataques frontais; os dicionários são usados nos quais os códigos de bloqueio são classificados pela frequência de uso).
Proteção de Recuperação de Dados
Parece que um código de bloqueio de 6 dígitos e 19 anos de quebra já não é ruim. No entanto, o progresso não pára e já existem pelo menos duas soluções no mercado (o desenvolvimento das empresas Cellebrite e GrayShift para a polícia e serviços especiais) que podem acelerar significativamente a pesquisa nos casos em que o telefone entrou na AFU (após o primeiro desbloqueio, ou seja, era removido do usuário no estado ligado e o usuário desbloqueou o dispositivo pelo menos uma vez após uma reinicialização). Além disso, para esses dispositivos (e isso, notamos, a grande maioria dos telefones apreendidos), essas soluções também têm um modo especial no qual parte dos dados (aqui peço desculpas antecipadamente - sem detalhes) é recuperada mesmo sem a necessidade de decifrar o código de bloqueio. Desesperada para proteger seus dispositivos contra as vulnerabilidades exploradas pela Cellebrite e GrayShift, a Apple decidiu dar um passo desesperado que causou acalorado debate entre todos os envolvidos. Esta etapa é a introdução ao iOS 11.4.1 (e aprimoramento adicional no iOS 12) do modo de restrição de acesso ou modo restrito USB.
Restrição de acesso USB
Como o GrayKey e o Cellebrite UFED (ou o serviço CAS) se conectam ao iPhone para transferir dados pela porta Lightning (que é exatamente o caso, eles não usam nenhum serviço ou porta de diagnóstico), então vamos desativar essa porta completamente? Não, permitiremos que ele carregue (e mesmo assim não pague), mas invadiremos completamente a possibilidade de transferência de dados! Com o modo de transferência de dados desativado, o GrayKey e o UFED nem poderão ver o iPhone, e mais ainda - para extrair informações dele!
Então, chegamos ao modo de restrição de acesso ou modo restrito USB. Ambos os nomes não são oficiais; A própria Apple não destaca esse modo particularmente. O artigo
Usando acessórios USB no iOS 11.4.1 e posterior diz o seguinte:
No iOS 11.4.1 e posterior, [...] pode ser necessário desbloquear o dispositivo para reconhecer e usar o acessório posteriormente. O acessório permanecerá conectado, mesmo se o dispositivo for bloqueado posteriormente. Se você não desbloquear primeiro o dispositivo iOS protegido por senha (ou desbloqueá-lo e conectá-lo a um acessório USB na última hora), o dispositivo iOS não interagirá com o acessório ou o computador e, em alguns casos, poderá não ser carregado. Uma notificação também pode parecer que o dispositivo deve estar desbloqueado para usar acessórios.A seguir, são descritas as etapas para desativar esse recurso (por padrão - ativo).
Você pode fazer com que seu dispositivo iOS sempre tenha acesso a acessórios USB. [...] Em muitos dispositivos auxiliares, um parâmetro é ativado automaticamente, o que fornece acesso aos dispositivos USB na primeira conexão. (Esclarecemos: há uma clara imprecisão da tradução. O artigo original em inglês usa a expressão "Muitos dispositivos auxiliares ativam automaticamente a configuração para permitir dispositivos USB na primeira vez em que são conectados", ou seja, "muitos dispositivos de acesso universal podem ativar automaticamente esse recurso. configuração. ”Nos próprios dispositivos, como segue o texto em russo da Apple, nada está ativado).
Se você não conectar os acessórios USB regularmente, talvez seja necessário ativar essa opção manualmente.
No menu Configurações, selecione “ID da face e código de senha” ou “ID de toque e código de senha” e habilite o acesso aos acessórios USB na seção “Acesso à tela de bloqueio”.Se o acesso aos acessórios USB estiver desativado, [...] pode ser necessário desbloquear o dispositivo iOS para conectar-se aos acessórios USB.
Atenção: o modo de restrição de acesso é ativado quando a chave de acessórios USB é desligada.A propósito, o modo de restrição de acesso aos acessórios é ativado instantaneamente quando o usuário ativa o modo SOS no telefone, para o qual, dependendo do modelo, você precisa pressionar o botão liga / desliga da tela várias vezes (3 ou 5, dependendo do mercado), ou pressionar o botão ligue a tela e qualquer um dos botões de controle de volume.
O que esse modo faz? No modo de restringir o acesso a acessórios, o iPhone ou iPad desabilita completamente qualquer troca de dados através da porta Lightning incorporada ao dispositivo. A única coisa que permanece disponível é o carregamento (na prática, mesmo que nem sempre seja). Do ponto de vista de um computador ou outro dispositivo ao qual o iPhone será conectado no modo de proteção, o telefone não será diferente de uma bateria externa.
Como isso funciona? Em um nível filistino - tudo bem. Esqueça o iOS 11.4.1, afinal, esta versão do sistema existe há mais de um ano. Nas versões atuais do iOS (começando com o iOS 12), o acesso aos acessórios é bloqueado no momento em que o usuário bloqueia a tela do iPhone. Há exceções; por exemplo, se você conectar seu telefone a um computador ou outros acessórios "digitais" de tempos em tempos (o adaptador para fones de ouvido de 3,5 mm "não é considerado", mais sobre isso abaixo), o modo de proteção não será ativado imediatamente após o bloqueio da tela, mas após uma hora.
Se você tentar conectar um iPhone bloqueado a um computador, o computador não verá nada: nem mesmo as informações básicas sobre o dispositivo (como modelo, número de série e versão do iOS) não estão disponíveis. Uma notificação pop-up aparecerá no próprio dispositivo, oferecendo o desbloqueio do iPhone para usar o acessório.
Teoricamente, o modo de proteção é bastante confiável: o telefone ainda se recusará a se comunicar com o computador, mesmo que seja reiniciado. Se você colocar o iPhone no modo Recuperação ou DFU, ele ficará disponível no computador - mas não será possível enumerar senhas nesses modos. Você pode até preencher o firmware mais recente (nós o fizemos), mas após o carregamento subsequente no sistema, a porta é desativada novamente. Em outras palavras, no nível filistino, a proteção funciona.
E não no nível filistino? Estamos cientes de duas soluções cujos desenvolvedores
supostamente conseguiram burlar a proteção. São Cellebrite (uma solução offline UFED Premium e serviço CAS) e GrayShift (uma solução de hardware grayKey). Sob certas condições (as condições não foram divulgadas), os dois fabricantes podem se conectar ao iPhone com uma porta "bloqueada" e executar um ataque ao código de bloqueio (e, em alguns casos, extrair algumas informações sem o código de bloqueio).
Assim, a Apple conseguiu atingir seu objetivo apenas parcialmente. Sim, o iPhone é um pouco mais seguro. Nem um cracker acidental, nem mesmo artesãos de gangues de caçadores de iPhones roubados podem ignorar essa proteção. Mas a polícia e os serviços especiais têm chances e são muito bons.
Vulnerabilidades de limite de acesso
Farei uma reserva imediatamente: não conheço (não sei dizer, mas realmente sou desconhecida) as vulnerabilidades que a Cellebrite e a GrayShift usam para contornar a proteção das restrições. Só posso fazer suposições a partir de informações obtidas de fontes públicas. A primeira suposição é uma vulnerabilidade no protocolo Lightning. Lembre-se, mencionei o adaptador do conector Lightning para a saída de fone de ouvido de 3,5 mm? Este adaptador não obedece às regras gerais: sua conexão não redefine o timer de ativação do modo de proteção e, se o modo de proteção já estiver ativado, você poderá conectar e usar este adaptador sem desbloquear o iPhone.
Enquanto isso, ao contrário de muitos adaptadores USB Tipo C similares que usam o Modo Alt USB para transmitir um sinal analógico, esse adaptador é um
dispositivo digital completo
com um chip DAC embutido . Ou seja, mesmo no modo "protetor", o iPhone ainda transmite alguns dados através de uma porta aparentemente bem bloqueada. Mas e se o nosso dispositivo "fingir" ser um adaptador para ativar a porta e depois seguir a cadeia de vulnerabilidades? Isso é apenas uma suposição, mas a opção parece plausível.
A segunda suposição é novamente a vulnerabilidade do Lightning, mas por outro lado. Recentemente, descobriu-se que outro adaptador da Apple, o adaptador Lightning para HDMI, é na verdade um
computador com um núcleo seguro de inicialização e núcleo de Darwin . Além disso, este adaptador não possui seu próprio firmware; o firmware é baixado do iPhone sempre que um usuário conecta um adaptador. Ao mesmo tempo, o firmware não é assinado com um identificador exclusivo, a assinatura digital é estática. É improvável que a vulnerabilidade tenha sido encontrada nesse adaptador em particular, mas a ideia parece bastante promissora.
Por fim, também existem dispositivos de "acesso universal" que podem ser usados por deficientes visuais, pessoas com habilidades motoras finas e outras categorias de usuários que precisam de dispositivos especiais para se comunicar com o iPhone. Esta categoria de dispositivos tem um status especial; de acordo com a documentação da Apple, seu uso leva à desativação de restrições de acesso a acessórios. Você pode tentar imaginar um ataque no qual nosso dispositivo aparecerá primeiro como um adaptador de 3,5 mm (a troca de dados foi iniciada) e, em seguida, como um acessório para pessoas com problemas motores finos (em outras palavras, um teclado externo).
Por que eu acho que a vulnerabilidade está no protocolo Lightning? No mercado negro, você pode encontrar os dois modelos de "engenharia" de diferentes versões do iPhone, nos quais parte do hardware de proteção está desativada, além de alguns cabos especiais que fornecem funções adicionais. Este foi um
artigo detalhado
em inglês ; aqui está um
artigo em russo que se refere a ele. E
aqui eles postaram uma foto de um cabo de engenharia especial - infelizmente, sem detalhes. Além disso, em detalhes sobre o Lightning em geral, você pode ler
aqui .
Existe algum benefício em restringir o acesso a acessórios?
Quão útil é o modo de restrição de acesso? Afinal, tanto a Cellebrite quanto a GrayShift podem resolver isso? Aqui eu quero prestar atenção em duas coisas. Em primeiro lugar, poucas pessoas sabem exatamente como, em quais casos e para quais combinações específicas de hardware e versões do iOS as duas empresas mencionadas podem ignorar o modo de proteção. As informações são emitidas pelas empresas de forma estritamente administrada, estritamente confidencial e exclusivamente para os usuários de seus produtos após a assinatura de um acordo de não divulgação. Em segundo lugar, os usuários dos produtos de ambas as empresas são exclusivamente agências policiais e serviços especiais de vários países, entre os quais a Rússia não está atualmente incluída. Portanto, nada ameaça pessoalmente seus dados e seu dispositivo no território da Rússia: outras soluções semelhantes simplesmente não existem agora.
Portanto, usando este modo (ele é ativado automaticamente para todos os usuários e permanece ativo se você ou qualquer um dos acessórios de acesso universal não o desativar), você pode obter um grau adicional de proteção contra quebra de senha e vazamento de dados imediatamente após o bloqueio da tela. No entanto, mesmo se você conectou o iPhone a um computador ou adaptador nos últimos três dias, a transferência de dados ainda será bloqueada por uma hora.
Links relacionados: