Со времени легендарного противостояния с ФБР, предметом которого был айфон, оказавшийся в центре дела о стрельбе в Сан-Бернардино в 2016 году, компания «Эппл» инвестировала значительную долю своих обширных ресурсов на неприкосновенность и безопасность айфонов. Совсем недавно компания выпустила смартфоны, которые, по мнению некоторых людей, являются самыми безопасными, созданными для широкой публики.
Однако кое-кто считает, что правительство, правоохранительные органы и их технические партнеры в данный момент переживают «золотой век» взлома айфонов.
Именно такую формулировку использовал бывший специалист по криминалистике из полиции Западной Вирджинии Крис Ванс (Chris Vance), выступая в августе в интернет-трансляции, посвященной новейшей технологии взлома айфонов под названием «ГрейКи» (GrayKey). В публикации журнала «Форбс» в марте производитель «ГрейКи» компания «Грейшифт» (Grayshift) заявляла, что может взламывать заблокированные айфоны, даже последние модели с самой современной версией IOS.
Но когда Ванс пять месяцев спустя рассказывал о безмятежной поре криминалистов, специализирующихся на айфонах, он прямо рассказал о способности «ГрейКи» собирать данные с устройств компании «Эппл», а не только о технике получения паролей. Потому что «ГрейКи» делает то, что другие не могут: захватывает всю файловую систему айфона. Ванс охарактеризовал это как «одно из важнейших достижений в области криминалистики за многие годы». Он даже отправил в «Грейшифт» заблокированный с помощью пароля айфон X, и компания открыла всю файловую систему и все интересные данные, находившиеся на телефоне. В последний раз федералы получали столь глубокий доступ к неразблокированным сотовым телефонам системы IOS в случае с айфоном 4, выпущенным в 2010 году, говорит Ванс, работающий теперь исследователем у подрядчика канадского правительства «Мэгнет Форенсикс» (Magnet Forensics).
В системе файлов находится множество данных, которые могут оказаться бесценными для полиции, считает Ванс. Личные сообщения в Фейсбуке и в Инстаграме теперь легко получить. Как и все данные электронной почты из почтового приложения. То же самое и с удаленными текстовыми сообщениями, даже если их стерли немедленно после отправки или получения.
Добавьте к этому открытые окна браузера не только на айфоне, но и на синхронизированных с ним макбуках и айпадах. А также информацию о том, какие точки доступа вай-фай были использованы разными приложениями. Плюс к этому из памяти добываются данные поисков в Гугл.
Существует также значительное количество данных о местоположении, которые добывает «ГрейКи». «Сейчас имеется такое большое количество данных о местоположении, что прямо сейчас мы способны наконец снова заниматься изысканиями и глубоким анализом», — рассказал Ванс.
Даже помимо «ГрейКи», при помощи других инструментов таких компаний, как «Селлебрайт», «Элкомсофт», «Мэгнет» и «Оксиджен», правоохранительные органы могут получить из айфонов самую разную информацию. Еще до информации о «ГрейКи» «Форбс» рассказал, что израильская компания «Селлебрайт» хвасталась способностью разблокировать последние модели айфонов, и это было в феврале 2018 года.
Однако легко понять, почему при наличии всех данных, доступных правоохранительным органам благодаря «Грейшифт», Ванс и другие вооружаются «ГрейКи». Американские власти выдали себя. Среди последних клиентов «Грейшифт» числятся федеральное агентство по борьбе с наркотиками и бюро по обеспечению соблюдения иммиграционных и таможенных правил. Последняя сделка, оцененная в 384 тысячи долларов, взбудоражила активистов в области защиты прав человека, учитывая жесткую политику президента Трампа в отношении иммиграции.
Новые айфоны предлагают большую безопасность
Почти неудивительно в таком случае, что «Эппл» вкладывает силы в безопасность и защиту личных данных. Айфоны XS, XR и XS Max, появившиеся в магазинах в пятницу, называют самыми безопасными моделями за всю историю.
И для этого есть основания. Существует ряд значительных инноваций, которые невероятно улучшают технику. Например, коды аутентификации Пойнтер являются попыткой гарантировать подлинность знаков, указывающих на данные, проходящие через микросхему. «Это увеличивает уровень сложности для разнообразных атак», — говорит Никиас Бассен (Nikias Bassen), известный взломщик айфонов, работающий теперь на компанию, занимающуюся мобильной безопасностью «Зимпериум» (Zimperium). Он указал на распространенную форму атаки, которые обновления от «Эппл» должны предотвращать. Этот вид атаки известен под названием возвратно-ориентированного программирования (сокращенно ROP), в ходе атаки происходит попытка добиться от устройства использования легитимного кода в коварных целях.
В IOS 12 есть многое, что может обрадовать с точки зрения защиты личных данных. В системе действует интеграция с менеджерами паролей и автозаполнением для одноразовых кодов аутентификации. И то, и другое должно облегчить управление логинами со сложными паролями. И, что является самым главным, пользователи теперь могут включать автоматическое обновление. Несмотря на то, что это необязательно, всем рекомендуется включить его, — советует Райан Стортц (Ryan Stortz), исследователь в сфере безопасности в «ТрейлофБитс» (TrailofBits).
Далее существует режим ограничения USB, который в некоторой степени справляется с такими безвыходными инструментами, как «ГрейКи». Когда его включают, по умолчанию любой айфон, который был заблокирован в течение часа, не может передавать данные подключенному к нему компьютеру — жизненно необходимому для работы криминалистов — пока физически не введен пароль. В IOS 12 эта особенность получила дальнейшее развитие. Если прошло более трех дней с момента последнего подключения айфона к компьютеру, передача данных невозможна. А если айфон находится в состоянии, когда для разблокировки требуется отпечаток пальца или лицо, например, при перезагрузке гаджета, включается режим ограничения USB.
Бесконечная война айфона
Все эти обновления в некоторой степени уничтожают функциональность криминалистического анализа. Однако помогут ли они «Эппл» положить конец этой «золотой эпохе» криминалистических исследований айфонов?
Вероятно, нет. Лука Тодеско (Luca Todesco), молодой взломщик айфонов и хакер, заявляет, что он уже нашел способ обойти защиту, предлагаемую кодами аутентификации Пойнтер. «Существуют реалистичные ограничения его возможностей, и это не панацея, — сказал он нашему изданию. — Это безусловный шаг вперед, это поднимает планку. Но, как говорится, полной безопасности не бывает». Еще до проделанной Тодеско работы уже был выявлен обход режима ограничения USB с использованием оборудования стоимостью всего в десять долларов. Ванс даже составил список USB-модемов, которые могут использовать полицейские для того, чтобы устройства не переключились в режим ограничения действия USB.
Однако Владимир Каталов, генеральный директор российской компании «Элкомсофт», занимающейся криминалистическим анализом, считает, что действительно наступил конец золотой эпохи. Несмотря на большое уважение к работе «Грейшифт» по взлому безопасности айфонов, Каталов говорит, что обновления «Эппл» поставят под вопрос смысл существования компании. «ГрейКи» просто не гарантировано будущее, считает опытный эксперт по криминалистике. В «Грейшифт» не ответили на просьбу дать комментарий во время публикации материала.
«Если задуматься, сколько пользователей обновляют свою технику до последней версии IOS, особенно, учитывая, насколько хороша нынешняя версия IOS 12, то „Грейшифт" сегодня поддерживает небольшое меньшинство устройств, — добавляет Каталов. — В конце этого туннеля нет света».