„iOS 11.4“ išjungti USB prievadą po 7 dienų: ką tai reiškia mobiliajai kriminalistikai

ATNAUJINTI 2018 m. Birželio 2 d .: „USB Restricted Mode“ nepateko į „iOS 11.4“. Tačiau „iOS 11.4.1“ versijoje „Beta USB Restricted Mode“ atėjo

Naujas „iOS“ naujinys netrukus pasirodys per kelias savaites ar net dienas. Skaitydami „Apple“ dokumentus ir tyrinėdami kūrėjų beta versijas, atradome naują pagrindinę saugos funkciją, kurią ketinama išleisti su „iOS 11.4“. Atnaujinus „Lightning“ prievadas bus išjungtas po 7 dienų nuo paskutinio įrenginio atrakinimo. Ką reiškia ši saugumo priemonė, kokios priežastys slypi ir ką galima padaryti? Pažvelkime atidžiau.

Ribotas USB režimas „iOS 11.4“

„IOS 11.4 Beta“ „Apple“ pristatė naują pavadinimą „USB Restricted Mode“. Iš tikrųjų ši funkcija pirmą kartą pasirodė „iOS 11.3 Beta“, tačiau vėliau buvo pašalinta iš galutinio leidimo. Tai veikia taip:

„Norint pagerinti saugumą, norint, kad užrakintas„ iOS “įrenginys galėtų bendrauti su USB priedais, bent kartą per savaitę turite prijungti priedą per žaibinę jungtį prie įrenginio, arba atrakinti, arba įvesti įrenginio kodą, kai esate prijungtas.“

Riboto USB režimo funkcionalumas iš tikrųjų yra labai paprastas. Kai „iPhone“ ar „iPad“ bus atnaujintas į naujausią „iOS“ versiją, palaikančią šią funkciją, įrenginys išjungs USB duomenų ryšį per „Lightning“ prievadą praėjus savaitei po paskutinio įrenginio atrakinimo.

Šiuo metu vis dar neaišku, ar USB prievadas yra užblokuotas, jei įrenginys nebuvo atrakintas slaptažodžiu 7 dienas iš eilės; jei įrenginys visiškai nebuvo atrakintas (slaptažodis ar biometriniai duomenys); arba jei įrenginys nebuvo atrakintas ar prijungtas prie patikimo USB įrenginio ar kompiuterio. Atlikdami bandymą, mes galėjome patvirtinti USB užraktą po to, kai prietaisas 7 dienas buvo neveikiantis. Per šį laikotarpį mes nebandėme atrakinti įrenginio naudodami „Touch ID“ arba prijungti jį prie suporuoto USB įrenginio. Tačiau mes žinome, kad po 7 dienų „Lightning“ prievadas tinka tik įkrauti.

Teismo ekspertizės dėl riboto USB režimo

Ribotas USB režimas reikalauja, kad „iPhone“, kuriame veikia 11.3, būtų atrakintas bent kartą per 7 dienas. Priešingu atveju, „Lightning“ prievadas užsiblokuos ir įkraus tik įkrovimo režimą. „IPhone“ ar „iPad“ vis tiek bus įkrautas, tačiau jis nebandys užmegzti duomenų ryšio. Net „Patikėkite šiuo kompiuteriu?“ raginimas nebus rodomas, kai prietaisas bus prijungtas prie kompiuterio, o visi esami užrakinimo įrašai („iTunes“ susiejimo įrašai) nebus gerbiami, kol vartotojas atrakins įrenginį naudodamas kodą.

Kitaip tariant, teisėsauga turės ne daugiau kaip 7 dienas nuo paskutinio įrenginio atrakinimo, kad atliktų išgaunimą naudodama bet kokius žinomus teismo ekspertizės metodus, nesvarbu, ar tai būtų loginis įgijimas, ar slaptažodžio atkūrimas per „GreyKey“ ar kitas paslaugas. Net 7 dienos nėra nurodytos, nes tiksli data ir laikas, kai prietaisas buvo paskutinį kartą atrakintas, gali būti nežinoma.

Riboto USB režimo ir užrakinimo įrašai

Prieš „iOS 11“ galima naudoti esamą užrakto įrašą, norint pasiekti „iPhone“ ar „iPad“ įrenginį, kad būtų sukurta nauja vietinė atsarginė kopija (loginis įgijimas). Iš esmės būtent taip ekspertai logiškai gauna daugumą „iPhone“ ir „iPad“ įrenginių, kurie užrakinti nežinomu slaptažodžiu. Užrakinimo įrašas (nedidelis failas, išimtas iš įtariamojo kompiuterio) leidžia pasiekti esminę informaciją apie įrenginį ir pradėti atsarginės kopijos seką. be kodo.

Be „iTunes“ stiliaus atsarginių kopijų, užrakto įrašas galėtų būti naudojamas medijos failams (paveikslėliams ir vaizdo įrašams) traukti, įdiegtų programų sąrašui pasiekti ir bendrajai informacijai apie įrenginį pasiekti. Sukūrus užrakinimo įrašus, jų galiojimo laikas nesibaigs; Tačiau jei „iPhone“ įjungsite maitinimo ciklą ar perkraukite iš naujo, net galiojantis užrakinimo įrašas bus mažai naudingas, kol neatrakinate įrenginio naudodami kodą dėl viso disko šifravimo.

„iOS 11“ nustatė blokavimo įrašų naudojimo apribojimus. „IOS 11.0“ – 11.2.1 versijoje blokavimo įrašai pasibaigs po tam tikro nenurodyto laiko. Pasibaigus užrakto įrašui, jo nebegalima naudoti užmegzti ryšį su „iOS“ įrenginiu; vartotojui reikės įvesti savo kodą įrenginyje, kad užmegztų naują poravimo ryšį.

„iOS 11.3“ dar labiau apribojo „iTunes“ susiejimo įrašų galiojimo laiką, todėl įrašai nustos galioti po 7 dienų.

Kas nutiks po 7 dienų?

Akivaizdu, kad „iOS“ saugo informaciją apie datą ir laiką, kai įrenginys paskutinį kartą buvo atrakintas arba turėjo duomenų ryšį su USB jungtimi. Praėjus septynioms dienoms, Žaibo uostas bus išjungtas. Kai taip atsitiks, nebegalėsite susieti įrenginio su kompiuteriu ar USB priedu arba naudoti esamo užrakto įrašo, neatrakinę įrenginio su slaptažodžiu. Vienintelis dalykas, kurį galėsite padaryti, yra įkrovimas.

Ar veiks „GreyShift“ ir „Cellerbrite“ sukurti „iPhone“ atrakinimo sprendimai, vis dar yra atviras klausimas.

Švelninimas

Ribotas USB režimas yra nukreiptas tiesiai į teisėsaugą, užkertant kelią įrenginio įsigijimui po to, kai įrenginys buvo saugomas 7 dienas iš eilės, neatrakintas ar neprijungtas prie (suporuoto) kompiuterio ar USB priedo. Šiuo metu siūlome du galimus sušvelninimus.

1. Ištraukite įrenginį per pirmąsias 7 dienas naudodami užrakto įrašą (jei yra).
2. Bandykite atrakinti įrenginį per pirmąsias 7 dienas. Atrakinę sprendimus (pvz., „GreyShift“), ​​bus išjungtas ribotas USB režimas, jei pradinis ryšys užmegztas, kol „Lightning“ prievadas vis dar aktyvus.
3. Jei yra užrakto įrašas, prijungus įrenginį prie suporuoto priedo ar kompiuterio, USB prievadas gali išlikti aktyvus. Tačiau nepamirškite, kad užrakinimo įrašuose dabar nurodoma 7 dienų galiojimo data.

Be to, valdomi įrenginiai gali visam laikui išjungti ribotą USB režimą.

Sėkmės procentas bus pasiektas, kai telefonas bus pristatytas į laboratoriją. Jei telefonas buvo paimtas, kol jis vis dar buvo įjungtas, ir tuo tarpu buvo įjungtas, tikimybė sėkmingai prijungti telefoną prie kompiuterio, norint sukurti vietinę atsarginę kopiją, priklausys nuo to, ar ekspertas turi prieigą prie nesibaigęs užrakinimo failas (susiejimo įrašas). Vis dėlto, jei telefonas pristatomas išjungtas ir slaptažodis nežinomas, geriausiu atveju galimybė sėkmingai ištraukti yra maža.

Kodėl „Apple“ reikalingas ribotas USB režimas

Tiesą sakant, tai buvo tik laiko klausimas. Tokios kompanijos kaip „Cellerbrite“ ir naujausias naujokas „GreyShift“ kuria savo verslą atrakindamos apsaugotus „iPhone“ telefonus. Nors „Cellerbrite“ tai siūlo tik kaip vidinę paslaugą, ir paslauga prieinama tik tam tikroms teisėsaugos agentūroms, turinčioms tinkamus teismo nurodymus, „GreyKey“ tiekia tikrąją atrakinimo įrangą Šiaurės Amerikos teisėsaugai. Abi bendrovės laikosi lūpų dėl technikos detalių, todėl tikslus būdas, kuriuo jie naudojasi prieigai prie įrenginių, „Apple“ nėra žinomi. Tačiau jų galimybė atrakinti net naujausią aparatinę įrangą, naudojančią naujausią „iOS“ versiją, kelia nerimą, todėl „Apple“ imasi veiksmų naudodama USB ribotą režimą.

Išvada

Reaguodama į naujausius įvykius, „Apple“ bandė užkirsti kelią įrenginių eksploatavimui. Ribotas USB režimas po 7 dienų be atrakinimo efektyviai išjungia „iPhone“ arba „iPad“ žaibo prievadus. Nors tai neabejotinai sustiprina bendrą „iOS“ įrenginių saugumą ir efektyviai išjungia loginį gavimą per užrakto įrašus po 7 dienų, kai įrenginys buvo laikomas, jo poveikis „Cellerbrite“ ir „GreyShift“ sukurtoms kodų atrakinimo technikoms dar nematytas.

Ką dar „Apple“ kepa „iOS 11.4“? Neperžiūrėjus ilgo klaidų taisymų ir patobulinimų sąrašo, yra galimybė „iMessage“ sinchronizuoti su „iCloud“ pagaliau išleista „iOS 11.4“. „iMessage“ sinchronizavimas pasirodė ankstyvosiose „iOS 11.0“ beta versijose, tačiau nepateko į galutinį leidimą. Ši funkcija vėl pasirodė „iOS 11.3“ betose versijose, tačiau paskutinę minutę ji buvo atimta iš paskutinio leidimo. Yra ženklų, kurie gali būti paruošti pagrindiniam laikui „iOS 11.4“. Kaip veiks „iMessage“ sinchronizavimas? Kuo jis skirsis nuo „Tęstinumas“ ir kokius iššūkius bei naudą jis pateiks mobiliajai kriminalistinei miniai? Sekite naujienas ir sužinokite!