В современных iPhone длина PIN-кода по умолчанию — шесть цифр. В теории такие пароли в сотню раз безопаснее ранее использовавшихся четырёхзначных паролей, но так ли это на самом деле? В этой статье мы рассмотрим возможные варианты парольной защиты, встроенные в iOS механизмы защиты от перебора, «чёрные списки» слабых паролей и их реальную эффективность.

Что такое PIN-код и чем он отличается от кода блокировки?

В большинстве материалов, в которых мы упоминаем код блокировки экрана, мы называем его «паролем», «кодом блокировки», реже — «код-паролем» или калькой с английского «пасскод». Все эти термины относятся к одному и тому же (код-паролю, который необходимо ввести для разблокировки экрана устройства), но есть нюансы.

Традиционно PIN-кодом называли код, состоящий из четырёх цифр. В iOS поддерживаются шестизначные PIN-коды и коды произвольной длины, также состоящие из одних цифр. А вот код блокировки экрана, состоящий из набора буквенно-цифровых символов, PIN-кодом уже не называется, поэтому обобщённо все возможные варианты код-паролей мы обычно и называем собирательным термином «код блокировки экрана». В этой статье речь пойдёт исключительно о PIN-кодах длиной в 4 и 6 цифр.

Зачем эксперту PIN-код?

Зачем эксперту-криминалисту нужен PIN-код от iPhone, если телефон можно разблокировать биометрическим датчиком Face ID или Touch ID? Вопрос здесь в степени доступа к устройству, которые дают разные способы разблокировки. Так, разблокировка по датчику биометрии также разблокирует и USB порт устройства, но вот для сопряжения телефона с компьютером (а это необходимо, например, для создания резервной копии в рамках логического анализа) уже потребуется PIN-код. PIN-код понадобится и для разблокировки устройства, которое было выключено или перезагружено. Более того, без PIN-кода не удастся даже извлечь данные из тех моделей iPhone, для которых доступен эксплойт загрузчика checkm8.

В следующей таблице приводятся основные различия между использованием датчиков биометрии и PIN-кода.

BFU — Before First Unlock, устройство в состоянии «до первой разблокировки», сразу после загрузки или перезагрузки.

AFU — After First Unlock, устройство, которое было хотя бы единожды разблокировано кодом блокировки экрана после загрузки.

* При разблокировке биометрическим датчиком ограничения USB отключаются, но для сопряжения устройства с новым компьютером всё равно потребуется ввести PIN-код.

Оценка рисков

В контексте криминалистического анализа возможность восстановления PIN-кода критична для получения доступа к данным, хранящимся на устройстве. Однако при включённой опции Erase Data есть риск сброса устройства с полной потерей данных после 10 неверных попыток. Если опция Erase Data включена, после 10 последовательных неправильных попыток ввода пароля всё содержимое и настройки удаляются из памяти устройства. Последовательные попытки ввода одного и того же неправильного пароля не учитываются при подсчёте лимита. Эта настройка также доступна как административная политика через  MDM или Microsoft Exchange ActiveSync, в случае использования которых пороговое значение может быть установлено более низким.

Риск восстановления PIN-кодов при включенной опции Erase Data высок, и в каждом случае необходимо тщательно соотнести ценность возможного доступа к данным с потенциальным риском безвозвратного удаления важной информации. Поэтому, если вы собираетесь попытаться восстановить PIN-код, будьте осторожны, чтобы не превысить допустимое количество неправильных попыток.

Внимание: опция Erase Data может быть установлена на более низкий порог через MDM или Microsoft Exchange ActiveSync, что может сделать атаку PIN-кода ещё более рискованной.

Замедление перебора

В статье Apple Passcodes and passwords компания делится подробностями о том, каким образом прогрессивные задержки защищают пользователя от подбора PIN-кода.

Слабые PIN-коды

Не все PIN-коды одинаково безопасны. В исследовании PIN number analysis (datagenetics.com) приводится несколько таблиц со списками небезопасных PIN-кодов. Так, в таблице, состоящей из всего двух десятков PIN-кодов (даже с прогрессивными задержками их перебор займёт около 11 часов), приведены пароли, которые устанавливают на свои смартфоны 26.83% пользователей:

Этот список полезен при проведении «холодной» атаки, когда о личности подозреваемого ничего не известно. В этом случае можно попробовать и больший список распространённых PIN-кодов, таких как те, что опубликованы на github. Помимо 4-значных и 6-значных «чёрных списков», извлечённых из Apple iOS, авторы также создали черные списки на основе данных, которые значительно (в 10 раз) меньше (27/29 PIN-кодов) и в 10 раз больше (2740/291 000 PIN-кодов), чем блок-листы iOS. Некоторые из этих можно скачать по ссылке This PIN Can Be Easily Guessed.

Социальный инжиниринг

Список распространённых PIN-кодов полезен, если вы ничего не знаете о подозреваемом. Однако, если у вас есть какая-то информация о них, лучшей стратегией атаки будет сначала попробовать небольшой список самых популярных PIN-кодов, а затем список PIN-кодов, которые могут иметь значение для подозреваемого. Примеры таких PIN-кодов включают:

• Памятные годы (четыре цифры): даты рождения подозреваемого и членов его семьи; года других знаменательных дат. Многочисленные исследования показывают, что с большей вероятностью встречаются PIN-коды, начинающиеся с 1900 года, а затем PIN-коды, начинающиеся с 2000 года.
• Памятные даты в MMYY, DDMM, MMYYYY и других представлениях (четыре или шесть цифр): сюда также входят значимые даты в различных распространенных представлениях.
• Части телефонных номеров (первые четыре цифры, последние четыре цифры) членов семьи и других близких контактов.

Полезно ли быть слишком умным?

Исследованием безопасности PIN-кодов занимались и занимаются авторы разнообразных исследований. Так, исследователи выяснили причины популярности таких паролей, как 696969 или 159753 (представление буквы «X» на цифровой клавиатуры). Те или иные PIN-коды становятся популярными по самым разнообразным причинам от простоты запоминания набора цифр до тактильного удобства ввода включительно. Эти причины подробно разобраны в таких исследованиях, как PIN number analysis (datagenetics.com), [2003.04868] This PIN Can Be Easily Guessed: Analyzing the Security of Smartphone Unlock PINs (arxiv.org) или (PDF) On the Security of Smartphone Unlock PINs (researchgate.net). Ознакомиться с этими работами в любом случае полезно, но их практическая ценность в конечном итоге сводится к нескольким спискам часто употребляемых PIN-кодов, ссылки на которые мы уже привели выше по тексту. Соответственно, для проведения качественной атаки достаточно применить один или несколько таких списков, дополнив их при возможности данными социального инжиниринга по следующей методике.

Холодная атака (данных о владельце устройства нет)

1. Список распространённых PIN-кодов

Есть данные о владельце

1. Короткий список распространённых PIN-кодов
2. PIN-коды, составленные из памятных годов и дат в различных представлениях, а также частей номеров телефонов
3. Полный список распространённых PIN-кодов

Чёрные списки и стоп-листы

Чёрный список — это список самых распространённых PIN-кодов, использовать которые не рекомендуется, но не возбраняется: пользователь, желающий установить на свой iPhone пароль «1111», получит предупреждение, что код небезопасен, но при желании сможет его установить. Стоп-лист — тот же чёрный список, только установить небезопасный PIN-код у пользователя не получится. В устройствах Apple используется концепция чёрного списка — то есть, пользователь получит предупреждение, но установить небезопасный пароль всё-таки сможет. В исследовании Philipp Markert, Daniel V. Bailey, Maximilian Golla, Markus Dürmuth и Adam J. Aviv в 2020 году описаны чёрные списки, извлечённые из iOS. В них входят 274 четырёхзначных PIN-кода и 2910 шестизначных. Авторы пришли к выводу, что неблокирующие чёрные списки такого размера не оказывают существенного влияния на безопасность устройств в условиях прогрессивных задержек.

С другой стороны, эти списки представляют собой готовые списки часто используемых паролей; бери и пользуйся.

Список литературы

Мы собрали подборку материалов (в основном — англоязычных) на тему безопасности PIN-кодов:

• PIN number analysis (datagenetics.com)
• [2003.04868] This PIN Can Be Easily Guessed: Analyzing the Security of Smartphone Unlock PINs (arxiv.org)
• This PIN Can Be Easily Guessed (this-pin-can-be-easily-guessed.github.io)
• (PDF) On the Security of Smartphone Unlock PINs (researchgate.net)
• An analysis of chosen alarm code pin numbers & their weakness against a modified brute force attack (ecu.edu.au)
• Avian’s Blog: Analyzing PIN numbers (tablix.org)

Есть и исследование паттернов блокировки для Android:

• GitHub — delight-im/AndroidPatternLock: List of all combinations for the Android pattern lock

На русском языке доступны следующие статьи:

• Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 1 / Хабр (habr.com)
• Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 2 / Хабр (habr.com)