С выходом iOS 17.3 Apple представила новую функцию — Stolen Device Protection, или «Защита украденного устройства«. Эта функция была разработана для предотвращения несанкционированного доступа к чувствительным данным в случае кражи устройств, когда преступнику удалось подсмотреть пароль блокировки. Однако, несмотря на свою пользу для рядовых владельцев iPhone, она создает значительные препятствия для экспертов по цифровой криминалистике, осложняя легальное извлечение данных из смартфонов, изъятых у преступников.

Как это работает?

До выхода iOS 17.3 (а точнее, iOS 17.3 Developer Preview, в которой впервые появился прототип рассматриваемой функции) для подключения iPhone к компьютеру и подтверждения доверия к устройству требовался только код блокировки экрана. Теперь же у пользователя появилась возможность включить дополнительный уровень защиты. После его активации как для сопряжения с компьютером, так и для совершения целого ряда других действий, затрагивающих чувствительную информацию (их список мы приводили в предыдущей статье на эту тему) кода блокировки уже недостаточно; теперь для сопряжения с новым компьютером нужен и код блокировки экрана, и дополнительная аутентификация с помощью Face ID или Touch ID.

Обратите внимание: в официальном описании функции «Защита украденного устройства» на сайте Apple требование биометрической аутентификации для сопряжения iPhone с компьютером не упоминается; тем не менее, защита срабатывает.

Почему это стало проблемой?

Доступ к данным современных устройств Apple проще всего получить через штатные механизмы, которые используются многими криминалистическими продуктами (в том числе и нашим iOS Forensic Toolkit) в рамках расширенного логического анализа. Альтернативы этому способу — различные виды низкоуровневого извлечения (которые работают либо со старыми устройствами, либо со старыми версиями iOS) и облачный анализ.

Для использования этих механизмов необходимо установить «привязку» или «сопряжение» с компьютером. Данный метод требует, чтобы пользователь вручную подтвердил привязку к компьютеру перед началом извлечения данных. В процессе привязки телефон создаёт пару ключей, один из которых передаётся на компьютер. Без соответствующего ключа обмен данными между смартфоном и компьютером не состоится. Соответственно, перед тем, как произвести логическое извлечение данных, телефон необходимо сопрячь с компьютером (установить привязку). Именно в этот момент установления сопряжения срабатывает новый механизм защиты.

«Защита украденного устройства» значительно затрудняет логическое извлечение данных. Если до появления этой функции для привязки было достаточно разблокировать устройство и ввести код блокировки экрана, то теперь необходимо подтвердить личность владельца биометрией. В случае, если владелец устройства отсутствует или биометрические данные предоставить невозможно, логический анализ смартфона становится практически невозможным.

Альтернативные способы анализа

До сих пор именно логический анализ рассматривался как наиболее простой и совместимый; мы всегда рекомендовали его в качестве альтернативы, если никакие другие способы не работают. В этом контексте реальных альтернатив расширенному логическому извлечению немного. Низкоуровневый анализ имеет ряд ограничений по совместимости; самая свежая версия iOS, которую поддерживает наш агент-экстрактор — iOS 16.6.1, в которой функции «защиты украденных устройств» не было и в помине. У облачного анализа есть свои ограничения; для доступа к основному массиву данных потребуются все учётные данные пользователя, а для расшифровки данных, защищённых сквозным шифрованием — ещё и код блокировки устройства.

Вероятно, единственным методом анализа для защищённых новой функцией устройств будет ручной, механический просмотр содержимого устройства с фото-видео фиксацией и созданием скриншотов. Такой способ доступа к данным считается самым инвазивным из возможных; при его проведении нужно тщательно соблюдать все предосторожности по работе с устройством и вести тщательное документирование каждого шага процесса.

Как работает ручной анализ

• Доступ к отдельным файлам и их передача через AirDrop или облачные сервисы.
• Создание скриншотов, фото- и видеофиксация данных, отображаемых на экране устройства.

Достоинства метода

• Быстро и просто.
• Можно проделать с любыми устройствами (если они разблокированы).

Недостатки ручного анализа

• Не является криминалистически чистым (а часто — даже допустимым).
• Множество изменений в данных.
• Достоверность полученных таким образом цифровых улик сомнительна, а возможность их представления в качестве цифровых доказательств требует тщательной фиксации и подробного документирования каждого шага.
• Доступен лишь ограниченный объем данных. Чувствительные данные (например, пароли) по-прежнему будут защищены функцией «защиты украденного устройства», и получить к ним доступ, скорее всего не удастся (в некоторых случаях это возможно, если осмотр происходит в одном из «знакомых мест»; см. ниже).

Ручной осмотр лучше использовать лишь в крайних случаях, когда того требует обстановка, а другие подходы недоступны. Однако следует учитывать его ограничения, особенно если требуется юридическая чистота процесса.

Что ещё можно сделать?

Можно попробовать отключить функцию защиты, однако здесь присутствует сразу ряд моментов, усложняющих процесс.

Во-первых, для отключения «защиты украденного устройства» вам всё равно понадобится биометрическая аутентификация. Во-вторых, если пользователь не изменял настройки по умолчанию, при попытке отключить защиту система установит дополнительную задержку в течение часа, если устройство не находится в «знакомом месте». Это означает, что для отключения защиты потребуется два подтверждения с помощью Face ID или Touch ID: первое — при начале процесса изменения настроек, второе — после завершения тайм-аута.

«Знакомые места» и их значение

Apple предоставляет пользователю выбор: ряд функций безопасности (в частности — часовая задержка при отключении дополнительной защиты) может срабатывать каждый раз или только тогда, когда попытка делается вдали от «знакомых мест» (настройка называется «Away from Familiar Locations»). По умолчанию, если пользователь не изменит настройку вручную, многие дополнительные меры безопасности функции «Защита украденного устройства» применяются только тогда, когда iPhone находится вдали от знакомых мест. Практическое следствие: отключать защиту либо проводить ручной осмотр имеет смысл по возможности в одном из «знакомых мест», каковыми являются, как правило, такие места, где пользователь проводит больше всего времени (дом, работа). Деталей работы этой функции Apple не раскрывает.

Дополнительная защита и резервные копии

В документации Apple указано: «При восстановлении из резервной копии iCloud или переносе непосредственно с предыдущего iPhone на новый также восстанавливаются настройки вашего устройства, включая функцию «Защита украденного устройства». После небольшой задержки, чтобы синхронизировать привычные места из iCloud, на новом устройстве автоматически возобновляются меры безопасности для защиты украденного устройства.»

Кроме того, отметим, что перенести данные на новое устройство с включённой дополнительной защитой также не удастся: в документации упомянуто «Использование iPhone для настройки нового устройства (например, с помощью функции «Быстрое начало»)».

Заключение

Пять лет назад мы выпустили статью Четыре с половиной пароля, в которой сделали вывод о том, что в Apple придают чрезмерное значение единственному фактору безопасности — коду блокировки экрана, в ущерб всем другим. Фактически, достаточно было получить физический доступ к устройству и узнать код блокировки экрана, чтобы получить полный доступ не только ко всему содержимому устройства, но и к облачным данным — путём сброса пароля от iCloud. Новая функция безопасости «Защита украденного устройства» несколько размывает нездоровую концентрацию средств безопасности, добавляя требование биометрической аутентификации для ряда действий.

«Защита украденного устройства» повышает безопасность пользователей, предотвращая несанкционированный доступ к чувствительным данным украденного устройства в ситуациях, когда злоумышленнику стал известен код блокировки экрана. Однако эта же функция серьёзно осложняет работу специалистов по цифровой криминалистике, ограничивая их возможности при извлечении данных.