А ты знал что, твой iPhone следит за тобой?!

12 2101

Возможно, для тебя будет открытием тот факт, что ког­да iPhone отклю­чен, боль­шинс­тво его бес­про­вод­ных чипов про­дол­жают фун­кци­они­ровать. На новей­ших моделях iPhone при отсутс­твии питания про­дол­жают работать Bluetooth, ком­муника­ция NFC и бес­про­вод­ная связь на базе тех­нологии UWB. Этой осо­бен­ностью тру­бок Apple может вос­поль­зовать­ся не толь­ко вла­делец телефо­на, но и мы, хакеры. Как? Давай раз­бирать­ся.

Начнем с того, что в мобиль­ных устрой­ствах под управле­нием iOS име­ется нес­коль­ко чипов, про­дол­жающих работать, даже ког­да питание телефо­на отсутс­тву­ет. Так, при вык­лючении iPhone поль­зователь все рав­но мож­но най­ти его с помощью фун­кции Find My Phone. Если батарея раз­рядит­ся, то iPhone вык­лючит­ся авто­мати­чес­ки и перей­дет в энер­госбе­рега­ющий режим, но в таком слу­чае все рав­но сох­раня­ется дос­туп к кре­дит­ным кар­там и дру­гим объ­ектам из при­ложе­ния Wallet. Эти воз­можнос­ти могут прев­ратить вык­лючен­ный телефон в устрой­ство для слеж­ки за поль­зовате­лем.

Бес­про­вод­ные чипы в iPhone могут работать в так называ­емом режиме низ­кого энер­гопот­ребле­ния (Low Power Mode, LPM).

Обра­ти вни­мание: LPM не тож­дес­тве­нен энер­госбе­рега­юще­му режиму, который обоз­нача­ется икон­кой «жел­тая батарея». В режиме LPM устрой­ство не реаги­рует на нажатия или встря­хива­ние. Этот режим акти­виру­ется либо ког­да поль­зователь вык­люча­ет телефон, либо ког­да iOS завер­шает работу авто­мати­чес­ки из‑за низ­кого заряда батареи. Если нажать кноп­ку вклю­чения в эко­ном­ном режиме с низ­ким энер­гопот­ребле­нием, то экран акти­виру­ется все­го на нес­коль­ко секунд. Устрой­ство сооб­щит о низ­ком заряде акку­муля­тора и выведет спи­сок активных в дан­ный момент воз­можнос­тей LPM, как показа­но на сле­дующем рисун­ке.

Find My и Express Cards в энер­госбе­рега­ющем режиме

Сеть Find My Phone оста­ется дос­тупна пос­ле вык­лючения устрой­ства. Если ты потеря­ешь iPhone, ког­да он раз­ряжен, как раз с помощью этой сети его и мож­но най­ти — она работа­ет на осно­ве Bluetooth. Режим Express Mode под­держи­вает выб­ранные про­ездные билеты, а так­же кре­дит­ные кар­ты и циф­ровые клю­чи из «Кошель­ка» — так устрой­ство уда­ется задей­ство­вать быс­трее, допол­нитель­ная аутен­тифика­ция со сто­роны поль­зовате­ля не тре­бует­ся. При отклю­чении из‑за низ­кого заряда батареи эти кар­ты и клю­чи оста­ются дос­тупны для исполь­зования на про­тяже­нии пяти часов. Исходно для под­держа­ния устрой­ства во вклю­чен­ном виде со все­ми эти­ми воз­можнос­тями тре­бова­лась толь­ко NFC. Теперь же появил­ся новый про­токол DCK 3.0, исполь­зующий режимы Bluetooth и UWB, а так­же под­держи­вающий режим Express Mode. Этот про­токол исполь­зует­ся в конс­трук­ции элек­трон­ных авто­мобиль­ных клю­чей, а режим Express Mode пре­дох­раня­ет от неп­рият­ностей из раз­ряда «зах­лопнул клю­чи в машине или в квар­тире». Еще он оставля­ет в рас­поряже­нии поль­зовате­ля его кар­ты, что­бы мож­но было выпол­нять пла­тежи, даже если телефон сел.

Как это работает?

Под­дер­жка LPM реали­зова­на на аппа­рат­ном уров­не. Модуль управле­ния питани­ем PMU может вклю­чать чипы пооди­ноч­ке. Чипы для Bluetooth и UWB жес­тко под­клю­чены к защищен­ному эле­мен­ту (SE) чипа NFC и хра­нят сек­реты, которые дол­жны быть дос­тупны в режиме LPM. Пос­коль­ку LPM под­держи­вает­ся на аппа­рат­ном уров­не, эту под­дер­жку нель­зя убрать, меняя прог­рам­мные ком­понен­ты. Имен­но поэто­му вла­делец сов­ремен­ного айфо­на уже не может быть уве­рен­ным, что чипы для бес­про­вод­ной свя­зи отклю­чат­ся пос­ле вык­лючения устрой­ства.

LPM зна­читель­но ковар­нее, чем ими­тация вык­лючения девай­са, при которой прос­то деак­тивиру­ется экран. Вспо­мина­ется слу­чай, ког­да Агентство наци­ональ­ной безопас­ности США ими­тиро­вало вык­лючение экра­на на умном телеви­зоре в целях шпи­она­жа. На айфо­не при этом будет заметен быс­трый рас­ход батареи, и такая «под­садка» в мобиль­ное устрой­ство не оста­нет­ся незаме­чен­ной.

Воз­можнос­ти Bluetooth и UWB в режиме LPM не докумен­тирова­ны и до недав­него вре­мени не иссле­дова­лись. Но в руководс­тве по безопас­ности для плат­формы Apple под­робно опи­сана отно­сяща­яся к NFC LPM воз­можность под наз­вани­ем Express Card, появив­шаяся в iOS 12.

iOS реали­зует безопас­ные бес­про­вод­ные пла­тежи на NFC-чипе с при­мене­нием тех­нологии Secure Element (SE). Эта тех­нология работа­ет на плат­форме JavaCard, которая выпол­няет аппле­ты, нап­ример Apple Pay или DCK. В ходе началь­ной уста­нов­ки аппле­ты пер­сонали­зиру­ются. Пер­сонали­зация поз­воля­ет допол­нитель­но раз­гра­ничи­вать зоны безопас­ности. Нап­ример, в пла­теж­ном аппле­те не хра­нит­ся никакой информа­ции о кре­дит­ных кар­тах, кро­ме отзывно­го иден­тифика­тора, извес­тно­го пла­теж­ной сети. Аппле­ты, в том чис­ле их сек­реты, отде­лены друг от дру­га. Они хра­нят­ся в SE и не покида­ют ее. В про­цес­се пла­тежа или при бес­про­вод­ных тран­закци­ях сре­да SE в сос­таве чипа NFC откли­кает­ся нап­рямую, не пере­адре­суя эти дан­ные в iOS. Сле­дова­тель­но, даже если iOS или при­ложе­ния ском­про­мети­рова­ны, кре­дит­ные кар­ты и дру­гие клю­чи невоз­можно украсть из SE.

Ис­поль­зование безопас­ной сре­ды (SE) и про­цес­сора Secure Enclave Processor (SEP) в соот­ветс­твии с докумен­таци­ей Apple

Сре­да SE под­клю­чена к про­цес­сору Secure Enclave Processor (SEP). Про­цес­сор SEP авто­ризу­ет пла­тежи, обес­печивая аутен­тифика­цию поль­зовате­ля через Touch ID, Face ID или c помощью пин‑кода.

Обра­ти вни­мание: SEP не хра­нит дан­ные в SE, а исполь­зует отдель­ный безопас­ный ком­понент‑хра­нили­ще. SE и SEP объ­еди­няют­ся в пару, сле­дова­тель­но, ком­муника­ция меж­ду ними может шиф­ровать­ся и аутен­тифици­ровать­ся.

Экспресс-карты и Find My

При­ложе­ние Wallet («Кошелек») поз­воля­ет кон­фигури­ровать работа­ющие по NFC кре­дит­ные, дис­кон­тные кар­ты и про­ездные билеты, а так­же клю­чи для режима Express Mode. Экс­пресс‑кар­та боль­ше не тре­бует авто­риза­ции по SEP, обес­печивая таким обра­зом быс­трые и удоб­ные пла­тежи без раз­бло­киров­ки iPhone. В экс­пресс‑режиме, что­бы прой­ти авто­риза­цию, дос­таточ­но лишь вла­деть самим телефо­ном. Если авто­риза­цию про­пус­тить, ни SEP, ни iOS не пот­ребу­ются для завер­шения тран­закции по NFC, а сама ком­муника­ция смо­жет работать авто­ном­но, при помощи аппле­тов SE.

Как толь­ко у iPhone закон­чится заряд, при усло­вии, что у поль­зовате­ля есть экс­пресс‑кар­та, iPhone вык­лючит­ся, но чип NFC оста­нет­ся запитан на про­тяже­нии пяти часов. В этот пери­од экс­пресс‑кар­ты будут работать, но при вык­лючении устрой­ства по ини­циати­ве поль­зовате­ля NFС так­же отклю­чает­ся.

В iOS 15 появи­лись две новые воз­можнос­ти, дос­тупные в режиме низ­кого энер­гопот­ребле­ния: Find My Phone, собс­твен­ная сеть Apple на осно­ве Bluetooth с низ­ким энер­гопот­ребле­нием (BLE), работа­ющая офлайн и пред­назна­чен­ная для поис­ка потерян­ных устрой­ств, и под­дер­жка циф­рового авто­мобиль­ного клю­ча (Digital Car Key, DCK 3.0), при которой UWB при­меня­ется для безопас­ного изме­рения рас­сто­яния. Сле­дова­тель­но, и Bluetooth, и чип UWB могут работать авто­ном­но, пока iOS отклю­чена. Эти воз­можнос­ти не докумен­тирова­ны и ранее не иссле­дова­лись.

Find My — это офлай­новая сеть для нахож­дения устрой­ств, которую авто­ры док­лада деталь­но иссле­дова­ли, вклю­чая реверс соот­ветс­тву­юще­го ПО. Она находит iPhone, AirTag и дру­гие устрой­ства Apple, даже ког­да они не под­клю­чены к интерне­ту. Если девайс не в сети, в режиме про­пажи он регуляр­но шлет широко­веща­тель­ные BLE-опо­веще­ния. Под­клю­чен­ные к сети устрой­ства, рас­положен­ные поб­лизос­ти, ловят такие опо­веще­ния и сооб­щают закон­ному вла­дель­цу, где находит­ся его «потеряш­ка».

Про­токол Find My защищен сквоз­ным шиф­ровани­ем, ано­нимен и работа­ет с сох­ранени­ем кон­фиден­циаль­нос­ти. Эти гаран­тии безопас­ности осно­ваны на девайс‑спе­цифич­ном «маяч­ковом» мас­тер‑клю­че, который син­хро­низи­рует­ся с цепоч­кой клю­чей из поль­зователь­ско­го iCloud. Поэто­му дос­туп сох­раня­ется до тех пор, пока поль­зователь в сос­тоянии залоги­нить­ся в iCloud.

Це­поч­ка клю­чей так­же хра­нит­ся локаль­но, а для дос­тупа к ее сек­ретно­му клю­чу тре­бует­ся прой­ти пол­ный путь через SEP. На мас­тер‑клю­че маяч­ка генери­рует­ся обо­рачи­вающаяся пос­ледова­тель­ность пар, в каж­дую из которых вхо­дит откры­тый и зак­рытый ключ. Эта пос­ледова­тель­ность зафик­сирова­на навеч­но, и каж­дый ключ дей­стви­телен толь­ко в свой про­межу­ток вре­мени. Что­бы свя­зать откры­тые клю­чи в этой пос­ледова­тель­нос­ти друг с дру­гом, тре­бует­ся знать маяч­ковый мас­тер‑ключ. Устрой­ство широко­веща­тель­но сооб­щает акту­аль­ный пуб­личный ключ в виде BLE-объ­явле­ния, а часть это­го клю­ча так­же уста­нав­лива­ет MAC-адрес слу­чай­ным обра­зом. Любое устрой­ство, под­клю­чен­ное к интерне­ту и наб­люда­ющее BLE-объ­явле­ние сети Find My, может зашиф­ровать свое нынеш­нее при­мер­ное мес­тонахож­дение откры­тым клю­чом и сооб­щить его Apple. Толь­ко у закон­ного вла­дель­ца потерян­ного устрой­ства, которое пока находит­ся офлайн, име­ется под­ходящий зак­рытый ключ, что­бы рас­шифро­вать отчет о мес­тополо­жении. По отче­ту о мес­тополо­жении невоз­можно иден­тифици­ровать сооб­щивше­го. Цепоч­ка откры­тых клю­чей на iPhone пол­ностью про­маты­вает­ся за 15 мин, что огра­ничи­вает воз­можность отсле­дить смар­тфон по его BLE-объ­явле­ниям. Мет­ки AirTag фун­кци­ональ­но подоб­ны сети Find My. Потеряв соеди­нение по Bluetooth с iPhone вла­дель­ца, они начина­ют рас­сылать широко­веща­тель­ные сооб­щения, которые при­нима­ются дру­гими под­клю­чен­ными к сети устрой­ства­ми.

Ра­бота сети Find My под­держи­вает­ся пос­ле отклю­чения питания, и информа­ция об этом выводит­ся в диало­говом окне завер­шения работы. Поль­зователь может изме­нить эту нас­трой­ку вся­кий раз, ког­да вык­люча­ет устрой­ство вруч­ную. Если на iPhone пол­ностью израсхо­дует­ся батарея и он перей­дет на резер­вный источник питания, сеть Find My акти­виру­ется авто­мати­чес­ки, подоб­но экс­пресс‑кар­там на NFC-чипе. Для под­дер­жки режима LPM тре­бует­ся про­шив­ка Bluetooth, которая может рас­сылать BLE-сооб­щения, ког­да iOS отклю­чит­ся.

Ди­ало­говое окно завер­шения для сети Find My на iOS 15

Чи­пы Broadcom Bluetooth могут кон­фигури­ровать­ся либо для вза­имо­дей­ствия с хос­том, нап­ример iOS, либо для работы в качес­тве авто­ном­ных при­ложе­ний, нап­ример на IoT-устрой­ствах. При перехо­де в режим LPM работа сте­ка iOS Bluetooth завер­шает­ся и нас­трой­ки чипа Bluetooth сбра­сыва­ются. Затем мно­жес­тво команд интерфей­са хост‑кон­трол­лера кон­фигури­руют парамет­ры сети Find My. Пос­ледняя коман­да отклю­чает HCI, тем самым оста­нав­ливая вся­кую ком­муника­цию с iOS. Про­шив­ка запус­кает авто­ном­ный поток широко­веща­тель­ных сооб­щений Find My. Модулю управле­ния питани­ем (PMU) рекомен­дует­ся дер­жать чип Bluetooth вклю­чен­ным, нес­мотря на отклю­чение iOS.

Ко­ман­ды кон­фигура­ции HCI для сети Find My поз­воля­ют задавать мно­жес­твен­ные откры­тые клю­чи в рас­чете на крат­кий и дол­гий интервал ротации. Дли­тель­ность интерва­ла и общее количес­тво клю­чей — перемен­ные парамет­ры. В iOS 15.3 уста­нав­лива­ется 96 клю­чей на корот­кий интервал (15 мин) и 0 клю­чей на дол­гий интервал (24 ч). Сле­дова­тель­но, авто­ном­ное при­ложе­ние, работа­ющее по Bluetooth, может отправ­лять широко­веща­тель­ные сооб­щения Find My в течение не более 24 ч.

Автомобильные ключи DCK 3.0

На­ряду с NFC-кар­тами iOS так­же под­держи­вает «авто­мобиль­ные» клю­чи (Digital Car Key, DCK 3.0). Их исполь­зуют служ­бы кар­шерин­га, а так­же при­ложе­ния, поз­воля­ющие управлять с телефо­на сов­ремен­ными «циф­ровыми» авто­моби­лями — дис­танци­онно запус­кать дви­гатель, вклю­чать режим охра­ны, откры­вать со смар­тфо­на две­ри и багаж­ник, задей­ство­вать иммо­билай­зер. Еще DCK поз­воля­ет уста­нав­ливать ско­рос­тной лимит для молодых водите­лей, а так­же сов­мес­тно исполь­зовать такой ключ через iCloud.

Нес­мотря на удобс­тво DCK с точ­ки зре­ния поль­зовате­ля, эта тех­нология прив­носит новые век­торы атак. Со сто­роны реали­зации основные рис­ки несут автопро­изво­дите­ли. Ском­про­мети­рован­ный DCK или изъ­яны в его реали­зации могут быть исполь­зованы для уго­на машины, но не для кра­жи iPhone. Угон реаль­ной машины — это не циф­ровой пла­теж, его не отме­нишь. Такие рис­ки и побуди­ли автопро­изво­дите­лей перей­ти с DCK 2.0 (осно­ван­ных на NFC) на DCK 3.0.

Аб­бре­виату­ра NFC (ком­муника­ция ближ­него поля) под­ска­зыва­ет, что успешные тран­закции могут про­ходить толь­ко меж­ду дву­мя устрой­ства­ми, находя­щими­ся рядом, NFC и дру­гие срав­нитель­но ста­рые тех­нологии для авто­мобиль­ных клю­чей под­верже­ны эста­фет­ным ата­кам. При эста­фет­ных ата­ках сиг­налы пре­дают­ся на боль­шие рас­сто­яния, чем задума­но. Это серь­езная угро­за, пос­коль­ку эста­фет­ная ата­ка откры­вает дос­туп к машине, ког­да ее вла­дель­ца поб­лизос­ти нет. Корот­кие дис­танции мож­но пре­одо­леть, уси­ливая име­ющий­ся сиг­нал. На длин­ных дис­танци­ях сиг­нал тре­бует­ся декоди­ровать в пакеты и уже их пере­адре­совы­вать с устрой­ства на устрой­ство. Пер­вый прак­тичный и недоро­гой инс­тру­мент для эста­фет­ных атак на осно­ве NFC был опи­сан в 2011 году, и до сих пор под­держи­вают­ся ана­логич­ные инс­тру­мен­ты, рас­счи­тан­ные на новей­шие NFC-тех­нологии.

Тог­да как спе­цифи­кация DCK 2.0 осно­вана на NFC, в DCK 3.0 добав­лен кон­троль безопас­ного рас­сто­яния (secure ranging) на осно­ве UWB. Хотя UWB и рек­ламиро­валась как тех­нология, под­держи­вающая кон­троль безопас­ного рас­сто­яния, ее фун­дамен­таль­ные изме­ритель­ные парамет­ры неидеаль­ны. На прак­тике уже про­демонс­три­рова­ны дешевые ата­ки по сок­ращению рас­сто­яния, нап­равлен­ные на UWB-чип Apple (на дис­танции до 12 м).

Про­токол DCK 3.0 исполь­зует как BLE, так и UWB. BLE обес­печива­ет пер­вичное соеди­нение и аутен­тифика­цию. Затем UWB при­меня­ется для точеч­ного изме­рения рас­сто­яния (fine ranging) с защитой сим­метрич­ным клю­чом, но без переда­чи дан­ных. Сле­дова­тель­но, как BLE, так и UWB тре­буют дос­тупа к сек­ретно­му клю­чу. Спе­цифи­кация DCK 3.0, пошаго­во опи­сыва­ющая работу про­токо­лов BLE и UWB, дос­тупна исклю­читель­но чле­нам Car Connectivity Consortium.

Apple ста­ла исполь­зовать аппа­рат­ные ком­понен­ты для DCK 3.0 с вер­сии iPhone 11. На айфо­нах с под­дер­жкой DCK 3.0 безопас­ная сре­да (SE) жес­тко вши­та в чипы Bluetooth и UWB. Сле­дова­тель­но, ана­логич­но исполь­зующим SE NFC-тран­закци­ям, генери­руемые SE откли­ки переда­ются непос­редс­твен­но в эфир, без сов­мес­тно­го исполь­зования в iOS. Модели айфо­нов, обо­рудо­ван­ные чипами Bluetooth и UWB с под­дер­жкой низ­кого энер­гопот­ребле­ния (LPM), перечис­лены в сле­дующей таб­лице.

Бес­про­вод­ные чипы, активно исполь­зующие под­дер­жку LPM

Недостатки Find My iPhone

Если исходить из того, что хакер не манипу­лиро­вал про­шив­кой или ПО на iPhone. Нап­ротив, ата­кующий пыта­ется ском­про­мети­ровать или исполь­зовать воз­можнос­ти LPM — нап­ример, отклю­чить сеть Find My Phone для кра­жи iPhone или вос­поль­зовать­ся экс­пресс‑кар­тами для кра­жи денег.

На при­мере сети Find My Phone было обна­руже­но, что телефон прек­раща­ет посылать широко­веща­тель­ные сооб­щения гораз­до рань­ше, чем ожи­далось, а во мно­гих слу­чаях не рас­сыла­ет их вооб­ще. При завер­шении работы по ини­циати­ве поль­зовате­ля сис­тема соз­дает все­го 96 таких сооб­щений, которые рас­сыла­ются с интерва­лом в 15 мин. Через 24 ч будут переда­ны все сооб­щения. Это не разъ­ясня­ется поль­зовате­лю, который может подумать, буд­то его потерян­ный iPhone мож­но най­ти в течение мно­гих дней. Кро­ме того, сеть Find My Phone мож­но вык­лючить при отклю­чении питания устрой­ства, но для это­го в iOS 15.3 и выше при­дет­ся ввес­ти пароль — таким обра­зом Apple пре­дус­мотре­ла еще один инс­тру­мент про­тив кра­жи.

За­паро­лен­ное диало­говое окно, в котором мож­но отклю­чить сеть Find My при отклю­чении питания

Сеть Find My прек­раща­ет работу до пер­вой раз­бло­киров­ки айфо­на спус­тя 24 ч. При вык­лючении телефо­на сооб­щения, рас­счи­тан­ные на сле­дующие 24 ч, допол­нитель­но хра­нят­ся на устрой­стве. Даже если сеть Find My будет отклю­чена при­нуди­тель­но, сооб­щения все рав­но кеширу­ются. Как толь­ко iPhone заг­рузит­ся, он вос­ста­новит токен Find My из хра­нили­ща с энер­гонеза­виси­мой памятью (NVRAM), и этот токен сох­раня­ется от перезаг­рузки к перезаг­рузке. Затем токен Find My исполь­зует­ся для дешиф­ровки кеширо­ван­ных сооб­щений, пре­дос­тавляя дос­туп к ним демону Bluetooth перед пер­вой раз­бло­киров­кой. По исте­чении 24 ч iPhone прек­раща­ет рас­сылать сооб­щения. Это не зависит от пред­при­нятых ранее дей­ствий, iPhone мог уже находить­ся в режиме LPM или быть перезаг­ружен нап­рямую. Пос­коль­ку сооб­щения жес­тко при­вяза­ны к зап­ланиро­ван­ному пери­оду переда­чи, прод­лить этот пери­од невоз­можно.

Ес­ли перед пер­вой раз­бло­киров­кой у iPhone есть соеди­нение с интерне­том, то он под­клю­чит­ся к сер­верам Apple и сооб­щит свое мес­тополо­жение. iPhone может ока­зать­ся офлайн перед пер­вой раз­бло­киров­кой по мно­гим при­чинам. Клю­чи Wi-Fi дос­тупны толь­ко пос­ле пер­вой раз­бло­киров­ки, а сотовое соеди­нение обры­вает­ся, если поль­зователь защитил SIM-кар­ту пин‑кодом либо SIM-кар­та была извле­чена. Сле­дова­тель­но, вор может быть уве­рен, что через 24 ч фун­кция Find My Phone будет неак­тивна, даже если он под­клю­чит iPhone к заряд­ному устрой­ству, — дос­таточ­но извлечь SIM-кар­ту и вклю­чить телефон вне зоны дей­ствия откры­тых бес­про­вод­ных сетей.

Да­же ког­да в поль­зователь­ском интерфей­се отоб­ража­ется сооб­щение, что фун­кция Find My Phone акти­виро­вана пос­ле отклю­чения питания, иног­да это не соот­ветс­тву­ет дей­стви­тель­нос­ти. Нап­ример, в Find My Phone может отка­зать генера­ция сооб­щений. Если при отклю­чении устрой­ства нас­трой­ка Find My по какой‑то при­чине завер­шится ошиб­кой, никаких пре­дуп­режде­ний об этом поль­зователь не получит.

Есть и еще один забав­ный момент. Если при отклю­чении питания iPhone по ини­циати­ве поль­зовате­ля под­клю­чить устрой­ство к элек­тро­сети через заряд­ку, а потом заряд­ку убрать, то через пару часов iPhone заг­рузит­ся сам. Если при отклю­чении кабель в iPhone не встав­лен, то авто­мати­чес­кой заг­рузки устрой­ства не про­изой­дет. По этой при­чине поль­зователь через какое‑то вре­мя может обна­ружить, что батарея его iPhone пол­ностью опус­тошена, хотя он телефон не вклю­чал.

Вмешательство в прошивку

В сов­ремен­ных моделях iPhone под­дер­жка LPM при­сутс­тву­ет в чипах ком­муника­ции NFC, UWB и Bluetooth. Хакеру не тре­бует­ся менять поведе­ние ядра, он может вос­поль­зовать­ся име­ющи­мися драй­верами, что­бы вклю­чить LPM на этих чипах, при этом модифи­циро­вать при­ходит­ся толь­ко про­шив­ку чипа. Чип NFC — единс­твен­ный бес­про­вод­ной чип на iPhone, обла­дающий зашиф­рован­ной и под­писан­ной про­шив­кой. Пусть даже и пред­при­нима­лись попыт­ки обой­ти безопас­ный заг­рузчик, они были безус­пешны. Чип UWB так­же пре­дус­матри­вает защищен­ную заг­рузку, но его про­шив­ка не зашиф­рована, толь­ко под­писана. При этом про­шив­ка Bluetooth не зашиф­рована и не под­писана. Пос­коль­ку у чипа Bluetooth не пре­дус­мотре­на безопас­ная заг­рузка, в нем отсутс­тву­ет кор­невой доверен­ный сер­тификат, который поз­волил бы про­верить заг­ружа­емую про­шив­ку.

Хакеры, не обла­дающие дос­тупом к устрой­ству на уров­не сис­темы, могут попытать­ся перех­ватить управле­ние девай­сом через чип с под­дер­жкой LPM. Ранее были выяв­лены раз­личные уяз­вимос­ти для серии Bluetooth-чипов, исполь­зуемых в iPhone. Такие уяз­вимос­ти так­же сущес­тву­ют и в дру­гих бес­про­вод­ных чипах. В час­тнос­ти, модуль Find My iPhone рас­сыла­ет сооб­щения по Bluetooth, но не получа­ет дан­ные. Одна­ко экс­пресс‑режим для NFC, а так­же Bluetooth и UWB для DCK 3.0 допус­кают обмен дан­ными.

Да­же если бы вся про­шив­ка мог­ла быть защище­на от манипу­ляций, хакер, обла­дающий дос­тупом к устрой­ству на уров­не сис­темы, все рав­но мог бы отправ­лять на его чипы собс­твен­ные коман­ды. Демон Bluetooth кон­фигури­рует режим LPM для сети Find My Phone при вык­лючении устрой­ства, для это­го исполь­зуют­ся вен­дор‑спе­цифич­ные коман­ды HCI. Эти коман­ды выпол­няют кон­фигури­рова­ние с очень высокой детали­заци­ей, в том чис­ле поз­воля­ют нас­тра­ивать интерва­лы ротации широко­веща­тель­ных сооб­щений и их содер­жимое. При помощи этих команд хакер мог бы, к при­меру, уста­новить пуб­личный ключ в качес­тве содер­жимого каж­дого вто­рого сооб­щения так, что­бы этот ключ под­ходил к акка­унту. Пос­ле это­го ата­кующий смог бы най­ти устрой­ство жер­твы, а нас­тоящий поль­зователь видел бы в сети Find My Phone недав­нее мес­тополо­жение сво­его iPhone, которо­го там уже нет.

Заключение

Пос­коль­ку под­дер­жка LPM осно­вана на аппа­рат­ной сос­тавля­ющей iPhone, ее невоз­можно уда­лить при помощи сис­темных обновле­ний. Соот­ветс­твен­но, она ока­зыва­ет дол­госроч­ное вли­яние на всю модель безопас­ности в iOS.

По‑видимо­му, дизайн воз­можнос­тей LPM в основном стро­ился исхо­дя из прак­тичес­ких сооб­ражений, без уче­та угроз, воз­ника­ющих при выходе за пре­делы пре­дус­мотрен­ных вари­антов при­мене­ния. Пос­коль­ку сеть Find My Phone про­дол­жает работать и пос­ле вык­лючения iPhone, устрой­ства по опре­деле­нию прев­раща­ются в инс­тру­мент для слеж­ки, а реали­зация про­шив­ки Bluetooth не защище­на от манипу­ляций. Свой­ства сле­жения могут быть незамет­но изме­нены хакером, заполу­чив­шим дос­туп к устрой­ству на уров­не сис­темы. Более того, сов­ремен­ная под­дер­жка циф­ровых авто­мобиль­ных клю­чей тре­бует свер­хши­рокой полосы переда­чи дан­ных в LPM.

В нас­тоящее вре­мя Bluetooth и UWB жес­тко зашиты в безопас­ную сре­ду (SE), имен­но в них хра­нят­ся авто­мобиль­ные клю­чи и дру­гие сек­реты. Учи­тывая, что про­шив­ка Bluetooth под­дает­ся манипу­ляции, дос­туп к интерфей­сам SE откры­вает­ся и из iOS.

Да­же при­том, что во мно­гих вари­антах при­мене­ния LPM повыша­ется уро­вень защищен­ности и безопас­ности, Apple сле­дова­ло бы добавить в iPhone аппа­рат­ный перек­лючатель, который разъ­еди­нял бы устрой­ство и батарею. Это улуч­шило бы ситу­ацию для лиц, осо­бен­но обес­поко­енных кон­фиден­циаль­ностью дан­ных и потен­циаль­но под­вержен­ных слеж­ке. Однако, такого, по понятным нам причинам, не будет.


Хочешь еще? Тогда выбирай:

ReVanced Youtube + TV-Box и Smart TV

Как установить и настроить свой HTTP и Socks Proxy

Скачать бесплатные OpenVPN и shadowsocks профили

Свой неограниченный интернет: VPN+AntiADS+i2p+Tor

Как обойти Windows Defender: meterpreter сессия через python

Сборники различных: чекеров, крипторов, биндеров, доркеров и прочих штук

Как создать фейковую банковскую карты для пробных подписок



Грядущее мятежно, но надежда есть

Знаю я, что эта песня Не к погоде и не к месту, Мне из лестного бы теста Вам пирожные печь. Александр Градский Итак, информации уже достаточно, чтобы обрисовать основные сценарии развития с...

Их ценности за две минуты... Аркадий, чо ты ржёшь?

Здравствуй, дорогая Русская Цивилизация. В Европе и Америке сейчас новая тема, они когда выходят на трибуну, обязаны поприветствовать все гендеры. Это не издевательство, на полном серьё...

Обсудить
  • А ты знал, что если у тебя айфон, ты дебил?
  • Кто ж сейчас телефоны-то выключает? А так - известное дело. Яндекс, например, всегда подслушивает. Поговорил с женой о чем-нибудь на кухне, а рядом телефон лежал. Идёшь за комп, а рекламная сеть Яндекса уже тебе рекламу крутит о предмете разговора на кухне. Неоднократно уже замечал!
  • Аж скрепы затрещали но не беда скоро Эппл прикроет лавочку а пока побегу в храм
  • У меня уже давно кнопочный телефон. . Ибо дураков.нет А вообще то следят все, даже мониторы. Поговаривают и холодильники со стиралками, замечены..