А ты знал что, твой iPhone следит за тобой?!

Возможно, для тебя будет открытием тот факт, что ког­да iPhone отклю­чен, боль­шинс­тво его бес­про­вод­ных чипов про­дол­жают фун­кци­они­ровать. На новей­ших моделях iPhone при отсутс­твии питания про­дол­жают работать Bluetooth, ком­муника­ция NFC и бес­про­вод­ная связь на базе тех­нологии UWB. Этой осо­бен­ностью тру­бок Apple может вос­поль­зовать­ся не толь­ко вла­делец телефо­на, но и мы, хакеры. Как? Давай раз­бирать­ся.

Начнем с того, что в мобиль­ных устрой­ствах под управле­нием iOS име­ется нес­коль­ко чипов, про­дол­жающих работать, даже ког­да питание телефо­на отсутс­тву­ет. Так, при вык­лючении iPhone поль­зователь все рав­но мож­но най­ти его с помощью фун­кции Find My Phone. Если батарея раз­рядит­ся, то iPhone вык­лючит­ся авто­мати­чес­ки и перей­дет в энер­госбе­рега­ющий режим, но в таком слу­чае все рав­но сох­раня­ется дос­туп к кре­дит­ным кар­там и дру­гим объ­ектам из при­ложе­ния Wallet. Эти воз­можнос­ти могут прев­ратить вык­лючен­ный телефон в устрой­ство для слеж­ки за поль­зовате­лем.

Бес­про­вод­ные чипы в iPhone могут работать в так называ­емом режиме низ­кого энер­гопот­ребле­ния (Low Power Mode, LPM).

Обра­ти вни­мание: LPM не тож­дес­тве­нен энер­госбе­рега­юще­му режиму, который обоз­нача­ется икон­кой «жел­тая батарея». В режиме LPM устрой­ство не реаги­рует на нажатия или встря­хива­ние. Этот режим акти­виру­ется либо ког­да поль­зователь вык­люча­ет телефон, либо ког­да iOS завер­шает работу авто­мати­чес­ки из‑за низ­кого заряда батареи. Если нажать кноп­ку вклю­чения в эко­ном­ном режиме с низ­ким энер­гопот­ребле­нием, то экран акти­виру­ется все­го на нес­коль­ко секунд. Устрой­ство сооб­щит о низ­ком заряде акку­муля­тора и выведет спи­сок активных в дан­ный момент воз­можнос­тей LPM, как показа­но на сле­дующем рисун­ке.

Find My и Express Cards в энер­госбе­рега­ющем режиме

Сеть Find My Phone оста­ется дос­тупна пос­ле вык­лючения устрой­ства. Если ты потеря­ешь iPhone, ког­да он раз­ряжен, как раз с помощью этой сети его и мож­но най­ти — она работа­ет на осно­ве Bluetooth. Режим Express Mode под­держи­вает выб­ранные про­ездные билеты, а так­же кре­дит­ные кар­ты и циф­ровые клю­чи из «Кошель­ка» — так устрой­ство уда­ется задей­ство­вать быс­трее, допол­нитель­ная аутен­тифика­ция со сто­роны поль­зовате­ля не тре­бует­ся. При отклю­чении из‑за низ­кого заряда батареи эти кар­ты и клю­чи оста­ются дос­тупны для исполь­зования на про­тяже­нии пяти часов. Исходно для под­держа­ния устрой­ства во вклю­чен­ном виде со все­ми эти­ми воз­можнос­тями тре­бова­лась толь­ко NFC. Теперь же появил­ся новый про­токол DCK 3.0, исполь­зующий режимы Bluetooth и UWB, а так­же под­держи­вающий режим Express Mode. Этот про­токол исполь­зует­ся в конс­трук­ции элек­трон­ных авто­мобиль­ных клю­чей, а режим Express Mode пре­дох­раня­ет от неп­рият­ностей из раз­ряда «зах­лопнул клю­чи в машине или в квар­тире». Еще он оставля­ет в рас­поряже­нии поль­зовате­ля его кар­ты, что­бы мож­но было выпол­нять пла­тежи, даже если телефон сел.

Как это работает?

Под­дер­жка LPM реали­зова­на на аппа­рат­ном уров­не. Модуль управле­ния питани­ем PMU может вклю­чать чипы пооди­ноч­ке. Чипы для Bluetooth и UWB жес­тко под­клю­чены к защищен­ному эле­мен­ту (SE) чипа NFC и хра­нят сек­реты, которые дол­жны быть дос­тупны в режиме LPM. Пос­коль­ку LPM под­держи­вает­ся на аппа­рат­ном уров­не, эту под­дер­жку нель­зя убрать, меняя прог­рам­мные ком­понен­ты. Имен­но поэто­му вла­делец сов­ремен­ного айфо­на уже не может быть уве­рен­ным, что чипы для бес­про­вод­ной свя­зи отклю­чат­ся пос­ле вык­лючения устрой­ства.

LPM зна­читель­но ковар­нее, чем ими­тация вык­лючения девай­са, при которой прос­то деак­тивиру­ется экран. Вспо­мина­ется слу­чай, ког­да Агентство наци­ональ­ной безопас­ности США ими­тиро­вало вык­лючение экра­на на умном телеви­зоре в целях шпи­она­жа. На айфо­не при этом будет заметен быс­трый рас­ход батареи, и такая «под­садка» в мобиль­ное устрой­ство не оста­нет­ся незаме­чен­ной.

Воз­можнос­ти Bluetooth и UWB в режиме LPM не докумен­тирова­ны и до недав­него вре­мени не иссле­дова­лись. Но в руководс­тве по безопас­ности для плат­формы Apple под­робно опи­сана отно­сяща­яся к NFC LPM воз­можность под наз­вани­ем Express Card, появив­шаяся в iOS 12.

iOS реали­зует безопас­ные бес­про­вод­ные пла­тежи на NFC-чипе с при­мене­нием тех­нологии Secure Element (SE). Эта тех­нология работа­ет на плат­форме JavaCard, которая выпол­няет аппле­ты, нап­ример Apple Pay или DCK. В ходе началь­ной уста­нов­ки аппле­ты пер­сонали­зиру­ются. Пер­сонали­зация поз­воля­ет допол­нитель­но раз­гра­ничи­вать зоны безопас­ности. Нап­ример, в пла­теж­ном аппле­те не хра­нит­ся никакой информа­ции о кре­дит­ных кар­тах, кро­ме отзывно­го иден­тифика­тора, извес­тно­го пла­теж­ной сети. Аппле­ты, в том чис­ле их сек­реты, отде­лены друг от дру­га. Они хра­нят­ся в SE и не покида­ют ее. В про­цес­се пла­тежа или при бес­про­вод­ных тран­закци­ях сре­да SE в сос­таве чипа NFC откли­кает­ся нап­рямую, не пере­адре­суя эти дан­ные в iOS. Сле­дова­тель­но, даже если iOS или при­ложе­ния ском­про­мети­рова­ны, кре­дит­ные кар­ты и дру­гие клю­чи невоз­можно украсть из SE.

Ис­поль­зование безопас­ной сре­ды (SE) и про­цес­сора Secure Enclave Processor (SEP) в соот­ветс­твии с докумен­таци­ей Apple

Сре­да SE под­клю­чена к про­цес­сору Secure Enclave Processor (SEP). Про­цес­сор SEP авто­ризу­ет пла­тежи, обес­печивая аутен­тифика­цию поль­зовате­ля через Touch ID, Face ID или c помощью пин‑кода.

Обра­ти вни­мание: SEP не хра­нит дан­ные в SE, а исполь­зует отдель­ный безопас­ный ком­понент‑хра­нили­ще. SE и SEP объ­еди­няют­ся в пару, сле­дова­тель­но, ком­муника­ция меж­ду ними может шиф­ровать­ся и аутен­тифици­ровать­ся.

Экспресс-карты и Find My

При­ложе­ние Wallet («Кошелек») поз­воля­ет кон­фигури­ровать работа­ющие по NFC кре­дит­ные, дис­кон­тные кар­ты и про­ездные билеты, а так­же клю­чи для режима Express Mode. Экс­пресс‑кар­та боль­ше не тре­бует авто­риза­ции по SEP, обес­печивая таким обра­зом быс­трые и удоб­ные пла­тежи без раз­бло­киров­ки iPhone. В экс­пресс‑режиме, что­бы прой­ти авто­риза­цию, дос­таточ­но лишь вла­деть самим телефо­ном. Если авто­риза­цию про­пус­тить, ни SEP, ни iOS не пот­ребу­ются для завер­шения тран­закции по NFC, а сама ком­муника­ция смо­жет работать авто­ном­но, при помощи аппле­тов SE.

Как толь­ко у iPhone закон­чится заряд, при усло­вии, что у поль­зовате­ля есть экс­пресс‑кар­та, iPhone вык­лючит­ся, но чип NFC оста­нет­ся запитан на про­тяже­нии пяти часов. В этот пери­од экс­пресс‑кар­ты будут работать, но при вык­лючении устрой­ства по ини­циати­ве поль­зовате­ля NFС так­же отклю­чает­ся.

В iOS 15 появи­лись две новые воз­можнос­ти, дос­тупные в режиме низ­кого энер­гопот­ребле­ния: Find My Phone, собс­твен­ная сеть Apple на осно­ве Bluetooth с низ­ким энер­гопот­ребле­нием (BLE), работа­ющая офлайн и пред­назна­чен­ная для поис­ка потерян­ных устрой­ств, и под­дер­жка циф­рового авто­мобиль­ного клю­ча (Digital Car Key, DCK 3.0), при которой UWB при­меня­ется для безопас­ного изме­рения рас­сто­яния. Сле­дова­тель­но, и Bluetooth, и чип UWB могут работать авто­ном­но, пока iOS отклю­чена. Эти воз­можнос­ти не докумен­тирова­ны и ранее не иссле­дова­лись.

Find My — это офлай­новая сеть для нахож­дения устрой­ств, которую авто­ры док­лада деталь­но иссле­дова­ли, вклю­чая реверс соот­ветс­тву­юще­го ПО. Она находит iPhone, AirTag и дру­гие устрой­ства Apple, даже ког­да они не под­клю­чены к интерне­ту. Если девайс не в сети, в режиме про­пажи он регуляр­но шлет широко­веща­тель­ные BLE-опо­веще­ния. Под­клю­чен­ные к сети устрой­ства, рас­положен­ные поб­лизос­ти, ловят такие опо­веще­ния и сооб­щают закон­ному вла­дель­цу, где находит­ся его «потеряш­ка».

Про­токол Find My защищен сквоз­ным шиф­ровани­ем, ано­нимен и работа­ет с сох­ранени­ем кон­фиден­циаль­нос­ти. Эти гаран­тии безопас­ности осно­ваны на девайс‑спе­цифич­ном «маяч­ковом» мас­тер‑клю­че, который син­хро­низи­рует­ся с цепоч­кой клю­чей из поль­зователь­ско­го iCloud. Поэто­му дос­туп сох­раня­ется до тех пор, пока поль­зователь в сос­тоянии залоги­нить­ся в iCloud.

Це­поч­ка клю­чей так­же хра­нит­ся локаль­но, а для дос­тупа к ее сек­ретно­му клю­чу тре­бует­ся прой­ти пол­ный путь через SEP. На мас­тер‑клю­че маяч­ка генери­рует­ся обо­рачи­вающаяся пос­ледова­тель­ность пар, в каж­дую из которых вхо­дит откры­тый и зак­рытый ключ. Эта пос­ледова­тель­ность зафик­сирова­на навеч­но, и каж­дый ключ дей­стви­телен толь­ко в свой про­межу­ток вре­мени. Что­бы свя­зать откры­тые клю­чи в этой пос­ледова­тель­нос­ти друг с дру­гом, тре­бует­ся знать маяч­ковый мас­тер‑ключ. Устрой­ство широко­веща­тель­но сооб­щает акту­аль­ный пуб­личный ключ в виде BLE-объ­явле­ния, а часть это­го клю­ча так­же уста­нав­лива­ет MAC-адрес слу­чай­ным обра­зом. Любое устрой­ство, под­клю­чен­ное к интерне­ту и наб­люда­ющее BLE-объ­явле­ние сети Find My, может зашиф­ровать свое нынеш­нее при­мер­ное мес­тонахож­дение откры­тым клю­чом и сооб­щить его Apple. Толь­ко у закон­ного вла­дель­ца потерян­ного устрой­ства, которое пока находит­ся офлайн, име­ется под­ходящий зак­рытый ключ, что­бы рас­шифро­вать отчет о мес­тополо­жении. По отче­ту о мес­тополо­жении невоз­можно иден­тифици­ровать сооб­щивше­го. Цепоч­ка откры­тых клю­чей на iPhone пол­ностью про­маты­вает­ся за 15 мин, что огра­ничи­вает воз­можность отсле­дить смар­тфон по его BLE-объ­явле­ниям. Мет­ки AirTag фун­кци­ональ­но подоб­ны сети Find My. Потеряв соеди­нение по Bluetooth с iPhone вла­дель­ца, они начина­ют рас­сылать широко­веща­тель­ные сооб­щения, которые при­нима­ются дру­гими под­клю­чен­ными к сети устрой­ства­ми.

Ра­бота сети Find My под­держи­вает­ся пос­ле отклю­чения питания, и информа­ция об этом выводит­ся в диало­говом окне завер­шения работы. Поль­зователь может изме­нить эту нас­трой­ку вся­кий раз, ког­да вык­люча­ет устрой­ство вруч­ную. Если на iPhone пол­ностью израсхо­дует­ся батарея и он перей­дет на резер­вный источник питания, сеть Find My акти­виру­ется авто­мати­чес­ки, подоб­но экс­пресс‑кар­там на NFC-чипе. Для под­дер­жки режима LPM тре­бует­ся про­шив­ка Bluetooth, которая может рас­сылать BLE-сооб­щения, ког­да iOS отклю­чит­ся.

Ди­ало­говое окно завер­шения для сети Find My на iOS 15

Чи­пы Broadcom Bluetooth могут кон­фигури­ровать­ся либо для вза­имо­дей­ствия с хос­том, нап­ример iOS, либо для работы в качес­тве авто­ном­ных при­ложе­ний, нап­ример на IoT-устрой­ствах. При перехо­де в режим LPM работа сте­ка iOS Bluetooth завер­шает­ся и нас­трой­ки чипа Bluetooth сбра­сыва­ются. Затем мно­жес­тво команд интерфей­са хост‑кон­трол­лера кон­фигури­руют парамет­ры сети Find My. Пос­ледняя коман­да отклю­чает HCI, тем самым оста­нав­ливая вся­кую ком­муника­цию с iOS. Про­шив­ка запус­кает авто­ном­ный поток широко­веща­тель­ных сооб­щений Find My. Модулю управле­ния питани­ем (PMU) рекомен­дует­ся дер­жать чип Bluetooth вклю­чен­ным, нес­мотря на отклю­чение iOS.

Ко­ман­ды кон­фигура­ции HCI для сети Find My поз­воля­ют задавать мно­жес­твен­ные откры­тые клю­чи в рас­чете на крат­кий и дол­гий интервал ротации. Дли­тель­ность интерва­ла и общее количес­тво клю­чей — перемен­ные парамет­ры. В iOS 15.3 уста­нав­лива­ется 96 клю­чей на корот­кий интервал (15 мин) и 0 клю­чей на дол­гий интервал (24 ч). Сле­дова­тель­но, авто­ном­ное при­ложе­ние, работа­ющее по Bluetooth, может отправ­лять широко­веща­тель­ные сооб­щения Find My в течение не более 24 ч.

Автомобильные ключи DCK 3.0

На­ряду с NFC-кар­тами iOS так­же под­держи­вает «авто­мобиль­ные» клю­чи (Digital Car Key, DCK 3.0). Их исполь­зуют служ­бы кар­шерин­га, а так­же при­ложе­ния, поз­воля­ющие управлять с телефо­на сов­ремен­ными «циф­ровыми» авто­моби­лями — дис­танци­онно запус­кать дви­гатель, вклю­чать режим охра­ны, откры­вать со смар­тфо­на две­ри и багаж­ник, задей­ство­вать иммо­билай­зер. Еще DCK поз­воля­ет уста­нав­ливать ско­рос­тной лимит для молодых водите­лей, а так­же сов­мес­тно исполь­зовать такой ключ через iCloud.

Нес­мотря на удобс­тво DCK с точ­ки зре­ния поль­зовате­ля, эта тех­нология прив­носит новые век­торы атак. Со сто­роны реали­зации основные рис­ки несут автопро­изво­дите­ли. Ском­про­мети­рован­ный DCK или изъ­яны в его реали­зации могут быть исполь­зованы для уго­на машины, но не для кра­жи iPhone. Угон реаль­ной машины — это не циф­ровой пла­теж, его не отме­нишь. Такие рис­ки и побуди­ли автопро­изво­дите­лей перей­ти с DCK 2.0 (осно­ван­ных на NFC) на DCK 3.0.

Аб­бре­виату­ра NFC (ком­муника­ция ближ­него поля) под­ска­зыва­ет, что успешные тран­закции могут про­ходить толь­ко меж­ду дву­мя устрой­ства­ми, находя­щими­ся рядом, NFC и дру­гие срав­нитель­но ста­рые тех­нологии для авто­мобиль­ных клю­чей под­верже­ны эста­фет­ным ата­кам. При эста­фет­ных ата­ках сиг­налы пре­дают­ся на боль­шие рас­сто­яния, чем задума­но. Это серь­езная угро­за, пос­коль­ку эста­фет­ная ата­ка откры­вает дос­туп к машине, ког­да ее вла­дель­ца поб­лизос­ти нет. Корот­кие дис­танции мож­но пре­одо­леть, уси­ливая име­ющий­ся сиг­нал. На длин­ных дис­танци­ях сиг­нал тре­бует­ся декоди­ровать в пакеты и уже их пере­адре­совы­вать с устрой­ства на устрой­ство. Пер­вый прак­тичный и недоро­гой инс­тру­мент для эста­фет­ных атак на осно­ве NFC был опи­сан в 2011 году, и до сих пор под­держи­вают­ся ана­логич­ные инс­тру­мен­ты, рас­счи­тан­ные на новей­шие NFC-тех­нологии.

Тог­да как спе­цифи­кация DCK 2.0 осно­вана на NFC, в DCK 3.0 добав­лен кон­троль безопас­ного рас­сто­яния (secure ranging) на осно­ве UWB. Хотя UWB и рек­ламиро­валась как тех­нология, под­держи­вающая кон­троль безопас­ного рас­сто­яния, ее фун­дамен­таль­ные изме­ритель­ные парамет­ры неидеаль­ны. На прак­тике уже про­демонс­три­рова­ны дешевые ата­ки по сок­ращению рас­сто­яния, нап­равлен­ные на UWB-чип Apple (на дис­танции до 12 м).

Про­токол DCK 3.0 исполь­зует как BLE, так и UWB. BLE обес­печива­ет пер­вичное соеди­нение и аутен­тифика­цию. Затем UWB при­меня­ется для точеч­ного изме­рения рас­сто­яния (fine ranging) с защитой сим­метрич­ным клю­чом, но без переда­чи дан­ных. Сле­дова­тель­но, как BLE, так и UWB тре­буют дос­тупа к сек­ретно­му клю­чу. Спе­цифи­кация DCK 3.0, пошаго­во опи­сыва­ющая работу про­токо­лов BLE и UWB, дос­тупна исклю­читель­но чле­нам Car Connectivity Consortium.

Apple ста­ла исполь­зовать аппа­рат­ные ком­понен­ты для DCK 3.0 с вер­сии iPhone 11. На айфо­нах с под­дер­жкой DCK 3.0 безопас­ная сре­да (SE) жес­тко вши­та в чипы Bluetooth и UWB. Сле­дова­тель­но, ана­логич­но исполь­зующим SE NFC-тран­закци­ям, генери­руемые SE откли­ки переда­ются непос­редс­твен­но в эфир, без сов­мес­тно­го исполь­зования в iOS. Модели айфо­нов, обо­рудо­ван­ные чипами Bluetooth и UWB с под­дер­жкой низ­кого энер­гопот­ребле­ния (LPM), перечис­лены в сле­дующей таб­лице.

Бес­про­вод­ные чипы, активно исполь­зующие под­дер­жку LPM

Недостатки Find My iPhone

Если исходить из того, что хакер не манипу­лиро­вал про­шив­кой или ПО на iPhone. Нап­ротив, ата­кующий пыта­ется ском­про­мети­ровать или исполь­зовать воз­можнос­ти LPM — нап­ример, отклю­чить сеть Find My Phone для кра­жи iPhone или вос­поль­зовать­ся экс­пресс‑кар­тами для кра­жи денег.

На при­мере сети Find My Phone было обна­руже­но, что телефон прек­раща­ет посылать широко­веща­тель­ные сооб­щения гораз­до рань­ше, чем ожи­далось, а во мно­гих слу­чаях не рас­сыла­ет их вооб­ще. При завер­шении работы по ини­циати­ве поль­зовате­ля сис­тема соз­дает все­го 96 таких сооб­щений, которые рас­сыла­ются с интерва­лом в 15 мин. Через 24 ч будут переда­ны все сооб­щения. Это не разъ­ясня­ется поль­зовате­лю, который может подумать, буд­то его потерян­ный iPhone мож­но най­ти в течение мно­гих дней. Кро­ме того, сеть Find My Phone мож­но вык­лючить при отклю­чении питания устрой­ства, но для это­го в iOS 15.3 и выше при­дет­ся ввес­ти пароль — таким обра­зом Apple пре­дус­мотре­ла еще один инс­тру­мент про­тив кра­жи.

За­паро­лен­ное диало­говое окно, в котором мож­но отклю­чить сеть Find My при отклю­чении питания

Сеть Find My прек­раща­ет работу до пер­вой раз­бло­киров­ки айфо­на спус­тя 24 ч. При вык­лючении телефо­на сооб­щения, рас­счи­тан­ные на сле­дующие 24 ч, допол­нитель­но хра­нят­ся на устрой­стве. Даже если сеть Find My будет отклю­чена при­нуди­тель­но, сооб­щения все рав­но кеширу­ются. Как толь­ко iPhone заг­рузит­ся, он вос­ста­новит токен Find My из хра­нили­ща с энер­гонеза­виси­мой памятью (NVRAM), и этот токен сох­раня­ется от перезаг­рузки к перезаг­рузке. Затем токен Find My исполь­зует­ся для дешиф­ровки кеширо­ван­ных сооб­щений, пре­дос­тавляя дос­туп к ним демону Bluetooth перед пер­вой раз­бло­киров­кой. По исте­чении 24 ч iPhone прек­раща­ет рас­сылать сооб­щения. Это не зависит от пред­при­нятых ранее дей­ствий, iPhone мог уже находить­ся в режиме LPM или быть перезаг­ружен нап­рямую. Пос­коль­ку сооб­щения жес­тко при­вяза­ны к зап­ланиро­ван­ному пери­оду переда­чи, прод­лить этот пери­од невоз­можно.

Ес­ли перед пер­вой раз­бло­киров­кой у iPhone есть соеди­нение с интерне­том, то он под­клю­чит­ся к сер­верам Apple и сооб­щит свое мес­тополо­жение. iPhone может ока­зать­ся офлайн перед пер­вой раз­бло­киров­кой по мно­гим при­чинам. Клю­чи Wi-Fi дос­тупны толь­ко пос­ле пер­вой раз­бло­киров­ки, а сотовое соеди­нение обры­вает­ся, если поль­зователь защитил SIM-кар­ту пин‑кодом либо SIM-кар­та была извле­чена. Сле­дова­тель­но, вор может быть уве­рен, что через 24 ч фун­кция Find My Phone будет неак­тивна, даже если он под­клю­чит iPhone к заряд­ному устрой­ству, — дос­таточ­но извлечь SIM-кар­ту и вклю­чить телефон вне зоны дей­ствия откры­тых бес­про­вод­ных сетей.

Да­же ког­да в поль­зователь­ском интерфей­се отоб­ража­ется сооб­щение, что фун­кция Find My Phone акти­виро­вана пос­ле отклю­чения питания, иног­да это не соот­ветс­тву­ет дей­стви­тель­нос­ти. Нап­ример, в Find My Phone может отка­зать генера­ция сооб­щений. Если при отклю­чении устрой­ства нас­трой­ка Find My по какой‑то при­чине завер­шится ошиб­кой, никаких пре­дуп­режде­ний об этом поль­зователь не получит.

Есть и еще один забав­ный момент. Если при отклю­чении питания iPhone по ини­циати­ве поль­зовате­ля под­клю­чить устрой­ство к элек­тро­сети через заряд­ку, а потом заряд­ку убрать, то через пару часов iPhone заг­рузит­ся сам. Если при отклю­чении кабель в iPhone не встав­лен, то авто­мати­чес­кой заг­рузки устрой­ства не про­изой­дет. По этой при­чине поль­зователь через какое‑то вре­мя может обна­ружить, что батарея его iPhone пол­ностью опус­тошена, хотя он телефон не вклю­чал.

Вмешательство в прошивку

В сов­ремен­ных моделях iPhone под­дер­жка LPM при­сутс­тву­ет в чипах ком­муника­ции NFC, UWB и Bluetooth. Хакеру не тре­бует­ся менять поведе­ние ядра, он может вос­поль­зовать­ся име­ющи­мися драй­верами, что­бы вклю­чить LPM на этих чипах, при этом модифи­циро­вать при­ходит­ся толь­ко про­шив­ку чипа. Чип NFC — единс­твен­ный бес­про­вод­ной чип на iPhone, обла­дающий зашиф­рован­ной и под­писан­ной про­шив­кой. Пусть даже и пред­при­нима­лись попыт­ки обой­ти безопас­ный заг­рузчик, они были безус­пешны. Чип UWB так­же пре­дус­матри­вает защищен­ную заг­рузку, но его про­шив­ка не зашиф­рована, толь­ко под­писана. При этом про­шив­ка Bluetooth не зашиф­рована и не под­писана. Пос­коль­ку у чипа Bluetooth не пре­дус­мотре­на безопас­ная заг­рузка, в нем отсутс­тву­ет кор­невой доверен­ный сер­тификат, который поз­волил бы про­верить заг­ружа­емую про­шив­ку.

Хакеры, не обла­дающие дос­тупом к устрой­ству на уров­не сис­темы, могут попытать­ся перех­ватить управле­ние девай­сом через чип с под­дер­жкой LPM. Ранее были выяв­лены раз­личные уяз­вимос­ти для серии Bluetooth-чипов, исполь­зуемых в iPhone. Такие уяз­вимос­ти так­же сущес­тву­ют и в дру­гих бес­про­вод­ных чипах. В час­тнос­ти, модуль Find My iPhone рас­сыла­ет сооб­щения по Bluetooth, но не получа­ет дан­ные. Одна­ко экс­пресс‑режим для NFC, а так­же Bluetooth и UWB для DCK 3.0 допус­кают обмен дан­ными.

Да­же если бы вся про­шив­ка мог­ла быть защище­на от манипу­ляций, хакер, обла­дающий дос­тупом к устрой­ству на уров­не сис­темы, все рав­но мог бы отправ­лять на его чипы собс­твен­ные коман­ды. Демон Bluetooth кон­фигури­рует режим LPM для сети Find My Phone при вык­лючении устрой­ства, для это­го исполь­зуют­ся вен­дор‑спе­цифич­ные коман­ды HCI. Эти коман­ды выпол­няют кон­фигури­рова­ние с очень высокой детали­заци­ей, в том чис­ле поз­воля­ют нас­тра­ивать интерва­лы ротации широко­веща­тель­ных сооб­щений и их содер­жимое. При помощи этих команд хакер мог бы, к при­меру, уста­новить пуб­личный ключ в качес­тве содер­жимого каж­дого вто­рого сооб­щения так, что­бы этот ключ под­ходил к акка­унту. Пос­ле это­го ата­кующий смог бы най­ти устрой­ство жер­твы, а нас­тоящий поль­зователь видел бы в сети Find My Phone недав­нее мес­тополо­жение сво­его iPhone, которо­го там уже нет.

Заключение

Пос­коль­ку под­дер­жка LPM осно­вана на аппа­рат­ной сос­тавля­ющей iPhone, ее невоз­можно уда­лить при помощи сис­темных обновле­ний. Соот­ветс­твен­но, она ока­зыва­ет дол­госроч­ное вли­яние на всю модель безопас­ности в iOS.

По‑видимо­му, дизайн воз­можнос­тей LPM в основном стро­ился исхо­дя из прак­тичес­ких сооб­ражений, без уче­та угроз, воз­ника­ющих при выходе за пре­делы пре­дус­мотрен­ных вари­антов при­мене­ния. Пос­коль­ку сеть Find My Phone про­дол­жает работать и пос­ле вык­лючения iPhone, устрой­ства по опре­деле­нию прев­раща­ются в инс­тру­мент для слеж­ки, а реали­зация про­шив­ки Bluetooth не защище­на от манипу­ляций. Свой­ства сле­жения могут быть незамет­но изме­нены хакером, заполу­чив­шим дос­туп к устрой­ству на уров­не сис­темы. Более того, сов­ремен­ная под­дер­жка циф­ровых авто­мобиль­ных клю­чей тре­бует свер­хши­рокой полосы переда­чи дан­ных в LPM.

В нас­тоящее вре­мя Bluetooth и UWB жес­тко зашиты в безопас­ную сре­ду (SE), имен­но в них хра­нят­ся авто­мобиль­ные клю­чи и дру­гие сек­реты. Учи­тывая, что про­шив­ка Bluetooth под­дает­ся манипу­ляции, дос­туп к интерфей­сам SE откры­вает­ся и из iOS.

Да­же при­том, что во мно­гих вари­антах при­мене­ния LPM повыша­ется уро­вень защищен­ности и безопас­ности, Apple сле­дова­ло бы добавить в iPhone аппа­рат­ный перек­лючатель, который разъ­еди­нял бы устрой­ство и батарею. Это улуч­шило бы ситу­ацию для лиц, осо­бен­но обес­поко­енных кон­фиден­циаль­ностью дан­ных и потен­циаль­но под­вержен­ных слеж­ке. Однако, такого, по понятным нам причинам, не будет.

Хочешь еще? Тогда выбирай:

ReVanced Youtube + TV-Box и Smart TV

Как установить и настроить свой HTTP и Socks Proxy

Скачать бесплатные OpenVPN и shadowsocks профили

Свой неограниченный интернет: VPN+AntiADS+i2p+Tor

Как обойти Windows Defender: meterpreter сессия через python

Сборники различных: чекеров, крипторов, биндеров, доркеров и прочих штук

Как создать фейковую банковскую карты для пробных подписок