Эксперты безопасности назвали шифрование в iOS почти бесполезным

0
109

Эффективность защитных механизмов, применяемых Apple в своих устройствах, никогда не ставилась под вопрос. Скорее, напротив. Достаточно было посмотреть на реакцию представителей отрасли на очередную инициативу компании в сфере защиты конфиденциальности. Что запрет перекрёстного отслеживания в Safari, что обязанность разработчиков запрашивать разрешение на отслеживание, что необходимость публиковать ярлыки безопасности в App Store. Все они в своё время вызвали негодование разработчиков и рекламных компаний, поскольку им стало сложнее следить за пользователями. Но, оказывается, этого недостаточно для хорошей защиты.

Эксперты безопасности назвали шифрование в iOS почти бесполезным

Безопасность iOS находится не на таком высоком уровне, как принято считать

Google перестала обновлять приложения для iOS, чтобы не сообщать, какие данные она собирает

Группа экспертов в области безопасности Университета Джона Хопкинса выявила недостатки в системах шифрования iOS, которые могут подвергнуть пользователей опасности. Исследование показало, что Apple неэффективно использует шифрование, применяя его как-то выборочно.

Когда iPhone защищён лучше всего

Эксперты безопасности назвали шифрование в iOS почти бесполезным

Самое безопасное состояние, в котором может находиться iPhone, — до первой разблокировки после включения

Из-за этого повышается потенциальный риск взлома, поскольку, если злоумышленники будут знать о незащищённых сегментах операционной системы, они наверняка попытаются этим воспользоваться. В результате практически наверняка их ждёт успех.

В iOS имеется вся необходимая инфраструктура для иерархического шифрования, которая выглядит надёжно только на бумаге. Но я был неприятно удивлён, когда узнал, насколько неэффективно она используется, — рассказал Максимилиан Зинкус, автор исследования.

Разработчики планируют отслеживать пользователей iOS в обход правил Apple

Когда iPhone загружается впервые после отключения, все данные, которые он хранит, находятся в состоянии «Полная защита» (BFU – before first unlock), и пользователь должен разблокировать его, чтобы всё это расшифровать. Это действительно очень надёжно. Однако после первой разблокировки – паролем, отпечатком или лицом – больший объём данных переходит в состояние «Защищено до аутентификации» (AFU – after first unlock), в котором смартфон пребывает 95% времени. Оно хоть и предполагает шифрование, но уже не такое надёжное, как в первом случае.

В iOS 14.3 нашли функцию поиска вещей — вот как ее включить

В состоянии «Защищено до аутентификации» iPhone хранит ключи шифрования в быстром доступе, где с ними могут взаимодействовать приложения. То есть ничто не мешает злоумышленнику обнаружить какие-то уязвимости и воспользоваться ими, чтобы потянуть за нужные ниточки и получить доступ к заблокированному вроде бы устройству.

Хорошо ли защищён iPhone

Эксперты безопасности назвали шифрование в iOS почти бесполезным

Мы привыкли думать, что шифрование решает все проблемы безопасности. Но это не так

Я пребывал в настоящем шоке, когда мы проанализировали защищённость смартфонов Apple. Ведь мы всегда думали, что iPhone действительно хорошо защищают пользователей и их данные. Теперь, когда мы закончили проект, я реально понимаю, что на мобильном рынке не существует такой защиты, которая действительно нужна нам и оправдана с точки зрения разумной безопасности. Не понимаю, зачем правоохранительные органы требуют от Apple сделать бэкдор в iOS, если они и так могут с лёгкостью взламывать iPhone, — поразился Мэтью Грин, исследователь из команды Зинкуса.

На самом деле Грин не преувеличивает, говоря о взломах iPhone правоохранительными органами. Высоко вероятно, что именно уязвимости в системах шифрования iOS использует инструментарий GrayShift. В результате им даже не приходится подбирать пароли, на что может уйти действительно много времени. Они просто находят брешь в операционной системе и эксплуатируют её, после чего получают доступ к ключам шифрования и снимают блокировку с заблокированного смартфона.

Apple запретит установку некоторых iOS-приложений на Mac с M1. Что дальше?

На самом деле в ослабленном состоянии защиты постоянно пребывают не все данные. Некоторые типы информации всё время хранятся в тщательно зашифрованном виде. Это данные штатного приложения «Почта», книги, история Safari и ещё некоторых приложений. Однако до 2012 года защита была более основательной. Просто с того года Apple приняла решение ослабить её, чтобы не допустить конфликта служб геолокации и других системных функций, которые стали более активно применяться в работе iPhone и сторонних приложений.

ЧИТАТЬ ТАКЖЕ:  В iOS 14 появилась мини-игра из iPod Classic. Где её найти и как играть

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь