Tre inbyggda funktioner för att motverka extraktion av data från en iPhone
I den här bloggposten tänkte jag kort diskutera tre funktioner i iOS för att motverka att någon med fysisk tillgång till en iPhone kan dumpa data från den; USB Restricted Mode, SOS-läge samt parningscertifikat. Detta är relevant vi forensiska utredningen, men även för den som funderar över sin telefons säkerhet rent allmänt.
USB Restricted Mode
I samband med iOS 11.4.1 införde Apple en ny säkerhetsfunktion för iPhones kallad USB Restricted Mode. Funktionen innebär att om du inte låst upp din telefon på 1 timme eller den startar upp från att vara avstängd så är det inte möjligt att använd Lightning-anslutningen till något annat än att ladda telefonen till dess att den blivit upplåst. Syftet med detta är förhindra obehöriga med fysiskt åtkomst till telefonen att extrahera data från telefonen. Exempelvis genom verktyg som Greykey, [2].
För att testa funktionen testade jag att ansluta en uppdaterad iPhone till en dator med iTunes och noterade i vilka situationer datorn identifierar telefonen. Resultaten syns i tabellen nedan.
Telefonläge | USB Restrictive Mode aktivt |
Direkt efter omstart | Ja |
Efter att ha varit låst i 1 timme | Ja |
Efter att ha varit låst i 5 minuter | Nej |
Efter aktivering av SOS-läge | Nej |
Anmärkningsvärt ovan är att USB Restricted Mode ej aktiveras i SOS-läge som även det fungerar som en skyddsfunktion mot extraktion av data.
SOS-läge
SOS-läge aktiveras i iOS genom att trycka på låsknappen 5 gånger i snabb följd. När läget aktiveras innebär det att biometriska upplåsningsfunktioner (TouchID och FaceID) deaktiveras och pinkod krävs för att återaktivera dessa. Ett tänkbart användningsområde för SOS-läget är därför vid passage genom den amerikanska tullen. Detta då tulltjänstemännen till följd av egenheter i den amerikanska lagstiftningen kan tvinga dig låsa upp telefonen med fingret/ansikten, men ej tvinga dig att ange din pinkod. Av denna anledning kan man tycka att det vore naturligt att även USB Restrictive Mode aktiverades i SOS-läget. men så är alltså inte fallet.
Som ett sidospår kan nämnas att för den som vi läsa mer om egenheterna i amerikansk lagstiftning finns ett relevant rättsfall beskrivet i lokaltidningen The Virginia Pilot, [1]. Den aktuella tidningen blockerar dock IP-adresser från Europa för att bli ”compliant” med GDPR på det sätt som beskrevs av Tiina i en tidigare bloggpost.
Hur som helst har artikeln titeln “Police can require cellphone fingerprint, not pass code” och inleds med stycket:
A Circuit Court judge has ruled that a criminal defendant can be compelled to give up his fingerprint, but not his pass code, to allow police to open and search his cellphone. [1]
Parkopplingscertifikat
När man testar att ansluta telefonen till datorn på detta vis stöter man också naturligt på en annan säkerhetsfunktion i iOS nämligen parkopplingscertifikat (eng. pairing certificates). Detta syns för användare när telefonen ansluts till en ny dator genom en fråga om datorn är tillförlitlig eller ej syns på skärmen. Besvaras frågan med ”Lita på” måste detta sedan bekräftas med enhetens pinkod.
Väljer användaren att lita på datorn sparas ett certifikat på båda enheterna. Den intresserade kan hitta certifikatet under /private/var/lockdown/ i macOS och C:\ProgramData\Apple\Lockdown\ i Windows 10. Det har formatet plist vilket är ett konfigurationsfilsformat i macOS som liknar xml. För att läsa dessa filer i macOS kan det inbyggda kommandot plutil och flaggan -p användas enligt nedan. (Notera att root-behörigheter behövs för att läsa filen samt att jag här använder cut för att dölja all värden i filen.)
Dessa certifikat är mycket intressanta för den som vill komma åt information på en iPhone. Detta då existensen av ett sådant certifikat möjliggör att synkronisera en låst iPhone med datorn utan att låsa upp den. Certifikaten hade tidigare inget utgångsdatum, men har sedan iOS 11.3 en giltighetstid på en vecka. De används därför med fördel vid exempelvis forensiska utredningar när de finns att tillgå och fortfarande är giltiga.
Sammanfattning
Sammanfattningsvis kan man säga att en angripare/forensiskutredare som har fysisk tillgång till en låst iPhone kan manuellt komma åt innehållet i denna om:
- USB Restricted Mode ej har aktiverats.
- Hen har tillgång till ett parningscertifikat som är mindre än 7 dagar gamalt.
För det omtalade verktyget Greykey är det svårare att veta hur effektiva Apples skyddsfunktioner är. Detta då väldigt lite publik information finns tillgänglig om verktyget. Viss information framgår dock från artikelserien [2] hos Motherboard. Där kan man å ena sidan läsa att Grayshift (som är företaget bakom Greykey) hävdar att USB Restricted Mode inte är ett hinder för deras verktyg. Å andra sidan kan man också läsa om att de polisdistrikt och federala myndigheter som har köpt produkten i USA nu utreder de juridiska möjligheterna att få extrahera data från en telefon en kort tid efter att den beslagtagits utan tillstånd från domstol, vilket talar för motsatsen.
Slutligen skall tilläggas att det ryska forensikföretaget Elcomsoft har upptäckt en ”bug” som innebär att om man ansluter en enhet till lightningporten inom en timme så nollställs nedräkningen för USB Restricted Mode, [3]. Det är en bug som spelar stor roll om en telefon blir oväntat konfiskerad, men inte har någon påverkan om telefonen är avstängd eller inte använts på ett tag. Vidare känns det sannolikt att buggen ifråga kommer åtgärdats av Apple.
Referenser
[1] – http://pilotonline.com/tncms/asset/editorial/pi733647
[2] – https://motherboard.vice.com/en_us/topic/phone-crackers
[3] – https://blog.elcomsoft.com/2018/01/ios-11-3-adds-expiry-date-to-lockdown-pairing-records/