„Pasitelkę „valstybinį Trojos arklį“ – vyriausybės dislokuotą kenkėjišką programą – tyrėjai gali įsilaužti į išmanųjį telefoną. Tačiau tai darosi vis sunkiau, nes įrenginių saugumas nuolat gerėja.
Gruodžio mėnesį Berlyno Atstovų rūmai priėmė Bendrojo saugumo ir tvarkos įstatymo (dar vadinamo Policijos įstatymu) pataisą. Pagal šią pataisą tyrėjai turi teisę ne tik įsilaužti į IT sistemas, bet ir slapta patekti į įtariamųjų namus, kad fiziškai įdiegtų valstybinius Trojos arklius. Šios priemonės skirtos perimti ryšį prieš arba po šifravimo. Kaip tai atrodo praktiškai? Kaip, pavyzdžiui, tyrėjai gali gauti prieigą prie „iPhone“ turinio? Čia apsiribosime technine „Apple“ įrenginių analize, nes „Android“ ekosistema – su daugybe versijų – siūlo visiškai kitokią aplinką, kuri neleidžia daryti apibendrintų teiginių.
„iPhone“ naudotojams, kurie nuolat atnaujina savo įrenginius, laikai, kai pakako paprastų gudrybių, kad būtų galima gauti neteisėtą prieigą, yra praeitis. Trivialūs infekcijos vektoriai, tokie kaip sukčiavimo nuorodos, nukreiptos į pasenusias „WebKit“, pagrindinio interneto naršyklės variklio, pažeidžiamumus, dažniausiai yra neveiksmingi dabartinėse „iOS“ versijose, nes „Apple“ paprastai labai greitai pataiso tokias saugumo spragas.
Šiose techninėse ginklavimosi lenktynėse tyrėjai, vykdantys stebėjimą, beveik išimtinai sutelkia dėmesį į „nulinio paspaudimo išnaudojimus“. Kaip rodo pavadinimas, šis atakos vektorius yra ypač klastingas, nes jam nereikia jokios aukos sąveikos. Vartotojui nereikia spustelėti nuorodos ar atidaryti failo. Vietoj to, užpuolikai išnaudoja sistemos paslaugų, kurios fone automatiškai apdoroja duomenis, pvz., pranešimus ar vaizdus, pažeidžiamumus.
Tačiau net ir sėkmingo užkrėtimo atveju tyrėjai susiduria su technine dilema. Šiuolaikiniuose „iPhone“ telefonuose sunku įdiegti kenkėjiškas programas visam laikui. To priežastis slypi „saugioje įkrovos grandinėje“ – saugumo mechanizme, kuris kiekvieną kartą paleidus įrenginį patikrina operacinės sistemos branduolio vientisumą ir taip aptinka bet kokius klastojimo požymius. Todėl dauguma šiuolaikinių šnipinėjimo programų, tokių kaip liūdnai pagarsėjusi „Pegasus“ programinė įranga, yra laikinos, nes jos yra tik įrenginio RAM atmintyje. Kai tik vartotojas perkrauna įrenginį, Trojos arklys pašalinamas.
Norėdami apeiti šį apsaugos mechanizmą, tyrėjai nuolat stebi tikslinio įrenginio prisijungimo būseną. Jei Kai „iPhone“ po perkrovimo vėl prisijungia prie tinklo, automatiškai išsiunčiamas naujas nulinio paspaudimo išnaudojimas (pvz., specialiai sukurtas „iMessage“ pranešimas), visiškai nematomas vartotojui, kad akimirksniu atnaujintų užkrėtimą. Reaguodama į šias itin sudėtingas grėsmes, „Apple“ pristatė „Lockdown Mode“ (užrakinimo režimą), kuris sumažina atakos paviršių, iš anksto išjungdamas tam tikras funkcijas. Techniškai tai reiškia, pavyzdžiui, beveik visų priedų blokavimą „Messages“ programėlėje arba „Safari“ naršyklėje išjungiant „Just-in-Time“ (JIT) kompiliavimą. JIT yra technika, kuri pagreitina „JavaScript“ kodo vykdymą vykdymo metu, tačiau dažnai tarnauja kaip sudėtingų atakų įėjimo taškas. Kai šis režimas aktyvus, žinomi atakų metodai neveikia. Tyrėjams tai reiškia, kad nuotolinė užkrėtimas tampa neįmanomas nenaudojant naujų ir brangių nulinės dienos išnaudojimų. Jei nuotolinė skaitmeninė prieiga nepavyksta (pvz., dėl aktyvuoto „Lockdown Mode“) – dėmesys perkeliamas į fizinę teismo ekspertizę, kai valdžios institucijos konfiskuoja įrenginį arba gauna fizinę prieigą prie jo, pavyzdžiui, slaptos gyvenamosios vietos paieškos metu. Šiame etape pasitelkiami tokių įmonių kaip Izraelio įmonė „Cellebrite“ arba Amerikos tiekėja „Magnet Forensics“ (su savo produktu „GrayKey“) išgavimo įrankiai. žaisti.
Šie įrenginiai jungiasi tiesiogiai per įkrovimo prievadą ir išnaudoja aparatinės arba programinės įrangos pažeidžiamumus, kad manipuliuotų ryšiu su įrenginio saugiu anklavo procesoriumi. Tikslas – apeiti dirbtinius laiko uždelsimus, taikomus įvedant slaptažodį, ir atspėti atrakinimo kodą naudojant „brutalią jėgą“ – automatinį, sistemingą visų įmanomų skaitmeninių kombinacijų testavimą.
Tačiau šių fizinių atakų sėkmė priklauso nuo dabartinės įrenginio būsenos; tyrėjai išskiria du konkrečius režimus: AFU ir BFU. AFU reiškia „po pirmojo atrakinimo“ ir reiškia įrenginį, kuris buvo atrakintas bent kartą nuo paskutinio paleidimo iš naujo. Šioje „karštoje“ būsenoje kriptografiniai raktai dažnai lieka RAM atmintyje, kad palengvintų foninius procesus – būsena, kuri suteikia tokioms priemonėms kaip „GrayKey“ didelį sėkmės rodiklį. Priešingai, BFU būsena (trumpas nuo „prieš pirmąjį atrakinimą“) taikoma, kai įrenginys ką tik paleistas iš naujo arba jo baterija išsikrovė. Šioje „šaltoje“ būsenoje duomenys yra maksimaliai užšifruoti, o raktai yra saugiai izoliuoti saugos procesoriuje, todėl prieiga prie jų tampa neįmanoma.
Būtent čia – su „iOS 18“, pristatyta 2024 m. kūrėjų konferencijoje – „Apple“ pristato naują kliūtį, kuri vadinasi „Perkrovimas“ (angl. Reboot). Ši funkcija užtikrina, kad „iPhone“, kuris nebuvo atrakintas tam tikrą laikotarpį – kaip pranešama, apie 72 valandas – automatiškai paleistų iš naujo. Tyrėjams tai keblus klausimas, nes įrenginys automatiškai pereina iš AFU būsenos į saugią BFU būseną. Savaitgalį įrodymų spintelėje buvęs konfiskuotas „iPhone“ iki pirmadienio tyrėjams gali būti neprieinamas. Sunkumą dar labiau apsunkina pavogtų įrenginių apsauga, kuri nepažįstamose vietose, tokiose kaip policijos nuovada, reikalauja biometrinio autentifikavimo naudojant „Face ID“ ir neleidžia pasiekti atsarginių kopijų arba pakeisti slaptažodžio, naudojant vien skaitmeninį kodą.“ [1]
1. Stille Spione. Frankfurter Allgemeine Zeitung; Frankfurt. 30 Dec 2025: T4. Von Michael Spehr
Komentarų nėra:
Rašyti komentarą