随着iOS17.3的发布,苹果公司推出了一项名为“被盗设备保护”的新安全功能。该功能旨在防止窃贼在获得iPhone密码的情况下未经授权访问敏感数据。虽然该功能大大增强了终端用户的安全性,但同时也给数字取证专家造成了巨大的障碍,使合法的数据提取变得更加复杂。
逻辑提取的障碍
通过许多取证工具所采用的标准机制,作为高级逻辑提取流程的一部分,获取苹果设备上的数据历来是最可行的方法。其他方法,如底层提取,要么仅限于旧设备和iOS版本(目前支持到iOS 16.6.1),要么仅限于传统设备。基于云的分析也带来了挑战,因为它需要完整的用户凭据,此外还需要设备密码才能访问端到端加密数据。
要实现逻辑提取,iPhone必须首先与电脑建立信任配对关系。这一过程要求用户手动点击“信任”,并在设备上输入屏幕锁密码。在配对过程中,手机会生成一个密钥对,其中一个密钥保存在电脑上,另一个保存在设备上。没有这些密钥,手机和电脑之间就无法进行数据交换。在进行逻辑数据提取之前,必须完成配对步骤。不过,在启用“被盗设备保护”后,这个阶段需要进行生物识别验证。
如果设备所有者不在或无法提供生物识别身份验证,逻辑提取就几乎不可能。
什么时候开始的
在iOS 17.3之前(特别是首次引入该功能的开发者预览版),iPhone与电脑配对并建立信任只需要设备的屏幕密码。启用“被盗设备保护”后,又多了一层安全保护。启用该功能后,在与新电脑配对或执行其他各种安全敏感操作时(详见苹果公司的文档),仅输入密码已不再足够。除密码外,还需要通过Face ID或Touch ID进行生物识别验证。
有趣的是,苹果公司关于“被盗设备保护”的官方描述中并没有明确提及电脑配对的生物识别验证要求。不过,取证专家们观察到,设备确实执行了该保护措施。
可替代的取证方法
我们一直说,逻辑提取是最直接、最广泛兼容的取证提取方法。随着这项新安全措施的实施,逻辑提取技术变得十分有限,但其他底层提取方法可能根本无法使用。
底层提取面临严重的兼容性问题。云分析也有其自身的局限性。访问大量用户数据需要完整的用户凭证,而解密端到端加密内容也需要设备屏幕锁密码。
对于受新功能保护的设备,人工审查可能是唯一可行的取证方法。这一过程包括手动检查设备内容,同时通过照片、视频或截图记录检查结果。
人工审查可能包括浏览设备,通过AirDrop或云服务共享所选数据,以及通过截图、照片和视频记录捕捉屏幕内容。
优点
- 快速简单。
- 兼容任何解锁设备。
缺点
- 不符合取证要求(通常在法律上也不被采纳)。
- 会更改设备上的数据。
- 以这种方式收集的数字证据的完整性值得怀疑,因此必须彻底记录所采取的每一个步骤。
- 只能访问有限的数据子集。除非在“熟悉的位置”访问,否则敏感信息(如保存的密码)仍受“被盗设备保护”的保护。
只有在无法使用其他方法的情况下,才可将人工审查作为最后手段。即便如此,也必须认真考虑法律和程序方面的限制。
禁用“被盗设备保护”
虽然禁用该功能是可能的,但仍有几个难题需要克服。很明显,该功能本身受生物识别身份验证的保护;要禁用“被盗设备保护”,生物识别身份验证是必须的。更糟糕的是,如果设备不在“熟悉的位置”,iOS还会额外延迟一小时。延迟意味着用户必须进行两次身份验证——一次是启动停用,另一次是在延迟时间结束后。最后,如果用户启用了严格设置,即使设备处于“熟悉的位置”,也会执行额外的延迟。
“熟悉的位置”的作用
苹果允许用户配置安全设置,使某些保护措施(包括一小时延迟)仅在设备离开“熟悉的位置”时才适用。默认情况下,“被盗设备保护”仅在iPhone离开其识别的地点(如家或工作地点)时才会应用这些额外的保护措施。苹果没有透露用于确定这些地点的详细机制。用户可以手动覆盖这一默认行为,从而启用一小时的延迟,无论设备是否处于“熟悉的位置”。
备份和设备传输
根据苹果公司的文档,"当你从iCloud备份恢复或直接从以前的iPhone转移到新的iPhone时,你的设备设置(包括被盗设备保护)也会被恢复。经过短暂的延迟后,从iCloud同步熟悉的位置,被盗设备保护安全措施会自动在新设备上恢复。
此外,启动从旧iPhone到新iPhone的直接传输也需要生物识别身份验证。
Conclusion总结
我们曾讨论过苹果对单一安全因素的依赖:屏幕定位密码。当时,知道这个密码往往就足以完全访问设备,甚至重置iCloud认证。有了“被盗设备保护”功能,苹果通过对关键操作要求进行生物识别验证,向安全层多样化又迈出了一步。
虽然这一功能通过防止未经授权访问被盗设备提高了用户安全性,但却大大增加了取证调查的复杂性。面临更多安全障碍的数字取证调查员们现在必须克服数据提取方面的新挑战了。
作者:Oleg Afonin 翻译:Doris 转载请注明。