Недавний отчет 404 Медиа выяснилось, что сотрудники правоохранительных органов обеспокоены тем, что iPhone автоматически перезагружаются, что очень затрудняет взлом этих устройств. Исследователь безопасности Джиска Классен позже обнаружила, что такое поведение вызвано новой функцией под названием «Перезагрузка при бездействии», которая теперь была реконструирована Классеном.
Реверс-инжиниринг iPhoneФункция перезагрузки бездействия
Исследователь подробно рассказал в своем блоге, как именно Apple реализовала перезагрузку бездействия, которая сделала все тихо, не объявляя публично о новой функции безопасности. На основании кода iOS удалось подтвердить, что перезагрузка бездействия была реализована в iOS 18.1, хотя бета-код iOS 18.2 предполагает, что Apple все еще вносит улучшения в ее работу.
Вопреки тому, что считалось ранее, функция безопасности не имеет никакого отношения к беспроводному подключению. Вместо этого он использует процессор Secure Enclave (SEP), чтобы отслеживать, когда iPhone последний раз был разблокирован. Если время последней разблокировки превышает три дня, SEP уведомляет ядро, которое убивает Springboard (который является ядром iOS) и инициирует перезагрузку.
Неудивительно, что, по словам Классена, Apple внедрила способы не дать хакерам обойти этот процесс. Например, если что-то мешает ядру перезагрузить iPhoneсистема автоматически вызовет панику ядра и перезагрузит устройство. Система также отправляет аналитические данные в Apple, когда устройство переходит в состояние «aks-inactivity».
Поскольку все, что связано с перезагрузкой бездействия, происходит в SEP, а не в основном ядре iOS, обойти ее гораздо сложнее — даже если основное ядро скомпрометировано (например, с помощью инструмента для взлома). Как объяснил Классен, о SEP мало что известно, поскольку Apple держит все, включая прошивку, в секрете.
При перезагрузке, iPhone переходит в режим перед первой разблокировкой (BFU), в котором все файлы на устройстве шифруются до тех пор, пока пользователь не введет пароль устройства. Даже Cellebrite, компания по кибербезопасности, специализирующаяся на извлечении данных из заблокированных iPhone, признает, что получить данные с устройства в режиме BFU довольно сложно.
Apple не сообщает, почему она реализовала перезагрузку бездействия на своем компьютере. iPhone с iOS 18, но причины кажутся довольно ясными. Компания, безусловно, хочет бороться с такими инструментами, как шпионское ПО Cellebrite и Pegasus, которые часто используются сотрудниками правоохранительных органов. Конечно, это также защищает обычных пользователей, чьи данные могут быть извлечены после того, как они стали жертвой кражи или ограбления.
Более подробную информацию о реверс-инжиниринге функции перезагрузки бездействия можно найти в блоге Джиски Классен.
