苹果的公开信——他们不能或不会后门 iOS?

信息安全 加密 IOS 后门
2021-08-07 23:20:01

苹果公司向公众发布了一封公开信,概述了他们不遵守联邦调查局修改 iPhone 安全机制的要求的原因。

这是一个摘要:

  • FBI 拥有一部 iPhone,他们想从中获取数据。手机已锁定并完全加密。
  • 在未能进入手机后,联邦调查局要求苹果解锁手机。
  • 苹果表示,由于手机是加密的,他们也无法进入。
  • FBI 要求 Apple 修改 iPhone 操作系统,以启用电子暴力密码尝试。(目前只能通过手动界面输入密码,并且限制尝试10次。)
  • 苹果拒绝了。他们认为,做出这种改变太危险了,因为如果在坏人手中,它会破坏所有 iPhone 用户的安全,即使他们只在这种情况下使用该软件。

我理解 Apple 不想做出改变的立场,尤其是对于新手机,但目前尚不清楚是否真的可以做出改变并将其安装在现有的锁定和加密手机上。他们真的可以为现有的加密电话实现这一点吗?如果是,那么简单地知道这是否可能也会破坏安全性?在我看来,这只是他们试图关闭的后门的一步。

更新:由于这是一个安全论坛,我觉得重要的是要指出 Apple 使用后门这个词的方式与我们通常在此站点上使用的方式不同。按照我们使用的典型定义, FBI 要求 Apple 做的事情不会导致后门,这类似于万能钥匙。相反,在这种情况下,如果 Apple 遵守,FBI 将能够尝试暴力破解手机上的密码。密码的强度将决定他们是否成功获得访问权限。根据 Dan Guido 的文章(链接到 Matthew 的回答中),如果每个密码尝试需要 80 毫秒,那么平均而言(根据我的计算)暴力破解密码所需的时间:

  • 4位数字密码:约7分钟
  • 6位数字密码:约11小时
  • 6 个字符区分大小写的字母数字密码:72 年
  • 10 个字符区分大小写的字母数字密码:10 亿年

显然,如果使用4位或6位数字密码,那么蛮力方法基本上可以保证成功,这将类似于后门但是如果使用硬密码,那么该方法可能应该被称为后门以外的东西,因为不能保证甚至不可能获得访问权限。

更新 2:一些专家提出,理论上 FBI 可以使用特殊工具从手机中提取设备 ID。有了这一点,再加上一些决心,应该可以在没有 Apple 帮助的情况下强制将手机的 pin 离线。在不破坏手机的情况下这实际上是否可行还有待观察,但有趣的是,如果可以做到,我在上述更新中提到的数字将变得毫无意义,因为离线工具可以比每次尝试更快地测试密码 80 毫秒。我确实相信,仅仅知道这是可能的,或者甚至知道 Apple 可以安装新固件以更快地强制密码,确实意味着稍微降低了所有用户的安全感。无论苹果是否选择遵守命令,我都相信这是真的。

这里有多个优秀的答案,很难选择哪一个最好,但唉,只能有一个。

更新 3:似乎解锁手机的密码实际上只是一个4 位数的密码我觉得这很有趣,因为这意味着 FBI 要求 Apple 做一些不必要的事情。他们本可以简单地要求 Apple 在尝试错误后禁用擦除功能和时间延迟。仅通过这 2 项更改,您就可以在 14 小时内(每次尝试 5 秒)手动尝试所有 10,000 个可能的 4 位代码。FBI 还要求 Apple 允许他们以电子方式进行暴力破解这一事实对我来说似乎很奇怪,因为他们知道他们不需要它。

更新 4:事实证明,联邦调查局能够在没有苹果帮助的情况下解锁手机,因此他们放弃了对苹果的诉讼。IMO,总的来说,这对苹果来说是个坏消息,因为这意味着他们的安全性(至少在那种手机上)没有以前想象的那么强。现在,联邦调查局也提出帮助当地执法部门解锁其他 iPhone。

4个回答

各种评论员认为,在本案涉及的特定硬件上,这将是可能的。例如,Trail of Bits 的 Dan Guido提到,使用正确的固件签名,即使没有密码,也可以覆盖固件。从那里,可以尝试对密码进行暴力攻击以解密数据。

如果固件替换被错误地签名,并且签名密钥到目前为止已被 Apple 保护,这似乎是不可能的。

他还提到,这在一些后来的设备上是不可能的,因为密码检查是在一个单独的硬件模块中实现的,这会在尝试之间强制执行时间延迟。

2017 年 2 月编辑:Cellebrite(一家数据取证公司)宣布能够从大多数 iPhone 从 4S 到 6+ 解锁和提取数据,强烈表明某处存在漏洞,他们可以利用该漏洞。他们还没有公布这方面的全部细节。

在做了一些研究之后,我现在相信这是可能的,但这并不容易。无需过多技术,如果您仔细观察,Apple 一再暗示他们可以做到

美国政府要求 Apple 采取前所未有的措施,这会威胁到我们客户的安全。

但现在美国政府要求我们提供一些我们根本没有的东西,以及我们认为太危险而无法创造的东西。

具体来说,FBI 希望我们制作一个新版本的 iPhone 操作系统,绕过几个重要的安全功能,并将其安装在调查期间回收的 iPhone 上。在坏人手中,这个软件——今天还不存在——将有可能解锁某人实际拥有的任何 iPhone

以这种方式构建一个绕过安全性的 iOS 版本无疑会创建一个后门

虽然我们认为 FBI 的意图是好的,但政府强迫我们在产品中建立后门是错误的最终,我们担心这种要求会破坏我们政府本应保护的自由和自由。

如果他们做不到,那么以这种方式对此做出回应可能是一个有争议的问题。我想说,如果他们愿意,他们可以实现这样的功能。

他们真的可以为现有的加密电话实现这一点吗?

是的。他们可以提供禁用反暴力破解功能的操作系统编译映像。他们正在写一封公开信恕我直言,这意味着他们已经用尽所有借口不这样做,这意味着他们完全有能力这样做。

他们必须能够自动更新他们无权访问的手机。

不会。他们会向 FBI 提供二进制文件。FBI 可以对手机进行物理访问,并且可以对其进行闪烁。他们无法自己准备这样的图像,因为 iPhone 会检查 Apple 私钥的签名。实际上,这把钥匙可以让 FBI 自己做所有的事情(嗯,需要付出相当大的逆向工程成本),但他们并没有傲慢到要求它的地步。

如果他们真的可以做到这一点,那么简单地知道这是可能的也不会破坏安全性吗?在我看来,这只是他们试图关闭的后门的一步。

它是。这些二进制文件的持有者可以拿走任何 iPhone 5C,用这个版本刷写它,然后轻松地暴力破解它。(或者准确地说,任何可以正确运行 5C 固件的型号)。这不是未来的后门,它是您可以亲身体验的每一部 iPhone 5C 的万能钥匙。

只有苹果知道,但我猜他们会这样做。我怀疑 FBI 非常清楚什么是可能的,什么是不可能的,特别是因为苹果一直在与他们合作。为 FBI 工作的人也不是白痴,我敢打赌这不是他们用 iPhone 调查的第一起犯罪。

此外,苹果反对破坏这款特定手机的论点似乎是他们认为这样的行为会危及所有手机。尽管这种信念的流行,其基于怀疑而不是事实,但实际的 FBI 命令要求提供以下固件:

  • 仅限于相关设备
  • 无需离开 Apple 工厂

具体来说,联邦调查局要求:

  • 可应用于任何手机的漏洞利用
  • 访问可利用的固件
  • 无人监督地访问被利用的手机
  • 访问 Apple 的代码签名密钥

IANAL,但我敢打赌这样的事情是非法的。即使你想相信联邦调查局是一个恶意组织,他们也不会在法庭命令中要求这样的事情。

这是订单的相关部分,突出显示了有趣的部分:

苹果合理的技术协助应完成以下三个重要功能: (1) 无论是否启用自动擦除功能,都会绕过或禁用该功能;(2) 它将使 FBI 能够通过物理设备端口、蓝牙、Wi-Fi 或 SUBJECT DEVICE 上可用的其他协议向 SUBJECT DEVICE 提交密码以进行电子测试,并且 (3) 它将确保当 FBI 提交时SUBJECT DEVICE 的密码,设备上运行的软件不会故意在密码尝试之间引入任何额外的延迟,超出 Apple 硬件造成的延迟。

Apple 的合理技术援助可能包括但不限于:向 FBI 提供可加载到 SUBJECT DEVICE 的签名 iPhone 软件文件、恢复包或其他软件映像文件 (“SIF”)。SIF 将从随机存取存储器加载和运行,不会修改实际手机上的 iOS、设备闪存上的用户数据分区或系统分区。SIF 将由 Apple 使用手机的唯一标识符进行编码,以便 SIF 仅在 SUBJECT DEVICE 上加载和执行。SIF 将通过设备固件升级 (“DFU”) 模式、恢复模式或 FBI 可用的其他适用模式加载。一旦在 SUBJECT DEVICE 上激活,SIF 将完成第 2 段中指定的三个功能。SIF 将在政府机构或 Apple 机构加载到 SUBJECT DEVICE;如果是后者,Apple 应通过允许政府进行密码恢复分析的计算机向政府提供对 SUBJECT DEVICE 的远程访问。

很明显,FBI 相信苹果可以编写这个被入侵的固件,这样它就只能在 FBI 需要访问的特定手机上工作。由于固件必须由 Apple 签名才能运行,因此 FBI 或其他任何人都无法修改此受损固件以在另一部手机上运行。如果是这样的话,FBI 可以直接修改当前的固件,无需 Apple 的帮助。因此,这似乎解决了任何手机都可能受到损害的担忧。

FBI 也愿意将手机交给 Apple,因此固件甚至不需要由 FBI 拥有。这似乎解决了固件会“落入坏人之手”的担忧。即便如此,鉴于之前的规定,它也不能被利用。

鉴于联邦调查局命令中的这些条款似乎专门解决了苹果信中的担忧,我们只能猜测苹果拒绝该命令的原因可能是什么。

苹果可能没有告诉我们一些技术细节,而 FBI 也不知道这些细节。或者也许联邦调查局决定要求他们已经知道不可能的事情。

苹果也有可能认为这是一个很好的公关。苹果当然有经济利益,让 iPhone 看起来“即使是 FBI 也无法破解”。苹果也可能试图利用反政府情绪。

有人可能会争辩说,不规避手机上的安全措施是有道德原因的,而且隐私比所有其他问题都更重要,即使该手机已被指控侵犯人们隐私以调查犯罪的联邦局合法没收,那个电话属于现在已经死去的恐怖分子,电话可能包含可以防止进一步恐怖袭击的情报。下次执法机构想要进入某人家时,我将等待 Schlage 发布类似的公开信。

有人可能会争辩说,依靠可能是 4 位数字密钥来加密数据几乎不安全,无论苹果是否提供帮助,FBI 都会进入那部手机。他们可能只需要执行一些更困难的物理攻击。通过蛮力破解一个病态的弱密钥几乎不是后门。是前门。

也许法院会解决,也许不会。可能我们永远不会知道。

其它你可能感兴趣的问题
上一篇“烧掉一个零日”是什么意思? 下一篇OAUTH、OpenID 和 OPENID Connect 之间的区别非常简单?