НАЗАД К НОВОСТЯМ
Исследования

ФБР не смогло получить доступ к iPhone журналиста из-за активации режима блокировки Apple

4 мин чтенияИсточник: Schneier on Security

ФБР не удалось извлечь данные с iPhone репортёра The Washington Post из-за включённого режима блокировки Apple. Случай подтверждает эффективность функции против инструментов правоохранительных органов.

ФБР не смогло извлечь данные с iPhone с включённым режимом блокировки

Недавний отчёт 404Media раскрывает, что ФБР не удалось получить доступ к iPhone репортёра The Washington Post из-за активации режима блокировки Apple (Lockdown Mode). Инцидент стал редким реальным подтверждением эффективности этой защитной функции против судебных инструментов правоохранительных органов.

Основные детали инцидента

В январе ФБР провело обыск в доме Ханны Натансон, журналистки The Washington Post, в рамках расследования утечек секретной информации. Обыск был связан с Аурелио Пересом-Лугоньесом, государственным подрядчиком, обвинённым в хранении информации, относящейся к национальной обороне. Согласно судебным документам, Группа компьютерного анализа и реагирования (CART) ФБР попыталась извлечь данные с iPhone Натансон, но потерпела неудачу, так как устройство находилось в режиме блокировки.

«Поскольку iPhone находился в режиме блокировки, CART не смогла извлечь данные с этого устройства».Судебный документ правительства, выступающего против возврата устройств Натансон

Ранее ФБР изучило сообщения в Signal между Пересом-Лугоньесом и Натансон при исполнении ордера на обыск его телефона. Однако неспособность агентства обойти режим блокировки подчёркивает потенциал этой функции как надёжной защиты от несанкционированного доступа — даже со стороны государственных органов.

Технический анализ эффективности режима блокировки

Apple представила режим блокировки в iOS 16 как экстремальную меру безопасности, предназначенную для защиты пользователей с высоким уровнем риска — таких как журналисты, активисты и политики — от сложных кибератак, включая бескликовые эксплойты (zero-click exploits) и шпионское ПО, такое как Pegasus. При активации режим блокировки:

  • Блокирует большинство вложений в сообщениях (за исключением изображений)
  • Отключает предпросмотр ссылок в приложении Messages
  • Ограничивает веб-сёрфинг, отключая JIT-компиляцию JavaScript
  • Блокирует входящие звонки FaceTime с неизвестных номеров
  • Запрещает проводные подключения к компьютерам и аксессуарам при заблокированном устройстве

Неудача ФБР в извлечении данных позволяет предположить, что режим блокировки успешно предотвратил установление судебными инструментами доверенного соединения или эксплуатацию уязвимостей в операционной системе устройства. Однако в судебных документах не уточняется, пыталось ли ФБР использовать альтернативные методы, такие как эксплойты нулевого дня (zero-day exploits) или методы физического извлечения данных.

Последствия и значение для специалистов по безопасности

Этот случай демонстрирует, что режим блокировки может быть эффективным средством сдерживания судебного извлечения данных даже для хорошо оснащённых правоохранительных органов. Для специалистов по кибербезопасности инцидент поднимает несколько ключевых вопросов:

  1. Пользователям с высоким уровнем риска следует активировать режим блокировки – Журналистам, активистам и корпоративным руководителям, работающим с конфиденциальными данными, стоит рассмотреть возможность включения режима блокировки для снижения угрозы сложных атак.
  2. Ограничения судебных инструментов – Неудача ФБР указывает на то, что коммерческие судебные инструменты (например, Cellebrite, GrayKey) могут иметь сниженную эффективность против устройств в режиме блокировки.
  3. Возможность эскалации – Хотя режим блокировки оказался эффективным в этом случае, правоохранительные органы могут прибегнуть к альтернативным векторам атак, таким как эксплуатация уязвимостей нулевого дня или атаки на облачные резервные копии.
  4. Юридические и этические дебаты – Инцидент вновь разжигает дискуссии о бэкдорах в шифровании и о том, должны ли технологические компании предоставлять правоохранительным органам особый доступ к защищённым устройствам.

Рекомендации для команд безопасности

  • Активируйте режим блокировки для пользователей с высоким уровнем риска – Организациям следует оценить, могут ли сотрудники, работающие с конфиденциальными данными, извлечь пользу из этой функции.
  • Сочетайте с надёжной аутентификацией – Режим блокировки наиболее эффективен в сочетании с надёжными паролями, биометрической защитой и аппаратными средствами защиты (например, Secure Enclave).
  • Мониторьте альтернативные векторы атак – Хотя режим блокировки может предотвратить извлечение данных с устройства, злоумышленники всё ещё могут атаковать облачные сервисы, связанные устройства или использовать методы социальной инженерии.
  • Следите за развитием возможностей судебных инструментов – Командам безопасности стоит отслеживать прогресс в области мобильной криминалистики, чтобы понимать потенциальные методы обхода защиты.

Заключение

Неспособность ФБР получить доступ к iPhone Натансон из-за режима блокировки стала редким реальным подтверждением эффективности экстремальной защитной функции Apple. Хотя она и не является абсолютной защитой, режим блокировки служит критически важным уровнем защиты для пользователей с высоким уровнем риска. Специалистам по безопасности следует оценить, соответствует ли режим блокировки их моделям угроз и стратегиям защиты.

Для получения дополнительной информации обратитесь к оригинальному отчёту 404Media.

Поделиться

TwitterLinkedIn