FBI无法破解记者iPhone：苹果锁定模式生效

FBI无法提取启用锁定模式的iPhone数据

近期404Media的一份报告披露，美国联邦调查局（FBI）因**苹果锁定模式（Lockdown Mode）**激活，未能成功访问《华盛顿邮报》记者的iPhone。该事件为这一安全功能在现实场景中对抗执法部门取证工具的有效性提供了罕见的实证。

事件关键细节

今年1月，FBI突击搜查了《华盛顿邮报》记者汉娜·纳坦森（Hannah Natanson）的住所，作为调查泄露机密信息案的一部分。此次搜查与被控“保留国防信息”的政府承包商奥雷利奥·佩雷斯-卢戈内斯（Aurelio Perez-Lugones）有关。根据法庭文件，FBI的计算机分析响应小组（CART）尝试从纳坦森的iPhone中提取数据，但因设备处于锁定模式而失败。

“由于iPhone处于锁定模式，CART无法提取该设备的数据。” ——政府反对归还纳坦森设备的法庭文件

FBI此前曾在执行佩雷斯-卢戈内斯手机的搜查令时，查看了两人之间的Signal消息。然而，FBI无法绕过锁定模式的事实，凸显了该功能作为抵御未经授权访问（甚至包括政府机构）的强大防线的潜力。

锁定模式有效性的技术分析

苹果在iOS 16中引入了锁定模式，作为一项极端安全功能，旨在保护高风险用户——如记者、活动人士和政界人士——免受复杂网络攻击，包括**零点击漏洞（zero-click exploits）和间谍软件（如Pegasus）**的威胁。启用锁定模式后，设备将执行以下限制：

• 阻止大多数消息附件（仅允许图片）
• 禁用Messages中的链接预览
• 限制网页浏览，通过禁用实时（JIT）JavaScript编译
• 阻止来自未知号码的FaceTime来电
• 设备锁定时阻止有线连接至计算机和配件

FBI未能提取数据的事实表明，锁定模式成功阻止了取证工具建立可信连接或利用设备操作系统中的漏洞。不过，法庭文件并未说明FBI是否尝试过其他方法，如零日漏洞利用（zero-day exploits）或物理提取技术。

对安全专业人员的影响与启示

此案例证明，锁定模式能够有效阻止取证提取，即使是资源充足的执法机构也不例外。对于安全专业人员而言，该事件引发了以下关键思考：

1. 高风险用户应启用锁定模式 – 处理敏感数据的记者、活动人士和企业高管应考虑启用锁定模式，以缓解高级威胁。
2. 取证工具的局限性 – FBI的失败表明，商业取证工具（如Cellebrite、GrayKey）在面对启用锁定模式的设备时，效果可能大打折扣。
3. 潜在升级风险 – 虽然锁定模式在此案中有效，但执法部门仍可能寻求其他攻击向量，如利用零日漏洞或针对云备份。
4. 法律与伦理争议 – 该案重新引发了关于加密后门的讨论，以及科技公司是否应为执法部门提供特殊访问权限的争议。

安全团队建议

• 为高风险用户启用锁定模式 – 组织应评估处理敏感数据的员工是否适合启用该功能。
• 结合强认证机制 – 锁定模式与强密码、生物识别安全及硬件保护（如Secure Enclave）结合使用时效果最佳。
• 监控替代攻击向量 – 虽然锁定模式可能阻止设备提取，但攻击者仍可能针对云服务、关联设备或社交工程攻击。
• 跟踪取证工具能力进展 – 安全团队应持续关注移动取证技术的发展，以了解潜在的绕过技术。

结论

FBI因锁定模式无法访问纳坦森的iPhone，为苹果的极端安全功能提供了难得的现实验证。尽管该功能并非万无一失，但它为高风险用户提供了关键的防护层。安全专业人员应评估锁定模式是否符合其威胁模型和防御策略。

更多详情，请参阅404Media原始报告。