HARD CORE SECURITY LAB

Wiele najbogatszych korporacji oraz dziesiątki instytucji rządowych wyposażyło swych pracowników w smartfony iPhone. Aby wyjść naprzeciw wymaganiom tych użytkowników, firma Apple wprowadziła do iPhona 3GS możliwość ochrony wszelkich danych zgromadzonych w urządzeniu poprzez zastosowanie silnego szyfrowania. Okazuje się jednak, że uzyskanie dostępu do zaszyfrowanych danych przez niepowołaną do tego osobę jest niezwykle proste...

Skuteczne ataki pozwalające na uzyskanie dostępu do zaszyfrowanych danych przechowywanych w smartfonie iPhone nie są nowością. W lipcu 2009 roku Jonathan Zdziarski zaprezentował metodę polegającą na wykorzystaniu zmodyfikowanego jądra systemu operacyjnego, co pozwoliło mu na obejście mechanizmów zabezpieczających:

Wspomniany badacz zaprezentował również metodę pozwalającą na odzyskanie wszelkich danych zgromadzonych w zaszyfrowanym urządzeniu:

Okazuje się jednak, że uzyskanie dostępu do zaszyfrowanych danych zgromadzonych w smartfonie iPhone może być jeszcze prostsze! Cheers Bernd zauważył, że już samo podłączenie mobilnego urządzenia 3GS do komputera pracującego pod kontrolą systemu operacyjnego Ubuntu 10.4 (Lucid Lynx) pozwala na... swobodne uzyskanie dostępu do części danych bez jakiejkolwiek uwierzytelnienia!
Pomimo, że w takowy sposób nie uzyskamy dostępu do zapisanych wiadomości SMS, e-maili oraz książki adresowej, to jednak podłączenie iPhonea do Ubuntu pozwala na pełny dostęp do lokalnych danych użytkownika, takich jak np. przechowywane w urządzeniu zdjęcia. Wszystkich posiadaczy smartfonów iPhone 3GS proszę o sprawdzenie, czy w przypadku waszych urządzeń tego typu obejście zabezpieczeń jest również możliwe.

Okazuje się więc, że urządzenie jest w stanie samo odszyfrować dane bez konieczności wprowadzenia przez użytkownika hasła, co powoduje, że zastosowane silne szyfrowanie AES-256 staje się bezużyteczne. Po raz kolejny mamy więc dowód na to, że najważniejsze nie jest to, jak silny algorytm szyfrowania został zastosowany. Kluczowe jest to, w jaki sposób zostały zaimplementowane wszystkie mechanizmy bezpieczeństwa. Wygląda na to, że w przypadku iPhonea zupełnym nieporozumieniem jest sposób w jaki zrealizowano mechanizmy zarządzania kluczami szyfrowania.

Firma Apple zapowiada jednak znaczne udoskonalenie mechanizmów szyfrowania danych w nadchodzącym wydaniu systemu operacyjnego iPhone OS 4. Miejmy więc nadzieję, że tym razem zwykłe podłączenie urządzenia do komputera nie pozwoli na dostęp do naszych prywatnych danych. Osoby przechowujące newralgiczne dane w zaszyfrowanych telefonach iPhone 3GS powinny zaś na chwilę obecną zwracać baczną uwagę na to, kto ma dostęp do tychże urządzeń.