Ý nghĩa của việc đặt lại mật khẩu màn hình trong pháp y thiết bị iOS

2024-09-26 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Trong lĩnh vực điều tra pháp y thiết bị iOS, việc sử dụng lỗ hổng checkm8 để trích xuất dữ liệu cấp thấp đã trở thành một thực tế phổ biến. Tuy nhiên, khi sử dụng phương pháp này, đôi khi bạn có thể cần phải gỡ bỏ mã khóa màn hình của thiết bị, điều này có thể dẫn đến một số hệ quả không mong muốn. Trong bài viết này, chúng ta sẽ nghiên cứu các hệ quả này và tìm hiểu khi nào cần phải thiết lập lại mật khẩu màn hình, khi nào có thể tránh được việc này.

pháp y thiết bị iOS

 

Tại sao cần thiết lập lại mật khẩu (và tại sao nó có thể không giúp ích)

Lỗ hổng được sử dụng trong khai thác checkm8 nằm trong bootloader đã được mã hóa cứng. Chính bản thân nó không thể bị thay đổi hoặc vá lỗi bởi Apple. Tuy nhiên, các nhà phát triển của Apple đang nỗ lực để giảm thiểu phần lớn tác động của lỗ hổng khi liên quan đến việc trích xuất dữ liệu.

Với sự phát hành của iOS 14, Apple đã làm cho công việc của các chuyên gia pháp y di động trở nên khó khăn hơn. Đặc biệt trên các iPhone sử dụng chipset A11, iOS 16 đã thêm các biện pháp bảo mật bổ sung cho SEP (Secure Enclave Processor), chịu trách nhiệm bảo vệ dữ liệu của hệ thống. Khi khởi động thiết bị qua chế độ DFU, SEP vô hiệu hóa các khóa mã hóa cần thiết để giải mã dữ liệu người dùng. Trong iOS 15 (trên các thiết bị A10 và A11), việc gỡ bỏ mã khóa khi khởi động ở chế độ bình thường là đủ để không phụ thuộc vào các khóa phần cứng bị vô hiệu hóa trong quá trình trích xuất. Tuy nhiên, trong iOS 16, nếu mã khóa đã được thiết lập trên thiết bị sau khi khôi phục sạch, không thể không phụ thuộc vào các khóa mà SEP vô hiệu hóa, do đó cải thiện đáng kể khả năng bảo vệ dữ liệu người dùng.

Trên các thiết bị A10X cũ hơn (như iPad Pro 2), ta có thể khai thác SEP với blackbird và yêu cầu SEP không vô hiệu hóa các khóa đó, trong khi các thiết bị cũ hơn (<=A9) như iPad 5 không nhận được biện pháp bảo mật này ngay từ đầu.

Do đó, quá trình trích xuất sẽ thất bại nếu mã khóa đã được sử dụng trên iPhone 8, 8 Plus hoặc iPhone X sau thiết lập ban đầu nếu thiết bị đang chạy iOS 16. Nếu một trong những iPhone đó chạy iOS 14 hoặc 15, chúng ta vẫn có thể truy cập dữ liệu người dùng; tuy nhiên, việc gỡ bỏ mã khóa là cần thiết.

 

ios forensics

 

Tóm tắt: khi nào cần thiết lập lại mã khóa

Việc gỡ bỏ mã khóa màn hình chỉ cần thiết nếu (tất cả các điều kiện phải áp dụng):

  • Bạn đang thực hiện trích xuất bằng checkm8
  • Thiết bị là iPhone 8, 8 Plus, hoặc iPhone X
  • Thiết bị đang chạy iOS 14 hoặc 15

Nếu bất kỳ điều kiện nào không đúng, bạn không cần phải gỡ bỏ mã khóa.

 

Tại sao việc gỡ bỏ mã khóa có thể có hại

Có một số hậu quả khi gỡ bỏ mã khóa màn hình trong quá trình điều tra:

  • Quá trình trích xuất không còn đảm bảo tính pháp lý vì nhiều thay đổi được thực hiện trên thiết bị.
  • Việc gỡ bỏ mã khóa có thể làm mất một số dữ liệu vĩnh viễn, chẳng hạn như giao dịch Apple Pay, email tải xuống qua Exchange, một số mã thông báo ứng dụng, v.v.
  • Trong một số trường hợp, mã khóa không thể được gỡ bỏ cho đến khi người dùng đăng nhập vào iCloud từ thiết bị bị ảnh hưởng, điều này tạo ra rủi ro rõ ràng về việc xóa hoặc khóa từ xa, cũng như đồng bộ dữ liệu không mong muốn.
  • Việc thiết lập lại cài đặt thiết bị có thể gây ra nhiều thay đổi hơn nữa trên thiết bị, chưa kể không phải lúc nào cũng khả thi (ví dụ: nếu đã đặt mật khẩu Screen Time, hoặc thiết bị được quản lý).
  • Thiết bị không còn được “tin cậy” theo nghĩa truy cập dữ liệu mã hóa đầu-cuối được lưu trữ trong iCloud.

Vì những lý do này, chúng tôi không khuyến khích việc đặt lại mật khẩu màn hình nếu có thể tránh được. Hãy xem xét việc gỡ bỏ mật khẩu như một biện pháp cuối cùng, chỉ nên thực hiện sau khi cân nhắc kỹ lưỡng tất cả các lợi ích và rủi ro. Nếu bạn vẫn cần phải thiết lập lại mã khóa màn hình, hãy đảm bảo rằng bạn đã sao lưu thiết bị trước đó (ngay cả khi được bảo vệ bằng mật khẩu), các tập tin phương tiện đã được trích xuất qua giao thức AFC, và các nhật ký chẩn đoán và tập tin ứng dụng đã được lưu lại. Hy vọng bài viết trên đã mang lại cho bạn thông tin hữu ích trong lĩnh vực pháp y thiết bị iOS.

 

Tìm hiểu thêm Trích xuất dữ liệu trên iPhone – Đâu là thứ tự đúng? – HTI Services

Từ khóa:

Chia sẻ:

Bài viết liên quan

khôi phục dữ liệu lỗi raw
11Nov

Ổ cứng lỗi RAW: Nguyên nhân và Cách khắc phục

Trong quá trình sử dụng máy tính, người dùng có thể gặp phải tình trạng ổ cứng bị chuyển... read more

sector phys-vs-logical
05Nov

Phân biệt sector vật lý và sector logic

Màn hình xác nhận trên có thể khiến một số người dùng PC-3000 bối rối khi bắt đầu một... read more

hủy dữ liệu
26Oct

Hủy dữ liệu an toàn: Đâu là phương pháp phù hợp?

Mọi thiết bị lưu trữ dữ liệu đều có “tuổi thọ” nhất định và sẽ đến lúc phải ngừng... read more

cách đọc ROM 1
22Oct

Hướng dẫn khôi phục dữ liệu: Cách đọc ROM khi PC-3000 không hỗ trợ

Chip ROM (Read Only Memory) trên PCB chứa firmware, cho phép ổ cứng giao tiếp với máy tính. Để... read more

Hướng dẫn giải mã dữ liệu bị mã hóa phần cứng trên ổ đĩa Western Digital bằng PC 3000 HDD
17Oct

Hướng dẫn giải mã dữ liệu bị mã hóa phần cứng trên ổ đĩa Western Digital bằng PC-3000 HDD

Tại HTI Services, chúng tôi nhận được rất nhiều câu hỏi liên quan đến việc giải mã ổ đĩa... read more

khôi phục dữ liệu hdd
15Oct

Những công cụ không thể thiếu để khôi phục dữ liệu trên ổ HDD

  1. Phòng sạch Trong khôi phục dữ liệu HDD, mở ổ để xử lý các vấn đề phần cứng như... read more

Hotline
092 876 5688