Ý nghĩa của việc đặt lại mật khẩu màn hình trong pháp y thiết bị iOS

2024-09-26 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Trong lĩnh vực điều tra pháp y thiết bị iOS, việc sử dụng lỗ hổng checkm8 để trích xuất dữ liệu cấp thấp đã trở thành một thực tế phổ biến. Tuy nhiên, khi sử dụng phương pháp này, đôi khi bạn có thể cần phải gỡ bỏ mã khóa màn hình của thiết bị, điều này có thể dẫn đến một số hệ quả không mong muốn. Trong bài viết này, chúng ta sẽ nghiên cứu các hệ quả này và tìm hiểu khi nào cần phải thiết lập lại mật khẩu màn hình, khi nào có thể tránh được việc này.

pháp y thiết bị iOS

 

Tại sao cần thiết lập lại mật khẩu (và tại sao nó có thể không giúp ích)

Lỗ hổng được sử dụng trong khai thác checkm8 nằm trong bootloader đã được mã hóa cứng. Chính bản thân nó không thể bị thay đổi hoặc vá lỗi bởi Apple. Tuy nhiên, các nhà phát triển của Apple đang nỗ lực để giảm thiểu phần lớn tác động của lỗ hổng khi liên quan đến việc trích xuất dữ liệu.

Với sự phát hành của iOS 14, Apple đã làm cho công việc của các chuyên gia pháp y di động trở nên khó khăn hơn. Đặc biệt trên các iPhone sử dụng chipset A11, iOS 16 đã thêm các biện pháp bảo mật bổ sung cho SEP (Secure Enclave Processor), chịu trách nhiệm bảo vệ dữ liệu của hệ thống. Khi khởi động thiết bị qua chế độ DFU, SEP vô hiệu hóa các khóa mã hóa cần thiết để giải mã dữ liệu người dùng. Trong iOS 15 (trên các thiết bị A10 và A11), việc gỡ bỏ mã khóa khi khởi động ở chế độ bình thường là đủ để không phụ thuộc vào các khóa phần cứng bị vô hiệu hóa trong quá trình trích xuất. Tuy nhiên, trong iOS 16, nếu mã khóa đã được thiết lập trên thiết bị sau khi khôi phục sạch, không thể không phụ thuộc vào các khóa mà SEP vô hiệu hóa, do đó cải thiện đáng kể khả năng bảo vệ dữ liệu người dùng.

Trên các thiết bị A10X cũ hơn (như iPad Pro 2), ta có thể khai thác SEP với blackbird và yêu cầu SEP không vô hiệu hóa các khóa đó, trong khi các thiết bị cũ hơn (<=A9) như iPad 5 không nhận được biện pháp bảo mật này ngay từ đầu.

Do đó, quá trình trích xuất sẽ thất bại nếu mã khóa đã được sử dụng trên iPhone 8, 8 Plus hoặc iPhone X sau thiết lập ban đầu nếu thiết bị đang chạy iOS 16. Nếu một trong những iPhone đó chạy iOS 14 hoặc 15, chúng ta vẫn có thể truy cập dữ liệu người dùng; tuy nhiên, việc gỡ bỏ mã khóa là cần thiết.

 

ios forensics

 

Tóm tắt: khi nào cần thiết lập lại mã khóa

Việc gỡ bỏ mã khóa màn hình chỉ cần thiết nếu (tất cả các điều kiện phải áp dụng):

  • Bạn đang thực hiện trích xuất bằng checkm8
  • Thiết bị là iPhone 8, 8 Plus, hoặc iPhone X
  • Thiết bị đang chạy iOS 14 hoặc 15

Nếu bất kỳ điều kiện nào không đúng, bạn không cần phải gỡ bỏ mã khóa.

 

Tại sao việc gỡ bỏ mã khóa có thể có hại

Có một số hậu quả khi gỡ bỏ mã khóa màn hình trong quá trình điều tra:

  • Quá trình trích xuất không còn đảm bảo tính pháp lý vì nhiều thay đổi được thực hiện trên thiết bị.
  • Việc gỡ bỏ mã khóa có thể làm mất một số dữ liệu vĩnh viễn, chẳng hạn như giao dịch Apple Pay, email tải xuống qua Exchange, một số mã thông báo ứng dụng, v.v.
  • Trong một số trường hợp, mã khóa không thể được gỡ bỏ cho đến khi người dùng đăng nhập vào iCloud từ thiết bị bị ảnh hưởng, điều này tạo ra rủi ro rõ ràng về việc xóa hoặc khóa từ xa, cũng như đồng bộ dữ liệu không mong muốn.
  • Việc thiết lập lại cài đặt thiết bị có thể gây ra nhiều thay đổi hơn nữa trên thiết bị, chưa kể không phải lúc nào cũng khả thi (ví dụ: nếu đã đặt mật khẩu Screen Time, hoặc thiết bị được quản lý).
  • Thiết bị không còn được “tin cậy” theo nghĩa truy cập dữ liệu mã hóa đầu-cuối được lưu trữ trong iCloud.

Vì những lý do này, chúng tôi không khuyến khích việc đặt lại mật khẩu màn hình nếu có thể tránh được. Hãy xem xét việc gỡ bỏ mật khẩu như một biện pháp cuối cùng, chỉ nên thực hiện sau khi cân nhắc kỹ lưỡng tất cả các lợi ích và rủi ro. Nếu bạn vẫn cần phải thiết lập lại mã khóa màn hình, hãy đảm bảo rằng bạn đã sao lưu thiết bị trước đó (ngay cả khi được bảo vệ bằng mật khẩu), các tập tin phương tiện đã được trích xuất qua giao thức AFC, và các nhật ký chẩn đoán và tập tin ứng dụng đã được lưu lại. Hy vọng bài viết trên đã mang lại cho bạn thông tin hữu ích trong lĩnh vực pháp y thiết bị iOS.

 

Tìm hiểu thêm Trích xuất dữ liệu trên iPhone – Đâu là thứ tự đúng? – HTI Services

Từ khóa:

Chia sẻ:

Bài viết liên quan

tao_anh_o_dia
04Jul

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
13Jun

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

khoi-phuc-du-lieu-macbook
12Jun

Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn

Một chiếc MacBook với ổ NVMe được gửi tới HTI Services trong tình trạng không thể khởi động –... read more

0928765688