092.8765.688
htiservices@htigroup.vn
Phân tích mã PIN trong giám định thiết bị iOS
Vai trò của mã PIN/mật mã trong giám định thiết bị di động
Mã PIN hoặc mật mã là “chìa khóa” cho việc việc trích xuất, phân tích dữ liệu trên thiết bị iOS. Mật mã có thể bao gồm một số ký tự chữ và số tùy ý, PIN là mật mã chỉ có chữ số, có độ dài cố định. Những năm gần đây, Apple đã chuyển mã PIN cho thiết bị từ 4 chữ số sang 6 chữ số, đồng thời liệt kê danh sách đen các mã PIN không an toàn.
Bên cạnh một số hoạt động có thể được thực hiện bằng cách mở khóa bằng sinh trắc học (Face ID hoặc Touch ID), thì rất nhiều hoạt động lại yêu cầu sử dụng mã PIN. Nếu không có mã PIN, hầu hết các phương pháp thu thập dữ liệu đều không khả dụng. Chúng ta cần có mã PIN để kết nối thiết bị iOS với máy tính, đây là điều kiện bắt buộc đối với cả phương pháp trích xuất logical nâng cao và cấp thấp. Mã PIN được yêu cầu ngay cả khi trích xuất các thiết bị có lỗ hổng checkm8 vì nếu không có mã PIN, hầu hết dữ liệu người dùng trên thiết bị đều bị mã hóa.
iPhone có hai trạng thái: Trích xuất After First Unlock (AFU) và Before First Unlock (BFU). Ở trạng thái AFU, thiết bị đã được mở khóa ít nhất một lần sau khi bật nguồn, một số khóa mã hóa vẫn nằm trong bộ nhớ, cho phép truy cập dễ dàng hơn vào một số dữ liệu nhất định mà không cần yêu cầu thông tin xác thực của người dùng một lần nữa. Mặc dù thiết bị vẫn an toàn, nhưng có thể truy cập nhiều dữ liệu hơn ở chế độ AFU so với chế độ BFU. iPhone sẽ trở lại chế độ Before First Unlock nếu điện thoại được khởi động lại hoặc tắt nguồn. Ở trạng thái này, dữ liệu của thiết bị được mã hóa cao và hầu hết dữ liệu không thể truy cập được, ngay cả đối với hệ điều hành. Điều này là do các khóa mã hóa cần thiết để giải mã dữ liệu không khả dụng cho đến khi người dùng nhập mật mã.
So sánh các hoạt động giữa việc mở khóa thiết bị bằng sinh trắc học (Touch ID/Face ID) và mã PIN:
| Touch ID/Face ID | PIN | |
| Mở khóa thiết bị BFU | Không | Có |
| Mở khóa thiết bị AFU | Thỉnh thoảng | Có |
| VỚI THIẾT BỊ AFU | ||
| Kết nối với máy tính mới | Không | Có |
| Kết nối với máy tính đáng tin cậy | Có | Có |
| Tạo bản sao lưu cục bộ | Chỉ tin cậy | Có |
| Truy cập các tập tin phương tiện | Có (trên thiết bị) | Có |
| Xem mật khẩu đã lưu | Có (trên thiết bị) | Có (trên thiết bị) |
| Đặt lại mật khẩu sao lưu iTunes | Không | Có (nếu không có mật khẩu Screen Time) |
| Vô hiệu hóa khóa iCloud | Không | Có |
| Sử dụng Apple Pay | Có | Có |
| Hình ảnh hệ thống tập tin (trích xuất cấp thấp) | Có | Có |
| Keychain (trích xuất mức thấp) | Không | Có |
| Trích xuất checkm8 (trên các thiết bị tương thích) | Không | Có (trừ các thiết bị A11 chạy iOS 16+) |
| iCloud Keychain, Health, Messagers | Không | Có |
| Bỏ qua chế độ hạn chế USB | Một phần (Mặc dù có thể mở khóa thiết bị bằng sinh trắc học và kết nối phụ kiện USB nhưng việc ghép nối thiết bị với máy tính vẫn yêu cầu mã PIN) | Có |
Rủi ro khôi phục mã PIN
Khi bật tùy chọn Xóa dữ liệu (trong Cài đặt 🡪 Touch ID & Mật khẩu mã), sau 10 lần nhập sai mật mã liên tiếp, mọi nội dung và cài đặt trên thiết bị sẽ bị xóa vĩnh viễn khỏi bộ nhớ. Do đó, nếu người dùng đang muốn khôi phục mã PIN, hãy cẩn thận không vượt quá số lần nhập sai cho phép và cần phải hiểu rõ về hậu quả tiềm ẩn của việc vượt quá giới hạn.
Với thiết bị iOS và iPadOS, để ngăn chặn các cuộc tấn công brute-force, sẽ có thời gian vô hiệu hóa tăng dần sau khi nhập mật mã không hợp lệ ở Màn hình khóa:
| Số lần nhập sai | Thời gian vô hiệu hóa |
| 1–4 | Không |
| 5 | 1 phút |
| 6 | 5 phút |
| 7-8 | 15 phút |
| 9 | 1 giờ |
Mã PIN phổ biến của người dùng
Theo phân tích số PIN (datagenetics.com) , hai mươi mã PIN này chiếm 26,83% số mã PIN thực tế đang được sử dụng:
| 1 | 1234 | 10.71% |
| 2 | 1111 | 6.02% |
| 3 | 0000 | 1.88% |
| 4 | 1212 | 1.20% |
| 5 | 7777 | 0.75% |
| 6 | 1004 | 0.62% |
| 7 | 2000 | 0.61% |
| 8 | 4444 | 0.53% |
| 9 | 2222 | 0.52% |
| 10 | 6969 | 0.51% |
| 11 | 9999 | 0.45% |
| 12 | 3333 | 0.42% |
| 13 | 5555 | 0.40% |
| 14 | 6666 | 0.39% |
| 15 | 1122 | 0.37% |
| 16 | 1313 | 0.30% |
| 17 | 8888 | 0.30% |
| 18 | 4321 | 0.29% |
| 19 | 2001 | 0.29% |
| 20 | 1010 | 0.29% |
Áp dụng các mã PIN phổ biến nhất là phương án có thể cân nhắc khi chúng ta không biết gì về đối tượng. Tuy nhiên, nếu có một số thông tin, chiến lược tấn công tốt nhất sẽ là thử một danh sách nhỏ các mã PIN phổ biến nhất trước, sau đó là danh sách các mã PIN có thể quan trọng đối với nghi phạm. Ví dụ về các mã PIN như vậy bao gồm:
- Năm đáng nhớ (4 chữ số): ngày sinh của đối tượng hoặc các thành viên gia đình của họ; năm của những ngày quan trọng khác. Nhiều nghiên cứu cho thấy rằng mã PIN bắt đầu bằng 1900 có nhiều khả năng xảy ra hơn, tiếp theo là mã PIN bắt đầu bằng 2000.
- Những ngày đáng nhớ theo dạng MMYY, DDMM, MMYYYY và các cách biểu diễn khác (bốn hoặc sáu chữ số): điều này cũng bao gồm những ngày quan trọng theo nhiều cách biểu diễn phổ biến khác nhau.
- Một phần số điện thoại (bốn chữ số đầu, bốn chữ số cuối) của các thành viên gia đình và những người thường xuyên liên lạc.
Kết luận
Mã PIN/mật mã là yếu tố then chốt trong việc truy cập và trích xuất dữ liệu từ thiết bị iOS, vượt trội hơn các phương pháp mở khóa sinh trắc học trong nhiều tình huống. Kỹ thuật viên giám định cần nắm rõ tầm quan trọng và rủi ro liên quan đến mã PIN, áp dụng các chiến lược dò mật khẩu bằng cách thử các mã phổ biến hoặc những con số có liên quan đến thông tin cá nhân của đối tượng để nâng cao hiệu quả trong quá trình giám định.
Tham khảo: Dịch vụ Mở khóa điện thoại di động
