A Johns Hopkins Egyetem kriptográfusai szerint az iOS nem használja annyira a beépített titkosítási intézkedéseket, amennyire képes lenne, ami potenciálisan szükségtelen biztonsági réseket tesz lehetővé. Vezetékes ).
Az Apple és a Google nyilvánosan elérhető dokumentációja, a mobil biztonsági funkciók megkerülésével kapcsolatos bűnüldözési jelentések és saját elemzésük alapján a kriptográfusok felmérték az iOS és Android titkosítás robusztusságát. A kutatás megállapította, hogy bár az iOS titkosítási infrastruktúrája „nagyon jól hangzik”, nagyrészt kihasználatlanul marad:
„Különösen iOS-en van az infrastruktúra ehhez a hierarchikus titkosításhoz, amely nagyon jól hangzik” – mondta Maximilian Zinkus, az iOS vezető kutatója. – De határozottan meglepődtem, amikor megláttam, hogy mennyi van kihasználatlanul.
Amikor egy iPhone elindul, az összes tárolt adat „Teljes védelem” állapotban van, és a felhasználónak fel kell oldania az eszközt, mielőtt bármit is vissza lehetne fejteni. Noha ez rendkívül biztonságos, a kutatók rávilágítottak arra, hogy miután az eszközt egy újraindítás után először feloldották, nagy mennyiségű adat kerül az Apple által 'védett az első felhasználó hitelesítésig' állapotba.
Mivel az eszközöket ritkán indítják újra, a legtöbb adat „Első felhasználó hitelesítésig védett” állapotú, nem pedig „Teljes védelem” állapotú. Ennek a kevésbé biztonságos állapotnak az az előnye, hogy a visszafejtési kulcsokat a gyorselérésű memóriában tárolják, ahol az alkalmazások gyorsan hozzáférhetnek hozzájuk.
Elméletileg a támadók megtalálhatják és kihasználhatják az iOS bizonyos típusú biztonsági réseit, hogy titkosítási kulcsokat szerezzenek a gyorselérési memóriában, lehetővé téve számukra, hogy nagy mennyiségű adatot fejtsenek vissza az eszközről. Úgy gondolják, hogy sok okostelefon-hozzáférési eszköz így működik, például a Grayshift törvényszéki hozzáférést biztosító cégétől.
Bár igaz, hogy a támadóknak speciális operációs rendszerre van szükségük a kulcsokhoz való hozzáféréshez, és az Apple és a Google is kijavítja ezeket a hibákat, ahogy észreveszik, ez elkerülhető a titkosítási kulcsok mélyebb elrejtésével.
„Ez nagyon megdöbbentett, mert úgy jöttem bele ebbe a projektbe, hogy ezek a telefonok valóban jól védik a felhasználói adatokat” – mondja Matthew Green, a Johns Hopkins kriptográfusa. „Most úgy jöttem ki a projektből, hogy szinte semmi sincs annyira védett, mint lehetne. Akkor miért van szükségünk egy hátsó ajtóra a bűnüldözés számára, amikor ezek a telefonok valójában olyan rossz védelmet nyújtanak?
A kutatók eredményeiket és számos technikai ajánlást közvetlenül az Apple-lel is megosztottak. Az Apple szóvivője nyilvános nyilatkozatot adott válaszul:
„Az Apple eszközöket több biztonsági szinttel tervezték, hogy megvédjék magukat a potenciális fenyegetések széles körétől, és folyamatosan azon dolgozunk, hogy új védelmet adjunk felhasználóink adataihoz. Mivel az ügyfelek folyamatosan növelik az eszközeiken tárolt érzékeny információk mennyiségét, továbbra is további védelmet fejlesztünk mind hardverben, mind szoftverben adataik védelme érdekében.
A szóvivő azt is elmondta Vezetékes hogy az Apple biztonsági munkája elsősorban arra irányul, hogy megvédje a felhasználókat a hackerektől, tolvajoktól és a személyes adatokat ellopni szándékozó bűnözőktől. Azt is megjegyezték, hogy a kutatók által kiemelt támadástípusok fejlesztése nagyon költséges, fizikai hozzáférést igényelnek a céleszközhöz, és csak addig működnek, amíg az Apple ki nem ad egy javítást. Az Apple azt is hangsúlyozta, hogy az iOS célja a biztonság és a kényelem egyensúlya.
Népszerű Bejegyzések