神刀安全网

甩开苹果,FBI 到底用了什么方法破解 iPhone ?

不久前 FBI 宣布自己在第三方的协助下成功破解了圣贝纳迪诺枪击案涉案者 Syed Farook 拥有的经由密码保护的 iPhone 5C。现在还不清楚 FBI 是否从这部被破解的手机中获得了可以帮助案件调查的任何有用信息,但是这一次破解 iPhone 的行动至少暂时让前段时间 FBI 与苹果公司之间为了用户隐私权利而展开的公开争斗稍微平息了下来。

FBI 并未透露其获得了哪一家机构的帮助,也没有透露到底使用了何种方法从 iPhone 中获取了内容。为了全面探讨 FBI 破解 iPhone 手机的可能性途径,IEEE Spectrum 联系了 9 位电脑安全专家以及手机取证专家,从中了解到了一些可能被用于这次饱受争议的手机破解事件背后的技术手法:

1、最简单的方式——利用安全漏洞

想要黑进 Farook 的 iPhone 手机系统,利用 iOS 9 自身的系统漏洞恐怕是最简便的方式了。好几个专家,包括 IEEE 网络安全倡议的主席 Robert Cunningham 以及以色列本-古里安大学电信创新实验室的首席技术官 Dudu Mimran,他们都相信这是 FBI 最有可能采用的方法。

当黑客遇上了适合展开攻击的 iOS 系统漏洞(它们通常被称作零日漏洞),黑客就可以利用其关闭掉那些阻挠 FBI 进入手机系统的功能。这其中就包括了让 iOS 系统原有的禁止用户尝试过多的不正确密码组合功能发生延迟;iPhone 在连续 10 次登入失败之后会抹去自己的内存,利用系统漏洞也可以让这个功能成为一个可选择的操作。一旦确定了一个系统漏洞的存在,就会演化出多种多样利用该漏洞行事的方法。

利用 iOS 系统自身存在的漏洞还有一个额外的好处,那就是操作风险相对较低,避免了篡改 iPhone 原有的物理组件(下文会详细说明这种方法)。MSAB 的 CEO Joel Bollo 表示他们公司为绝大多数执法部门客户提供的手机取证解决方案都是利用软件的漏洞。

那么何种零日漏洞最有利于当局神不知鬼不觉地侵入手机系统呢?我们尚未完全清楚,但是这种假设利用漏洞来攻破系统的猜测并不完全合理。在现实当中发现 iOS 漏洞已经成为了一门有利可图的生意,就在去年秋天网络安全公司 Zerodium 就为了一支发现了 iOS 9 漏洞的团队支付了 100 万美元的奖金。正如 Mimran 所说的那样:「没有什么是软件是刀枪不入的。」如果 iOS 9 当中真的存在这种漏洞,业界早就人尽皆知了。

2、全靠骗——篡改手机操作系统

在 iPhone 5C 当中使用了 A6 处理器,相比之前的处理器其性能更强,速度更快。为了跟踪密码,这个「建立在处理器上的系统」也多处使用了非易失性存储技术(即断电后仍能保存数据),比如闪存。

这就让专家们得出了第二种 FBI 破解 iPhone 的理论性猜测:黑客可能通过劫持 A6 处理器与非易失性存储器之间的操作,来绕过 iPhone 的密码保护。

特拉维夫大学计算机科学家、Check Point 信息安全研究所主管 Ran Canetti 表示其中一种方法就是篡改处理器与储存器之前因密码恢复指令而进行沟通的物理行。一个技艺精湛的黑客可以利用物理行而重新改写苹果的软件。FBI 与他沉默的黑客伙伴们也许就是使用了这样一种手法让 iOS 系统持续地接受密码输入失败,直到调查人员试出来一个正确的密码为止。

「他们可以在那些『现在你已经尝试了 9 次』的地方进行重置,」Canetti 解释道,「当手机发出『你已经尝试了多少次』的疑问时,可以对它说谎『你才刚刚尝试了一次』。」

配合软件修改,FBI 就能够祭出他们常用的「暴力破解」,即使用一个软件程序快速尝试各种密码组合,直到找出正确的那一组。Farook 的 iPhone 5C 使用的是一个四位数密码,一个密码破解程序可以在 1 分钟内尝试 10000 种密码组合,破解只是分分钟的事情。

「这种暴力破解密码技术并不复杂,」Praetorian 信息安全公司的安全工程师 Dylan Ayrey 说道,「你现在就可以在 Ebay 上买到针对 iPhone 旧版本的各种暴力破解密码程序。」

3、利用 NAND 闪存镜像法

在参与本次讨论的加密专家中最为推崇的一种可能性方法就是利用 NAND 闪存镜像,包括 Cigital 软件安全咨询公司的 CTO Gary McGraw 也表示支持。NAND 闪存是一种非易失性存储技术,它可以帮助降低每比特存储成本、提高存储容量。

在 iPhone 中输错 10 次口令系统就会自动删除本机数据,但如果把手机闪存上的状态镜像保存下来的话,在破解口令失误后再把状态镜像还原回去,就可以以达到无限次尝试破解口令的目的。iPhone 恢复专家 Jonathan Zdziarski 表示这一方法类似于玩电脑游戏时存储进度,失败后即可在原来的进度上重新来过。

虽然这只是一种在网络安全专家之间津津乐道的方法,不过 FBI 的局长 Jonathan Zdziarski 在今年 3 月的一次新闻发布会上提到了他们认为这一方法对于破解 Farook 的 iPhone 可能并不奏效。很多业内人士都对于这一声明持怀疑态度,就在这一新闻发布会召开不久,Zdziarski 就在其个人博客上演示了如何利用 NAND 镜像技术破解 iPhone 的过程,以此进行反驳。

Citigal 公司的 McGraw 也对这篇博文表示支持,其实有不少安全专家都相信这种方法是行得通的。Praetorian 公司的 Ayrey 表示:「我认为 FBI 很有可能就是使用了该策略,只不过大家都是悄悄地做事,不想大肆宣扬。」

4、软的不行就硬来——对 iPhone 内存芯片进行物理拆解

为了阻止黑客的攻击,iPhone 的内存芯片不仅有技术层面上的保护,还有层层物理保护。为了揭开芯片中的秘密,黑客们有时候可能不得不进行一些物理攻击去绕过芯片的保护措施。

想要这么做也是有些办法的。黑客们首先可以通过加热设备来分离存储芯片,然后使用强酸去除芯片表面的封装,这一过程通常被称作「开瓶」。在这之后就要进行一些精密的操作了,比如使用微型激光钻照射芯片,到达他们想要进一步检查的区域。

康奈尔技术安全团队的教授 Ari Juels 表示 FBI 针对 Farook 手机的破解主要目的是提取手机的 UID(用户个人身份识别码),这种特殊的识别码是苹果在制造手机的时候就分配给每部 iPhone 的,可以用来解码 iPhone 内存。

苹果公司在去年秋天发布的白皮书中曾经提到想要获得这个关键性的 UID,黑客必须使用「非常复杂与代价高昂的物理攻击」。这当然也会是 FBI 考虑使用的破解方法之一,不过其中风险也是不小,只要在操作中有一个轻微的误判,就会永远抹去 iPhone 的内存了。

「这种破解方法代价不菲且十分复杂,」莱斯大学的计算机安全专家 Dan Wallach 警告说,「这个过程充满破坏性,而且有一定的比例会损毁手机设备。」

5、正面不管用就从侧面攻——边信道攻击

一个设备在工作过程中总是能够泄露一些关于信息处理的蛛丝马迹的,这些线索包括了时间消耗、功率消耗、声学特性以及电磁辐射。这就是所谓的边信道攻击,密码专家可以使用专门的工具来监控设备的这些属性,并且使用收集的数据来分析推断设备内部到底发生了什么。比如黑客可以在 iPhone 的内部电路上连接一个电阻,在每一次尝试破解密码的时候读取其能量流动。本-古里安大学的 Mimran 将这种方式比喻成你将耳朵贴在保险箱上,通过倾听每一次密码盘内部指针拨动的声音来找出正确的密码。

虽然 Cunningham 表示黑客们不可能通过这种方法直接读取 PIN 或者密码,但是一个潜在的侵入者几乎肯定可以通过这种方式收集到秘钥的关键信息,比如长度或者复杂性,这些细节组成了一个加密系统的基本性质。

莱斯大学的 Wallach 表示如果 FBI 想要针对 iPhone 5C 进行边信道攻击,或许会从该领域做得最好的两家公司 Chipworks 或 iFixit 寻求帮助。这些公司专注于破解商业设备,并且写作设备组件的详细报告,在报告中给出关于设备内部信息流动的最靠谱猜测。

虽然边信道攻击法也能够进入破解 iPhone 的备选方案,但是这种破解法涉及到了非常精细的操作过程,考虑到智能手机内部拥有如此多的电路与内部组件,其难度也是可想而知。更重要的是,现在的芯片制造商也已经学精了,很多芯片制造商会额外添加一些功能让芯片持续产生电磁噪声,或者是维持在一个稳定的能量消耗状态中,这些功能都是为了迷惑攻击者。

文章来源: IEEE ,TECH2IPO / 创见 陈铮 编译,首发于创见科技(http://tech2ipo.com/),转载请注明出处。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 甩开苹果,FBI 到底用了什么方法破解 iPhone ?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮