В последние недели складывается впечатление, что только самые ленивые исследователи еще не нашли какой-нибудь баг в iOS 10. Сначала обнаружилось, что бэкапы iTunes теперь взламываются в 2500 раз быстрее. Затем стало известно, что предварительный просмотр URL в iMessage работает весьма странным образом, из-за чего данные об IP-адресе пользователя и его устройстве «утекают» на сторону.
Теперь исследовательница компании IntaForensics Стейси Джури (Stacey Jury) заявила, что ей удалось обнаружить баг в работе Safari. По ее словам, имплементация режима «частный доступ» (private browsing) в свежей iOS 10 оставляет желать лучшего. Если пользователь включил данный режим, браузер не должен сохранять никаких данных о посещенных им сайтах, однако Джури заявляет, что информация сохраняется, и ее можно восстановить.
Согласно данным IntaForensics, проблема связана с URL, которые находятся в так называемом suspended state. Такие вкладки были закрыты пользователем, однако браузер продолжает хранить информацию о них, на тот случай, если пользователь решит вернуться к одному из этих сайтов, нажав на кнопку «вперед» или «назад».
Джури пишет, что раньше, в предыдущих версиях iOS, Safari сохранял данные о таких URL в специальный файл PList. Как только пользователь завершал сессию в режиме «частного доступа», браузер очищал данный файл полностью. Но в iOS 10 информация о ссылках, находящихся в suspended state, стала записываться в БД. И хотя БД тоже очищается после выхода из режима private browsing, Джури отмечает, что сверху в БД не записываются никакие рендомные данные, что было бы вполне логично с точки зрения безопасности. При этом функция "затирания" данных (Pragma Secure Delete) в системе присутствует, но она неактивна.
В итоге исследовательница провела опыт на iPhone 5S и iOS 10.0.1 на борту. Она воспользовалась киберкриминалистическим инструментом XRY и сумела восстановить данные о приватной сессии и закрытых во время нее вкладках. Всё то же самое в теории может проделать и злоумышленник, имея физический доступ к устройству.
Журналисты издания The Register связались с экспертами компании Elcomsoft, попросив их подтвердить или опровергнуть находку IntaForensics. Эксперты изучили работу private browsing, но не обнаружили ничего подозрительного.
«Мы бегло осмотрели режим private browsing в iOS, но не обнаружили никаких проблем, имплементация выглядит нормальной, все временные файлы удаляются надлежащим образом, посещенные ссылки не сохраняются в истории и так далее», — прокомментировал специалист Elcomsoft Владимир Каталов.
Тогда журналисты обратились с тем же вопросом к еще одному независимому эксперту: Ли Мансону (Lee Munson) из Comparitech.com. Мансон тоже ответил, что в IntaForensics преувеличили значимость проблемы.
«Уязвимость актуальна лишь для бэкапов iPhone и iPad, которые были напрямую сохранены через iTunes на Mac или PC, без использования iCloud. Все же большинство пользователей Apple применяют iCloud. Но даже та малая часть “фруктовых фанов”, которая делает бэкапы вручную, едва ли подвергается риску, если их Mac или ПК защищен надежным паролем», — заявил Мансон.
