Ког­да iPhone отклю­чен, боль­шинс­тво его бес­про­вод­ных чипов про­дол­жают фун­кци­они­ровать. На новей­ших моделях iPhone при отсутс­твии питания про­дол­жают работать Bluetooth, ком­муника­ция NFC и бес­про­вод­ная связь на базе тех­нологии UWB. Этой осо­бен­ностью тру­бок Apple может вос­поль­зовать­ся не толь­ко вла­делец телефо­на, но и зло­умыш­ленни­ки. Как? Давай раз­бирать­ся.

Спе­циалис­ты из гер­ман­ской лабора­тории Secure Mobile Networking Lab опуб­ликова­ли боль­шое иссле­дова­ние с гром­ким заголов­ком, гла­сящим, что в iPhone могут завес­тись вре­доно­сы, которые оста­ются активны­ми даже пос­ле вык­лючения питания девай­са. Одна­ко если вдум­чиво про­читать все один­надцать стра­ниц док­лада, выяс­нится, что такие вре­доно­сы сущес­тву­ют исклю­читель­но в вос­пален­ном вооб­ражении этих самых гер­ман­ских иссле­дова­телей. На самом деле речь идет о том, что в мобиль­ных устрой­ствах под управле­нием iOS име­ется нес­коль­ко чипов, про­дол­жающих работать, даже ког­да питание телефо­на отсутс­тву­ет. Так, при вык­лючении iPhone поль­зователь все рав­но мож­но най­ти его с помощью фун­кции Find My Phone. Если батарея раз­рядит­ся, то iPhone вык­лючит­ся авто­мати­чес­ки и перей­дет в энер­госбе­рега­ющий режим, но в таком слу­чае все рав­но сох­раня­ется дос­туп к кре­дит­ным кар­там и дру­гим объ­ектам из при­ложе­ния Wallet. Эти воз­можнос­ти могут прев­ратить вык­лючен­ный телефон в устрой­ство для слеж­ки за поль­зовате­лем.

Бес­про­вод­ные чипы в iPhone могут работать в так называ­емом режиме низ­кого энер­гопот­ребле­ния (Low Power Mode, LPM). Обра­ти вни­мание: LPM не тож­дес­тве­нен энер­госбе­рега­юще­му режиму, который обоз­нача­ется икон­кой «жел­тая батарея». В режиме LPM устрой­ство не реаги­рует на нажатия или встря­хива­ние. Этот режим акти­виру­ется либо ког­да поль­зователь вык­люча­ет телефон, либо ког­да iOS завер­шает работу авто­мати­чес­ки из‑за низ­кого заряда батареи. Если нажать кноп­ку вклю­чения в эко­ном­ном режиме с низ­ким энер­гопот­ребле­нием, то экран акти­виру­ется все­го на нес­коль­ко секунд. Устрой­ство сооб­щит о низ­ком заряде акку­муля­тора и выведет спи­сок активных в дан­ный момент воз­можнос­тей LPM, как показа­но на сле­дующем рисун­ке.

Find My и Express Cards в энергосберегающем режиме
Find My и Express Cards в энер­госбе­рега­ющем режиме

Сеть Find My Phone оста­ется дос­тупна пос­ле вык­лючения устрой­ства. Если ты потеря­ешь iPhone, ког­да он раз­ряжен, как раз с помощью этой сети его и мож­но най­ти — она работа­ет на осно­ве Bluetooth. Режим Express Mode под­держи­вает выб­ранные про­ездные билеты, а так­же кре­дит­ные кар­ты и циф­ровые клю­чи из «Кошель­ка» — так устрой­ство уда­ется задей­ство­вать быс­трее, допол­нитель­ная аутен­тифика­ция со сто­роны поль­зовате­ля не тре­бует­ся. При отклю­чении из‑за низ­кого заряда батареи эти кар­ты и клю­чи оста­ются дос­тупны для исполь­зования на про­тяже­нии пяти часов. Исходно для под­держа­ния устрой­ства во вклю­чен­ном виде со все­ми эти­ми воз­можнос­тями тре­бова­лась толь­ко NFC. Теперь же появил­ся новый про­токол DCK 3.0, исполь­зующий режимы Bluetooth и UWB, а так­же под­держи­вающий режим Express Mode. Этот про­токол исполь­зует­ся в конс­трук­ции элек­трон­ных авто­мобиль­ных клю­чей, а режим Express Mode пре­дох­раня­ет от неп­рият­ностей из раз­ряда «зах­лопнул клю­чи в машине или в квар­тире». Еще он оставля­ет в рас­поряже­нии поль­зовате­ля его кар­ты, что­бы мож­но было выпол­нять пла­тежи, даже если телефон сел.

 

Как это работает?

Под­дер­жка LPM реали­зова­на на аппа­рат­ном уров­не. Модуль управле­ния питани­ем PMU может вклю­чать чипы пооди­ноч­ке. Чипы для Bluetooth и UWB жес­тко под­клю­чены к защищен­ному эле­мен­ту (SE) чипа NFC и хра­нят сек­реты, которые дол­жны быть дос­тупны в режиме LPM. Пос­коль­ку LPM под­держи­вает­ся на аппа­рат­ном уров­не, эту под­дер­жку нель­зя убрать, меняя прог­рам­мные ком­понен­ты. Имен­но поэто­му вла­делец сов­ремен­ного айфо­на уже не может быть уве­рен­ным, что чипы для бес­про­вод­ной свя­зи отклю­чат­ся пос­ле вык­лючения устрой­ства.

LPM зна­читель­но ковар­нее, чем ими­тация вык­лючения девай­са, при которой прос­то деак­тивиру­ется экран. Вспо­мина­ется слу­чай, ког­да Агентство наци­ональ­ной безопас­ности США ими­тиро­вало вык­лючение экра­на на умном телеви­зоре в целях шпи­она­жа. На айфо­не при этом будет заметен быс­трый рас­ход батареи, и такая «под­садка» в мобиль­ное устрой­ство не оста­нет­ся незаме­чен­ной.

Воз­можнос­ти Bluetooth и UWB в режиме LPM не докумен­тирова­ны и до недав­него вре­мени не иссле­дова­лись. Но в руководс­тве по безопас­ности для плат­формы Apple под­робно опи­сана отно­сяща­яся к NFC LPM воз­можность под наз­вани­ем Express Card, появив­шаяся в iOS 12. В сво­ей работе гер­ман­ские иссле­дова­тели исполь­зовали инс­тру­мен­ты для ана­лиза и изме­нения про­шив­ки в сов­ремен­ных айфо­нах, дос­тупные для ска­чива­ния в репози­тори­ях InternalBlue и Frankenstein. С помощью этих прог­рамм они выяс­нили, что в энер­госбе­рега­ющем режиме айфо­ны не столь безопас­ны, как это кажет­ся со сто­роны.

iOS реали­зует безопас­ные бес­про­вод­ные пла­тежи на NFC-чипе с при­мене­нием тех­нологии Secure Element (SE). Эта тех­нология работа­ет на плат­форме JavaCard, которая выпол­няет аппле­ты, нап­ример Apple Pay или DCK. В ходе началь­ной уста­нов­ки аппле­ты пер­сонали­зиру­ются. Пер­сонали­зация поз­воля­ет допол­нитель­но раз­гра­ничи­вать зоны безопас­ности. Нап­ример, в пла­теж­ном аппле­те не хра­нит­ся никакой информа­ции о кре­дит­ных кар­тах, кро­ме отзывно­го иден­тифика­тора, извес­тно­го пла­теж­ной сети. Аппле­ты, в том чис­ле их сек­реты, отде­лены друг от дру­га. Они хра­нят­ся в SE и не покида­ют ее. В про­цес­се пла­тежа или при бес­про­вод­ных тран­закци­ях сре­да SE в сос­таве чипа NFC откли­кает­ся нап­рямую, не пере­адре­суя эти дан­ные в iOS. Сле­дова­тель­но, даже если iOS или при­ложе­ния ском­про­мети­рова­ны, кре­дит­ные кар­ты и дру­гие клю­чи невоз­можно украсть из SE.

Использование безопасной среды (SE) и процессора Secure Enclave Processor (SEP) в соответствии с документацией Apple
Ис­поль­зование безопас­ной сре­ды (SE) и про­цес­сора Secure Enclave Processor (SEP) в соот­ветс­твии с докумен­таци­ей Apple

Сре­да SE под­клю­чена к про­цес­сору Secure Enclave Processor (SEP). Про­цес­сор SEP авто­ризу­ет пла­тежи, обес­печивая аутен­тифика­цию поль­зовате­ля через Touch ID, Face ID или c помощью пин‑кода. Обра­ти вни­мание: SEP не хра­нит дан­ные в SE, а исполь­зует отдель­ный безопас­ный ком­понент‑хра­нили­ще. SE и SEP объ­еди­няют­ся в пару, сле­дова­тель­но, ком­муника­ция меж­ду ними может шиф­ровать­ся и аутен­тифици­ровать­ся.

 

Экспресс-карты и Find My

При­ложе­ние Wallet («Кошелек») поз­воля­ет кон­фигури­ровать работа­ющие по NFC кре­дит­ные, дис­кон­тные кар­ты и про­ездные билеты, а так­же клю­чи для режима Express Mode. Экс­пресс‑кар­та боль­ше не тре­бует авто­риза­ции по SEP, обес­печивая таким обра­зом быс­трые и удоб­ные пла­тежи без раз­бло­киров­ки iPhone. В экс­пресс‑режиме, что­бы прой­ти авто­риза­цию, дос­таточ­но лишь вла­деть самим телефо­ном. Если авто­риза­цию про­пус­тить, ни SEP, ни iOS не пот­ребу­ются для завер­шения тран­закции по NFC, а сама ком­муника­ция смо­жет работать авто­ном­но, при помощи аппле­тов SE.

Как толь­ко у iPhone закон­чится заряд, при усло­вии, что у поль­зовате­ля есть экс­пресс‑кар­та, iPhone вык­лючит­ся, но чип NFC оста­нет­ся запитан на про­тяже­нии пяти часов. В этот пери­од экс­пресс‑кар­ты будут работать, но при вык­лючении устрой­ства по ини­циати­ве поль­зовате­ля NFС так­же отклю­чает­ся.
В iOS 15 появи­лись две новые воз­можнос­ти, дос­тупные в режиме низ­кого энер­гопот­ребле­ния: Find My Phone, собс­твен­ная сеть Apple на осно­ве Bluetooth с низ­ким энер­гопот­ребле­нием (BLE), работа­ющая офлайн и пред­назна­чен­ная для поис­ка потерян­ных устрой­ств, и под­дер­жка циф­рового авто­мобиль­ного клю­ча (Digital Car Key, DCK 3.0), при которой UWB при­меня­ется для безопас­ного изме­рения рас­сто­яния. Сле­дова­тель­но, и Bluetooth, и чип UWB могут работать авто­ном­но, пока iOS отклю­чена. Эти воз­можнос­ти не докумен­тирова­ны и ранее не иссле­дова­лись.

Find My — это офлай­новая сеть для нахож­дения устрой­ств, которую авто­ры док­лада деталь­но иссле­дова­ли, вклю­чая реверс соот­ветс­тву­юще­го ПО. Она находит iPhone, AirTag и дру­гие устрой­ства Apple, даже ког­да они не под­клю­чены к интерне­ту. Если девайс не в сети, в режиме про­пажи он регуляр­но шлет широко­веща­тель­ные BLE-опо­веще­ния. Под­клю­чен­ные к сети устрой­ства, рас­положен­ные поб­лизос­ти, ловят такие опо­веще­ния и сооб­щают закон­ному вла­дель­цу, где находит­ся его «потеряш­ка».

Про­токол Find My защищен сквоз­ным шиф­ровани­ем, ано­нимен и работа­ет с сох­ранени­ем кон­фиден­циаль­нос­ти. Эти гаран­тии безопас­ности осно­ваны на девайс‑спе­цифич­ном «маяч­ковом» мас­тер‑клю­че, который син­хро­низи­рует­ся с цепоч­кой клю­чей из поль­зователь­ско­го iCloud. Поэто­му дос­туп сох­раня­ется до тех пор, пока поль­зователь в сос­тоянии залоги­нить­ся в iCloud.

Це­поч­ка клю­чей так­же хра­нит­ся локаль­но, а для дос­тупа к ее сек­ретно­му клю­чу тре­бует­ся прой­ти пол­ный путь через SEP. На мас­тер‑клю­че маяч­ка генери­рует­ся обо­рачи­вающаяся пос­ледова­тель­ность пар, в каж­дую из которых вхо­дит откры­тый и зак­рытый ключ. Эта пос­ледова­тель­ность зафик­сирова­на навеч­но, и каж­дый ключ дей­стви­телен толь­ко в свой про­межу­ток вре­мени. Что­бы свя­зать откры­тые клю­чи в этой пос­ледова­тель­нос­ти друг с дру­гом, тре­бует­ся знать маяч­ковый мас­тер‑ключ. Устрой­ство широко­веща­тель­но сооб­щает акту­аль­ный пуб­личный ключ в виде BLE-объ­явле­ния, а часть это­го клю­ча так­же уста­нав­лива­ет MAC-адрес слу­чай­ным обра­зом. Любое устрой­ство, под­клю­чен­ное к интерне­ту и наб­люда­ющее BLE-объ­явле­ние сети Find My, может зашиф­ровать свое нынеш­нее при­мер­ное мес­тонахож­дение откры­тым клю­чом и сооб­щить его Apple. Толь­ко у закон­ного вла­дель­ца потерян­ного устрой­ства, которое пока находит­ся офлайн, име­ется под­ходящий зак­рытый ключ, что­бы рас­шифро­вать отчет о мес­тополо­жении. По отче­ту о мес­тополо­жении невоз­можно иден­тифици­ровать сооб­щивше­го. Цепоч­ка откры­тых клю­чей на iPhone пол­ностью про­маты­вает­ся за 15 мин, что огра­ничи­вает воз­можность отсле­дить смар­тфон по его BLE-объ­явле­ниям. Мет­ки AirTag фун­кци­ональ­но подоб­ны сети Find My. Потеряв соеди­нение по Bluetooth с iPhone вла­дель­ца, они начина­ют рас­сылать широко­веща­тель­ные сооб­щения, которые при­нима­ются дру­гими под­клю­чен­ными к сети устрой­ства­ми.

Ра­бота сети Find My под­держи­вает­ся пос­ле отклю­чения питания, и информа­ция об этом выводит­ся в диало­говом окне завер­шения работы. Поль­зователь может изме­нить эту нас­трой­ку вся­кий раз, ког­да вык­люча­ет устрой­ство вруч­ную. Если на iPhone пол­ностью израсхо­дует­ся батарея и он перей­дет на резер­вный источник питания, сеть Find My акти­виру­ется авто­мати­чес­ки, подоб­но экс­пресс‑кар­там на NFC-чипе. Для под­дер­жки режима LPM тре­бует­ся про­шив­ка Bluetooth, которая может рас­сылать BLE-сооб­щения, ког­да iOS отклю­чит­ся.

Диалоговое окно завершения для сети Find My на iOS 15
Ди­ало­говое окно завер­шения для сети Find My на iOS 15

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Подписаться
Уведомить о
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии