Ког­да iPhone отклю­чен, боль­шинс­тво его бес­про­вод­ных чипов про­дол­жают фун­кци­они­ровать. На новей­ших моделях iPhone при отсутс­твии питания про­дол­жают работать Bluetooth, ком­муника­ция NFC и бес­про­вод­ная связь на базе тех­нологии UWB. Этой осо­бен­ностью тру­бок Apple может вос­поль­зовать­ся не толь­ко вла­делец телефо­на, но и зло­умыш­ленни­ки. Как? Давай раз­бирать­ся.

Спе­циалис­ты из гер­ман­ской лабора­тории Secure Mobile Networking Lab опуб­ликова­ли боль­шое иссле­дова­ние с гром­ким заголов­ком, гла­сящим, что в iPhone могут завес­тись вре­доно­сы, которые оста­ются активны­ми даже пос­ле вык­лючения питания девай­са. Одна­ко если вдум­чиво про­читать все один­надцать стра­ниц док­лада, выяс­нится, что такие вре­доно­сы сущес­тву­ют исклю­читель­но в вос­пален­ном вооб­ражении этих самых гер­ман­ских иссле­дова­телей. На самом деле речь идет о том, что в мобиль­ных устрой­ствах под управле­нием iOS име­ется нес­коль­ко чипов, про­дол­жающих работать, даже ког­да питание телефо­на отсутс­тву­ет. Так, при вык­лючении iPhone поль­зователь все рав­но мож­но най­ти его с помощью фун­кции Find My Phone. Если батарея раз­рядит­ся, то iPhone вык­лючит­ся авто­мати­чес­ки и перей­дет в энер­госбе­рега­ющий режим, но в таком слу­чае все рав­но сох­раня­ется дос­туп к кре­дит­ным кар­там и дру­гим объ­ектам из при­ложе­ния Wallet. Эти воз­можнос­ти могут прев­ратить вык­лючен­ный телефон в устрой­ство для слеж­ки за поль­зовате­лем.

Бес­про­вод­ные чипы в iPhone могут работать в так называ­емом режиме низ­кого энер­гопот­ребле­ния (Low Power Mode, LPM). Обра­ти вни­мание: LPM не тож­дес­тве­нен энер­госбе­рега­юще­му режиму, который обоз­нача­ется икон­кой «жел­тая батарея». В режиме LPM устрой­ство не реаги­рует на нажатия или встря­хива­ние. Этот режим акти­виру­ется либо ког­да поль­зователь вык­люча­ет телефон, либо ког­да iOS завер­шает работу авто­мати­чес­ки из‑за низ­кого заряда батареи. Если нажать кноп­ку вклю­чения в эко­ном­ном режиме с низ­ким энер­гопот­ребле­нием, то экран акти­виру­ется все­го на нес­коль­ко секунд. Устрой­ство сооб­щит о низ­ком заряде акку­муля­тора и выведет спи­сок активных в дан­ный момент воз­можнос­тей LPM, как показа­но на сле­дующем рисун­ке.

Find My и Express Cards в энергосберегающем режиме
Find My и Express Cards в энер­госбе­рега­ющем режиме

Сеть Find My Phone оста­ется дос­тупна пос­ле вык­лючения устрой­ства. Если ты потеря­ешь iPhone, ког­да он раз­ряжен, как раз с помощью этой сети его и мож­но най­ти — она работа­ет на осно­ве Bluetooth. Режим Express Mode под­держи­вает выб­ранные про­ездные билеты, а так­же кре­дит­ные кар­ты и циф­ровые клю­чи из «Кошель­ка» — так устрой­ство уда­ется задей­ство­вать быс­трее, допол­нитель­ная аутен­тифика­ция со сто­роны поль­зовате­ля не тре­бует­ся. При отклю­чении из‑за низ­кого заряда батареи эти кар­ты и клю­чи оста­ются дос­тупны для исполь­зования на про­тяже­нии пяти часов. Исходно для под­держа­ния устрой­ства во вклю­чен­ном виде со все­ми эти­ми воз­можнос­тями тре­бова­лась толь­ко NFC. Теперь же появил­ся новый про­токол DCK 3.0, исполь­зующий режимы Bluetooth и UWB, а так­же под­держи­вающий режим Express Mode. Этот про­токол исполь­зует­ся в конс­трук­ции элек­трон­ных авто­мобиль­ных клю­чей, а режим Express Mode пре­дох­раня­ет от неп­рият­ностей из раз­ряда «зах­лопнул клю­чи в машине или в квар­тире». Еще он оставля­ет в рас­поряже­нии поль­зовате­ля его кар­ты, что­бы мож­но было выпол­нять пла­тежи, даже если телефон сел.

 

Как это работает?

Под­дер­жка LPM реали­зова­на на аппа­рат­ном уров­не. Модуль управле­ния питани­ем PMU может вклю­чать чипы пооди­ноч­ке. Чипы для Bluetooth и UWB жес­тко под­клю­чены к защищен­ному эле­мен­ту (SE) чипа NFC и хра­нят сек­реты, которые дол­жны быть дос­тупны в режиме LPM. Пос­коль­ку LPM под­держи­вает­ся на аппа­рат­ном уров­не, эту под­дер­жку нель­зя убрать, меняя прог­рам­мные ком­понен­ты. Имен­но поэто­му вла­делец сов­ремен­ного айфо­на уже не может быть уве­рен­ным, что чипы для бес­про­вод­ной свя­зи отклю­чат­ся пос­ле вык­лючения устрой­ства.

LPM зна­читель­но ковар­нее, чем ими­тация вык­лючения девай­са, при которой прос­то деак­тивиру­ется экран. Вспо­мина­ется слу­чай, ког­да Агентство наци­ональ­ной безопас­ности США ими­тиро­вало вык­лючение экра­на на умном телеви­зоре в целях шпи­она­жа. На айфо­не при этом будет заметен быс­трый рас­ход батареи, и такая «под­садка» в мобиль­ное устрой­ство не оста­нет­ся незаме­чен­ной.

Воз­можнос­ти Bluetooth и UWB в режиме LPM не докумен­тирова­ны и до недав­него вре­мени не иссле­дова­лись. Но в руководс­тве по безопас­ности для плат­формы Apple под­робно опи­сана отно­сяща­яся к NFC LPM воз­можность под наз­вани­ем Express Card, появив­шаяся в iOS 12. В сво­ей работе гер­ман­ские иссле­дова­тели исполь­зовали инс­тру­мен­ты для ана­лиза и изме­нения про­шив­ки в сов­ремен­ных айфо­нах, дос­тупные для ска­чива­ния в репози­тори­ях InternalBlue и Frankenstein. С помощью этих прог­рамм они выяс­нили, что в энер­госбе­рега­ющем режиме айфо­ны не столь безопас­ны, как это кажет­ся со сто­роны.

iOS реали­зует безопас­ные бес­про­вод­ные пла­тежи на NFC-чипе с при­мене­нием тех­нологии Secure Element (SE). Эта тех­нология работа­ет на плат­форме JavaCard, которая выпол­няет аппле­ты, нап­ример Apple Pay или DCK. В ходе началь­ной уста­нов­ки аппле­ты пер­сонали­зиру­ются. Пер­сонали­зация поз­воля­ет допол­нитель­но раз­гра­ничи­вать зоны безопас­ности. Нап­ример, в пла­теж­ном аппле­те не хра­нит­ся никакой информа­ции о кре­дит­ных кар­тах, кро­ме отзывно­го иден­тифика­тора, извес­тно­го пла­теж­ной сети. Аппле­ты, в том чис­ле их сек­реты, отде­лены друг от дру­га. Они хра­нят­ся в SE и не покида­ют ее. В про­цес­се пла­тежа или при бес­про­вод­ных тран­закци­ях сре­да SE в сос­таве чипа NFC откли­кает­ся нап­рямую, не пере­адре­суя эти дан­ные в iOS. Сле­дова­тель­но, даже если iOS или при­ложе­ния ском­про­мети­рова­ны, кре­дит­ные кар­ты и дру­гие клю­чи невоз­можно украсть из SE.

Использование безопасной среды (SE) и процессора Secure Enclave Processor (SEP) в соответствии с документацией Apple
Ис­поль­зование безопас­ной сре­ды (SE) и про­цес­сора Secure Enclave Processor (SEP) в соот­ветс­твии с докумен­таци­ей Apple

Сре­да SE под­клю­чена к про­цес­сору Secure Enclave Processor (SEP). Про­цес­сор SEP авто­ризу­ет пла­тежи, обес­печивая аутен­тифика­цию поль­зовате­ля через Touch ID, Face ID или c помощью пин‑кода. Обра­ти вни­мание: SEP не хра­нит дан­ные в SE, а исполь­зует отдель­ный безопас­ный ком­понент‑хра­нили­ще. SE и SEP объ­еди­няют­ся в пару, сле­дова­тель­но, ком­муника­ция меж­ду ними может шиф­ровать­ся и аутен­тифици­ровать­ся.

 

Экспресс-карты и Find My

При­ложе­ние Wallet («Кошелек») поз­воля­ет кон­фигури­ровать работа­ющие по NFC кре­дит­ные, дис­кон­тные кар­ты и про­ездные билеты, а так­же клю­чи для режима Express Mode. Экс­пресс‑кар­та боль­ше не тре­бует авто­риза­ции по SEP, обес­печивая таким обра­зом быс­трые и удоб­ные пла­тежи без раз­бло­киров­ки iPhone. В экс­пресс‑режиме, что­бы прой­ти авто­риза­цию, дос­таточ­но лишь вла­деть самим телефо­ном. Если авто­риза­цию про­пус­тить, ни SEP, ни iOS не пот­ребу­ются для завер­шения тран­закции по NFC, а сама ком­муника­ция смо­жет работать авто­ном­но, при помощи аппле­тов SE.

Как толь­ко у iPhone закон­чится заряд, при усло­вии, что у поль­зовате­ля есть экс­пресс‑кар­та, iPhone вык­лючит­ся, но чип NFC оста­нет­ся запитан на про­тяже­нии пяти часов. В этот пери­од экс­пресс‑кар­ты будут работать, но при вык­лючении устрой­ства по ини­циати­ве поль­зовате­ля NFС так­же отклю­чает­ся.
В iOS 15 появи­лись две новые воз­можнос­ти, дос­тупные в режиме низ­кого энер­гопот­ребле­ния: Find My Phone, собс­твен­ная сеть Apple на осно­ве Bluetooth с низ­ким энер­гопот­ребле­нием (BLE), работа­ющая офлайн и пред­назна­чен­ная для поис­ка потерян­ных устрой­ств, и под­дер­жка циф­рового авто­мобиль­ного клю­ча (Digital Car Key, DCK 3.0), при которой UWB при­меня­ется для безопас­ного изме­рения рас­сто­яния. Сле­дова­тель­но, и Bluetooth, и чип UWB могут работать авто­ном­но, пока iOS отклю­чена. Эти воз­можнос­ти не докумен­тирова­ны и ранее не иссле­дова­лись.

Find My — это офлай­новая сеть для нахож­дения устрой­ств, которую авто­ры док­лада деталь­но иссле­дова­ли, вклю­чая реверс соот­ветс­тву­юще­го ПО. Она находит iPhone, AirTag и дру­гие устрой­ства Apple, даже ког­да они не под­клю­чены к интерне­ту. Если девайс не в сети, в режиме про­пажи он регуляр­но шлет широко­веща­тель­ные BLE-опо­веще­ния. Под­клю­чен­ные к сети устрой­ства, рас­положен­ные поб­лизос­ти, ловят такие опо­веще­ния и сооб­щают закон­ному вла­дель­цу, где находит­ся его «потеряш­ка».

Про­токол Find My защищен сквоз­ным шиф­ровани­ем, ано­нимен и работа­ет с сох­ранени­ем кон­фиден­циаль­нос­ти. Эти гаран­тии безопас­ности осно­ваны на девайс‑спе­цифич­ном «маяч­ковом» мас­тер‑клю­че, который син­хро­низи­рует­ся с цепоч­кой клю­чей из поль­зователь­ско­го iCloud. Поэто­му дос­туп сох­раня­ется до тех пор, пока поль­зователь в сос­тоянии залоги­нить­ся в iCloud.

Це­поч­ка клю­чей так­же хра­нит­ся локаль­но, а для дос­тупа к ее сек­ретно­му клю­чу тре­бует­ся прой­ти пол­ный путь через SEP. На мас­тер‑клю­че маяч­ка генери­рует­ся обо­рачи­вающаяся пос­ледова­тель­ность пар, в каж­дую из которых вхо­дит откры­тый и зак­рытый ключ. Эта пос­ледова­тель­ность зафик­сирова­на навеч­но, и каж­дый ключ дей­стви­телен толь­ко в свой про­межу­ток вре­мени. Что­бы свя­зать откры­тые клю­чи в этой пос­ледова­тель­нос­ти друг с дру­гом, тре­бует­ся знать маяч­ковый мас­тер‑ключ. Устрой­ство широко­веща­тель­но сооб­щает акту­аль­ный пуб­личный ключ в виде BLE-объ­явле­ния, а часть это­го клю­ча так­же уста­нав­лива­ет MAC-адрес слу­чай­ным обра­зом. Любое устрой­ство, под­клю­чен­ное к интерне­ту и наб­люда­ющее BLE-объ­явле­ние сети Find My, может зашиф­ровать свое нынеш­нее при­мер­ное мес­тонахож­дение откры­тым клю­чом и сооб­щить его Apple. Толь­ко у закон­ного вла­дель­ца потерян­ного устрой­ства, которое пока находит­ся офлайн, име­ется под­ходящий зак­рытый ключ, что­бы рас­шифро­вать отчет о мес­тополо­жении. По отче­ту о мес­тополо­жении невоз­можно иден­тифици­ровать сооб­щивше­го. Цепоч­ка откры­тых клю­чей на iPhone пол­ностью про­маты­вает­ся за 15 мин, что огра­ничи­вает воз­можность отсле­дить смар­тфон по его BLE-объ­явле­ниям. Мет­ки AirTag фун­кци­ональ­но подоб­ны сети Find My. Потеряв соеди­нение по Bluetooth с iPhone вла­дель­ца, они начина­ют рас­сылать широко­веща­тель­ные сооб­щения, которые при­нима­ются дру­гими под­клю­чен­ными к сети устрой­ства­ми.

Ра­бота сети Find My под­держи­вает­ся пос­ле отклю­чения питания, и информа­ция об этом выводит­ся в диало­говом окне завер­шения работы. Поль­зователь может изме­нить эту нас­трой­ку вся­кий раз, ког­да вык­люча­ет устрой­ство вруч­ную. Если на iPhone пол­ностью израсхо­дует­ся батарея и он перей­дет на резер­вный источник питания, сеть Find My акти­виру­ется авто­мати­чес­ки, подоб­но экс­пресс‑кар­там на NFC-чипе. Для под­дер­жки режима LPM тре­бует­ся про­шив­ка Bluetooth, которая может рас­сылать BLE-сооб­щения, ког­да iOS отклю­чит­ся.

Диалоговое окно завершения для сети Find My на iOS 15
Ди­ало­говое окно завер­шения для сети Find My на iOS 15

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии