甩開蘋果,FBI 到底用了什麼方法破解 iPhone ?

TECH2IPO 於 15/04/2016 發表 收藏文章
不久前 FBI 宣佈自己在第三方的協助下成功破解了聖貝納迪諾槍擊案涉案者 Syed Farook 擁有的經由密碼保護的 iPhone 5C。現在還不清楚 FBI 是否從這部被破解的手機中獲得了可以幫助案件調查的任何有用信息,但是這一次破解 iPhone 的行動至少暫時讓前段時間 FBI 與蘋果公司之間為了用户隱私權利而展開的公開爭鬥稍微平息了下來。

FBI 並未透露其獲得了哪一家機構的幫助,也沒有透露到底使用了何種方法從 iPhone 中獲取了內容。為了全面探討 FBI 破解 iPhone 手機的可能性途徑,IEEE Spectrum 聯繫了 9 位電腦安全專家以及手機取證專家,從中了解到了一些可能被用於這次飽受爭議的手機破解事件背後的技術手法:

1、最簡單的方式——利用安全漏洞

想要黑進 Farook 的 iPhone 手機系統,利用 iOS 9 自身的系統漏洞恐怕是最簡便的方式了。好幾個專家,包括 IEEE 網絡安全倡議的主席 Robert Cunningham 以及以色列本-古裏安大學電信創新實驗室的首席技術官 Dudu Mimran,他們都相信這是 FBI 最有可能採用的方法。

當黑客遇上了適合展開攻擊的 iOS 系統漏洞(它們通常被稱作零日漏洞),黑客就可以利用其關閉掉那些阻撓 FBI 進入手機系統的功能。這其中就包括了讓 iOS 系統原有的禁止用户嘗試過多的不正確密碼組合功能發生延遲;iPhone 在連續 10 次登入失敗之後會抹去自己的內存,利用系統漏洞也可以讓這個功能成為一個可選擇的操作。一旦確定了一個系統漏洞的存在,就會演化出多種多樣利用該漏洞行事的方法。

利用 iOS 系統自身存在的漏洞還有一個額外的好處,那就是操作風險相對較低,避免了篡改 iPhone 原有的物理組件(下文會詳細説明這種方法)。MSAB 的 CEO Joel Bollo 表示他們公司為絕大多數執法部門客户提供的手機取證解決方案都是利用軟件的漏洞。

那麼何種零日漏洞最有利於當局神不知鬼不覺地侵入手機系統呢?我們尚未完全清楚,但是這種假設利用漏洞來攻破系統的猜測並不完全合理。在現實當中發現 iOS 漏洞已經成為了一門有利可圖的生意,就在去年秋天網絡安全公司 Zerodium 就為了一支發現了 iOS 9 漏洞的團隊支付了 100 萬美元的獎金。正如 Mimran 所説的那樣:「沒有什麼是軟件是刀槍不入的。」如果 iOS 9 當中真的存在這種漏洞,業界早就人盡皆知了。

2、全靠騙——篡改手機操作系統

在 iPhone 5C 當中使用了 A6 處理器,相比之前的處理器其性能更強,速度更快。為了跟蹤密碼,這個「建立在處理器上的系統」也多處使用了非易失性存儲技術(即斷電後仍能保存數據),比如閃存。

這就讓專家們得出了第二種 FBI 破解 iPhone 的理論性猜測:黑客可能通過劫持 A6 處理器與非易失性存儲器之間的操作,來繞過 iPhone 的密碼保護。

特拉維夫大學計算機科學家、Check Point 信息安全研究所主管 Ran Canetti 表示其中一種方法就是篡改處理器與儲存器之前因密碼恢復指令而進行溝通的物理行。一個技藝精湛的黑客可以利用物理行而重新改寫蘋果的軟件。FBI 與他沉默的黑客夥伴們也許就是使用了這樣一種手法讓 iOS 系統持續地接受密碼輸入失敗,直到調查人員試出來一個正確的密碼為止。

「他們可以在那些『現在你已經嘗試了 9 次』的地方進行重置,」Canetti 解釋道,「當手機發出『你已經嘗試了多少次』的疑問時,可以對它説謊『你才剛剛嘗試了一次』。」

配合軟件修改,FBI 就能夠祭出他們常用的「暴力破解」,即使用一個軟件程序快速嘗試各種密碼組合,直到找出正確的那一組。Farook 的 iPhone 5C 使用的是一個四位數密碼,一個密碼破解程序可以在 1 分鐘內嘗試 10000 種密碼組合,破解只是分分鐘的事情。

「這種暴力破解密碼技術並不複雜,」Praetorian 信息安全公司的安全工程師 Dylan Ayrey 説道,「你現在就可以在 Ebay 上買到針對 iPhone 舊版本的各種暴力破解密碼程序。」

3、利用 NAND 閃存鏡像法

在參與本次討論的加密專家中最為推崇的一種可能性方法就是利用 NAND 閃存鏡像,包括 Cigital 軟件安全諮詢公司的 CTO Gary McGraw 也表示支持。NAND 閃存是一種非易失性存儲技術,它可以幫助降低每比特存儲成本、提高存儲容量。

在 iPhone 中輸錯 10 次口令系統就會自動刪除本機數據,但如果把手機閃存上的狀態鏡像保存下來的話,在破解口令失誤後再把狀態鏡像還原回去,就可以以達到無限次嘗試破解口令的目的。iPhone 恢復專家 Jonathan Zdziarski 表示這一方法類似於玩電腦遊戲時存儲進度,失敗後即可在原來的進度上重新來過。

雖然這只是一種在網絡安全專家之間津津樂道的方法,不過 FBI 的局長 Jonathan Zdziarski 在今年 3 月的一次新聞發佈會上提到了他們認為這一方法對於破解 Farook 的 iPhone 可能並不奏效。很多業內人士都對於這一聲明持懷疑態度,就在這一新聞發佈會召開不久,Zdziarski 就在其個人博客上演示瞭如何利用 NAND 鏡像技術破解 iPhone 的過程,以此進行反駁。
Citigal 公司的 McGraw 也對這篇博文表示支持,其實有不少安全專家都相信這種方法是行得通的。Praetorian 公司的 Ayrey 表示:「我認為 FBI 很有可能就是使用了該策略,只不過大家都是悄悄地做事,不想大肆宣揚。」

4、軟的不行就硬來——對 iPhone 內存芯片進行物理拆解

為了阻止黑客的攻擊,iPhone 的內存芯片不僅有技術層面上的保護,還有層層物理保護。為了揭開芯片中的祕密,黑客們有時候可能不得不進行一些物理攻擊去繞過芯片的保護措施。

想要這麼做也是有些辦法的。黑客們首先可以通過加熱設備來分離存儲芯片,然後使用強酸去除芯片表面的封裝,這一過程通常被稱作「開瓶」。在這之後就要進行一些精密的操作了,比如使用微型激光鑽照射芯片,到達他們想要進一步檢查的區域。

康奈爾技術安全團隊的教授 Ari Juels 表示 FBI 針對 Farook 手機的破解主要目的是提取手機的 UID(用户個人身份識別碼),這種特殊的識別碼是蘋果在製造手機的時候就分配給每部 iPhone 的,可以用來解碼 iPhone 內存。

蘋果公司在去年秋天發佈的白皮書中曾經提到想要獲得這個關鍵性的 UID,黑客必須使用「非常複雜與代價高昂的物理攻擊」。這當然也會是 FBI 考慮使用的破解方法之一,不過其中風險也是不小,只要在操作中有一個輕微的誤判,就會永遠抹去 iPhone 的內存了。

「這種破解方法代價不菲且十分複雜,」萊斯大學的計算機安全專家 Dan Wallach 警告説,「這個過程充滿破壞性,而且有一定的比例會損毀手機設備。」

5、正面不管用就從側面攻——邊信道攻擊

一個設備在工作過程中總是能夠泄露一些關於信息處理的蛛絲馬跡的,這些線索包括了時間消耗、功率消耗、聲學特性以及電磁輻射。這就是所謂的邊信道攻擊,密碼專家可以使用專門的工具來監控設備的這些屬性,並且使用收集的數據來分析推斷設備內部到底發生了什麼。比如黑客可以在 iPhone 的內部電路上連接一個電阻,在每一次嘗試破解密碼的時候讀取其能量流動。本-古裏安大學的 Mimran 將這種方式比喻成你將耳朵貼在保險箱上,通過傾聽每一次密碼盤內部指針撥動的聲音來找出正確的密碼。
雖然 Cunningham 表示黑客們不可能通過這種方法直接讀取 PIN 或者密碼,但是一個潛在的侵入者幾乎肯定可以通過這種方式收集到祕鑰的關鍵信息,比如長度或者複雜性,這些細節組成了一個加密系統的基本性質。

萊斯大學的 Wallach 表示如果 FBI 想要針對 iPhone 5C 進行邊信道攻擊,或許會從該領域做得最好的兩家公司 Chipworks 或 iFixit 尋求幫助。這些公司專注於破解商業設備,並且寫作設備組件的詳細報告,在報告中給出關於設備內部信息流動的最靠譜猜測。

雖然邊信道攻擊法也能夠進入破解 iPhone 的備選方案,但是這種破解法涉及到了非常精細的操作過程,考慮到智能手機內部擁有如此多的電路與內部組件,其難度也是可想而知。更重要的是,現在的芯片製造商也已經學精了,很多芯片製造商會額外添加一些功能讓芯片持續產生電磁噪聲,或者是維持在一個穩定的能量消耗狀態中,這些功能都是為了迷惑攻擊者。

文章來源:IEEE,TECH2IPO / 創見 陳錚 編譯,首發於創見科技(http://tech2ipo.com/),轉載請註明出處。


資料來源:TECH2IPO

如果喜歡我們的文章,請即分享到︰

標籤: FBI  Apple  iPhone  

留言

會員
我要評論
請按此登錄後留言。未成為會員? 立即註冊
快捷鍵:←
快捷鍵:→