Raport o bezpieczeństwie danych na urządzeniach mobilnych

Maximilian Zinkus, Tushar Jois i Matthew Green z Uniwersytetu Johns Hopinks zmotywowani wydarzeniami jakie miały miejsce w 2016 r. (Apple kontra FBI) oraz ustawą EARN IT act będącej obecnie w Kongresie oraz ogólnemu nastawieniu wielu rządów do kompleksowego szyfrowania i prywatności użytkowników na rzecz dostępu organów ścigania – postanowili odpowiedzieć sobie na trzy pytania:

1. Jakie konkretne środki bezpieczeństwa na urządzeniach mobilnych znacząco zapobiegają nieautoryzowanemu dostępowi do danych użytkownika?
2. W jaki sposób osoby nieupoważnione uzyskują dostęp do nowoczesnych urządzeń mobilnych?
3. Jak możemy ulepszyć nowoczesne urządzenia mobilne, aby zapobiec nieautoryzowanemu dostępowi?

Opracowany raport został podzielony według dwóch platform na rynku: Apple iOS i Google Android, ponieważ stanowią one większość udziału na rynku najbardziej zaawansowanych urządzeń. W przypadku każdego z nich został wykonany przegląd funkcji zabezpieczeń (w tym ich historię), a następnie analiza technik omijania tych kontroli. Każda sekcja zakończona jest wskazówkami odnośnie wprowadzenia możliwych.

W Apple iOS opisano potężny i atrakcyjny zestaw kontroli bezpieczeństwa i prywatności, który jest wspierany przez silne szyfrowanie. Jednak występują też krytyczne braki na tym podłożu z powodu niepełnego wykorzystania tych narzędzi. Na przykład:

• Ograniczone korzyści z szyfrowania włączonych urządzeń – autorzy raportu zauważyli, że zaskakująca ilość wrażliwych danych utrzymywanych przez wbudowane aplikacja jest chroniona przy użyciu słabej klasy bezpieczeństwa typu “dostępne po pierwszym odblokowaniu” (ang. available after first unlock – AFU), która nie eliminuje kluczy deszyfrujących z pamięci, gdy telefon jest zablokowany. Skutek jest taki, że do ogromnej większości poufnych danych użytkownika z wbudowanych aplikacji Apple można uzyskać dostęp z telefonu, który został przechwycony i eksploitowany, gdy jest włączony (ale zablokowany).

• Słabe strony kopii zapasowych i usług w chmurze. Korzystanie z Apple iCloud (co nie jest zaskoczeniem) powoduje przesłanie dużej ilości danych użytkownika na serwery Apple w formie, do której mogą uzyskać zdalny, nieautoryzowany dostęp cyberprzestępcy, a także upoważnione organy ścigania z mające upoważnienie od strony sądowej. Co więcej badacze zidentyfikowali kilka sprzecznych z intuicją funkcji iCloud, które zwiększają podatność tego systemu.

• Dowody wcześniejszego włamania do sprzętu (SEP). Urządzenia z systemem iOS nakładają surowe ograniczenia na ataki polegające na odgadywaniu kodu dostępu za pomocą dedykowanego procesora znanego jako SEP – Secure Enclave Processor. Przeanalizowanie publicznych zapisów pozwoliło na stwierdzenie, że istnieją dowody, które wyraźnie wskazują, że od 2018 r. ataki polegające na zgadywaniu kodów były możliwe w iPhone’ach z funkcją SEP przy użyciu narzędzia o nazwie GrayKey. Najprawdopodobniej wskazuje to na to, że obejście oprogramowania SEP było dostępne powszechnie w tych ramach czasowych.

• Ograniczenia usług w chmurze szyfrowanych na całej drodze przesyłu danych. Kilka usług firmy Apple w chmurze reklamuje szyfrowanie na całej drodze przesyłu danych – od punktu klienta do punktu przechowywania danych, w którym tylko użytkownik (znający hasło lub kod dostępu) może uzyskać dostęp do danych przechowywanych w chmurze. Okazało się, że kompleksowa poufność niektórych zaszyfrowanych usług jest podważona, gdy są używane w połączeniu z usługą tworzenia kopii zapasowych iCloud. Co ważne, dokumentacja Apple i ustawienia po stronie użytkownika “zacierają” różnicę między danymi “zaszyfrowanymi” (do których firma Apple ma dostęp) i “zaszyfrowanymi zupełnie”, w sposób, który utrudnia zrozumienie, które dane są w końcu dostępne dla Apple. Istnieje jeszcze podstawowa słabość systemu: Apple może łatwo spowodować ponowne udostępnienie danych użytkownika do nowego (i prawdopodobnie skompromitowanego) sprzętowego modułu bezpieczeństwa (ang. hardware security module – HSM), po prostu wyświetlając jedno okno dialogowe na telefonie użytkownika.

W Androidzie zostały omówione silne zabezpieczenia pojawiające się w najnowszych flagowych urządzeniach, ale jednocześnie fragmentaryczne i niespójne mechanizmy kontroli bezpieczeństwa i prywatności, nie tylko z powodu różnic między producentami telefonów Google i Android, ale także z powodu głęboko opóźnionego tempa aktualizacji systemu Android wypuszczanych na urządzenia oraz różnych architektur oprogramowania. Dokładniej:

• Ograniczone korzyści z szyfrowania włączonych urządzeń. Podobnie jak w przypadku Apple iOS, Google Android zapewnia szyfrowanie plików i danych przechowywanych na dysku. Jednak mechanizmy szyfrowania Androida zapewniają mniej stopniową ochronę. Android nie zapewnia odpowiednika klasy szyfrowania firmy Apple, która usuwa klucze odszyfrowania z pamięci wkrótce po zablokowaniu telefonu. W konsekwencji klucze deszyfrujące Androida pozostają w pamięci przez cały czas po “pierwszym odblokowaniu”, a dane użytkownika są potencjalnie podatne na przechwytywanie za pomocą narzędzi do informatyki śledczej.
• Brak równouprawnienia do w pełni zaszyfrowanych kopii zapasowych. Android zawiera kompleksową usługę szyfrowania kopii zapasowych opartą na fizycznych urządzeniach sprzętowych przechowywanych w centrach danych Google. Niestety, twórcy aplikacji muszą wyrazić zgodę na kompleksową, szyfrowaną usługę tworzenia kopii zapasowych, która jest równoznaczna z rezygnacją, z opcji Android Auto-Backup, która po prostu synchronizuje dane aplikacji z Dyskiem Google, a szyfrowanie następuje kluczami przechowywanymi przez Google.
• Duża rozpiętość możliwości ataków. Android to zestaw systemów opracowanych przez różne organizacje i firmy. Ponieważ rozwój tych komponentów nie jest scentralizowany, spójna integracja zabezpieczeń dla całego Androida wymagałaby znacznej koordynacji, a w wielu takich przypadkach brakuje środków lub nie ma ich wcale.
• Ograniczone użycie szyfrowania na całej drodze przesyłu danych. Kompleksowe szyfrowanie (od strony klienta, po punkt końcowy przechowywania danych) wiadomości w systemie Android jest dostępne domyślnie tylko w aplikacjach do obsługi wiadomości innych firm. Wiele natywnych aplikacji na Androida nie zapewnia pełnego szyfrowania: wyjątkami są Google Duo, a ostatnio aplikacja Wiadomości na Androida.
• Dostępność danych w usługach. Android ze względu na Google ma głęboką integrację z usługami, takimi jak Dysk, Gmail i Zdjęcia. Telefony z Androidem korzystające z tych usług (zdecydowana większość z nich) wysyłają dane do Google, które przechowuje dane pod kontrolowanymi przez siebie kluczami – w rzeczywistości jest to rozszerzenie braku kompleksowego szyfrowania poza usługami przesyłania wiadomości. Usługi te gromadzą bogate zbiory informacji o użytkownikach, które mogą zostać wyprowadzone albo dobrze zorientowanych w temacie cyberprzestępców (poprzez przełamanie zabezpieczeń) albo przez organy ścigania (za pośrednictwem nakazu sądowego).

Autorzy raportu zauważyli również, że zarówno w systemie iOS, jak i Androidzie pojawiły się czynniki pogarszające bezpieczeństwo spowodowane zwiększoną synchronizacją danych z usługami w chmurze.

Raport, z którego pełną treścią można zapoznać się tutaj – został stworzony poprzez analizę publicznie dostępnych dokumentów (artykułów naukowych i prasowych) , raportów Departamentu Bezpieczeństwa Wewnętrznego dotyczących narzędzi do pozyskiwania danych z urządzeń mobilnych, czy dokumentacji Apple i Google. Pełna lista źródłowego materiału została zarchiwizowana na githubie.

– pki