Защищенный айфон на минималках: изучаем фичу Apple Lockdown Mode

Почему недавно анонсированный Apple «особо защищенный» режим Lockdown Mode — это важный шаг в борьбе с целевыми атаками.

Как работает Apple Lockdown Mode

В июле 2022 года компания Apple анонсировала специальный защищенный режим работы для собственных устройств. Режим получил название Lockdown Mode, и он серьезно ограничивает функциональность смартфона, планшета или ноутбука. Цель Lockdown Mode — снизить вероятность успеха таргетированных атак, которые чаще всего угрожают политикам, активистам и журналистам. Lockdown Mode будет внедрен в ближайших релизах iOS 16 (для смартфонов), iPadOS 16 (для планшетов) и macOS 13 Ventura (для настольных компьютеров и ноутбуков).

Для обычных людей такой режим работы устройства, скорее всего, будет неудобным. Компания Apple рекомендует использовать его только тем пользователям, чья деятельность предполагает высокую вероятность проведения против них целевой атаки. В этой статье мы разберем возможности Lockdown Mode, сравним введенные ограничения с возможностями известных эксплойтов для смартфонов Apple и постараемся объяснить, почему этот режим может быть полезным, но панацеей не станет.

Lockdown Mode в деталях

До конца этого года, с выпуском новых версий операционной системы, в вашем смартфоне или планшете Apple (если он сравнительно современный, то есть выпущен не ранее 2018 года) в настройках появится возможность активировать режим Lockdown Mode.

Экран активации режима Lockdown Mode на смартфоне Apple

Экран активации режима Lockdown Mode на смартфоне Apple. Источник

После активации телефон перезагрузится, и у вас перестанут работать некоторые мелкие, но — как потом наверняка выяснится — невероятно важные для вас фичи. Например, будут заблокированы вложения в чатах iMessage. Могут перестать правильно работать сайты в браузере. До вас станет труднее достучаться, если вы ранее с таким абонентом не общались. Все эти ограничения стараются закрыть типовые точки входа, представляющие особый интерес для атакующих.

Если подробнее, то Lockdown Mode вводит следующие ограничения на работу телефона, планшета или компьютера Apple:

  1. В чате iMessage вы сможете видеть только присланный вам текст и картинки. Любые другие вложения будут заблокированы.
  2. В браузере будут отключены некоторые технологии, такие как метод компиляции кода just-in-time.
  3. Будут заблокированы все входящие приглашения пообщаться через сервисы Apple. Например, вам нельзя будет позвонить по Facetime, если вы ранее не общались с этим абонентом.
  4. Смартфон никак не будет взаимодействовать с компьютером (или другими внешними устройствами, подключаемыми по кабелю), если он заблокирован.
  5. Нельзя будет устанавливать собственные профили конфигурации или добавлять телефон в систему централизованного управления мобильными устройствами.

Первые три пункта призваны ограничить самые распространенные удаленные целевые атаки на устройства Apple: через «зараженное» сообщение, присылаемое через iMessage, через подготовленный веб-сайт, на который вам присылают ссылку, через входящий видеозвонок.

Четвертый пункт призван снизить вероятность сценария, когда ваш айфон, оставленный без присмотра, подключают к компьютеру и через уязвимость в протоколе обмена данными похищают ценную информацию.

Наконец, пятый пункт делает невозможным подключение смартфона, который находится в режиме локдауна, к корпоративной системе Mobile Device Management. В обычных случаях MDM часто используется компаниями также в целях безопасности: например, для удаления информации на телефоне в случае его потери. Но эта функция может использоваться и для кражи данных, так как предоставляет администратору MDM широкие полномочия по контролю над устройством.

В общем, Lockdown Mode звучит как хорошая идея. Может быть, нам всем стоит пойти на некоторые неудобства, чтобы мы были защищены?

Фичи против багов

Прежде чем отвечать на этот вопрос, давайте оценим, насколько радикальным было решение Apple. Если задуматься, это полная противоположность сложившемуся в современной индустрии порядку. Обычно ведь как: сначала придумывают определенную функциональность, а потом борются с сопутствующими ошибками в коде. Тут же Apple предлагает ровно обратное: поступиться некоторым количеством функций ради более высокой защиты.

Простой (и сугубо теоретический) пример: допустим, разработчик добавляет в мессенджер возможность обмениваться красивыми анимированными эмодзи и даже позволяет создавать свои. А потом оказывается, что можно создать такой эмодзи, который вызовет постоянную перезагрузку устройства у всех, кто его получит. Неприятно.

Чтобы этого избежать, нужно было или отказаться от фичи, или потратить больше времени на анализ уязвимости. Но хотелось поскорее выпустить новую версию продукта и заработать денег. В этой невидимой борьбе безопасности и удобства побеждает почти всегда удобство. И вот теперь Apple предлагает режим, пусть и опциональный, в котором безопасность — важнее. Это круто, раньше так никто не делал.

А что, разве айфоны без Lockdown Mode небезопасные?

Мобильные устройства Apple и так уже достаточно хорошо защищены — и это важно в контексте данного анонса. Украсть ваши данные из айфона не так-то просто, и для того чтобы это так и оставалось, Apple прилагает немалые усилия.

Например, ваша биометрическая информация для разблокировки телефона хранится только на устройстве и не передается на сервер. Данные в памяти телефона хранятся в зашифрованном виде. ПИН-код для разблокировки телефона нельзя просто подобрать: после нескольких попыток ввода неправильного пароля устройство будет заблокировано. Приложения на смартфоне работают изолированно друг от друга и, как правило, не имеют доступа к информации в других программах. «Взломать айфон» с каждым годом становится сложнее. Для большинства пользователей такой уровень защиты вполне достаточен.

А зачем тогда кого-то дополнительно защищать?

Речь идет о достаточно небольшом количестве пользователей, чьи данные настолько ценны, что желающие их получить готовы потратить на это очень много времени и денег. Очень много денег в данном контексте необходимо на разработку сложных эксплойтов, которые обходят всевозможные системы защиты. Таких потенциальных жертв сложной кибератаки — несколько десятков тысяч по всему миру.

Порядок цифр нам известен из расследования Project Pegasus. В 2020 году произошла утечка списка из 50 тысяч имен и телефонных номеров лиц, которые предположительно были (или могли быть) атакованы с помощью разработок компании NSO Group. Эта израильская компания уже несколько лет подвергается критике за «легальную» разработку средств взлома устройств и программ в интересах клиентов, в число которых в основном входят спецслужбы разных стран мира.

Сама NSO Group отрицала связь между своими решениями и утекшим списком целей, но позднее были найдены подтверждения: да, действительно, некоторые журналисты, политические деятели (вплоть до глав государств и правительств) и активисты были атакованы с помощью технологий, разрабатываемых именно этой компанией. Разработка эксплойтов, пусть и в легальном поле — сомнительное занятие, способное привести к утечке методов атаки, и тогда ими и вовсе может воспользоваться кто угодно.

Насколько сложными могут быть эксплойты для атаки на iOS

Оценить сложность этих эксплойтов можно на примере атаки zero-click, которую в конце прошлого года подробно разобрали специалисты команды Google Project Zero. Термин zero-click означает, что для взлома смартфона от пользователя не требуется вообще никаких действий. В более тривиальных случаях атакуемому нужно хотя бы кликнуть по ссылке, которую ему кто-то прислал, чтобы активировать вредоносный код. В случае же, описанном Google Project Zero, достаточно было прислать жертве сообщение в мессенджере iMessage, который на большинстве айфонов включен по умолчанию и заменяет обычные SMS. Иными словами, атакующим достаточно узнать номер вашего телефона и прислать подготовленное сообщение, после чего они получают удаленный контроль над вашим телефоном.

Эксплойт очень сложный. В iMessage жертве присылают некий файл с расширением .GIF, однако на самом деле внутри содержится документ в формате PDF, сжатый определенным алгоритмом, который был относительно популярен в начале 2000-х. Телефон жертвы пытается показать превью этого документа. В большинстве случаев при этом используется собственный код Apple, но вот именно для этого варианта сжатия применяется сторонняя программа. В ней-то и была найдена уязвимость — не особенно примечательная ошибка переполнения буфера. Если максимально упростить, вокруг этой мелкой уязвимости была построена отдельная и независимая вычислительная система, исполняющая в итоге вредоносный код.

То есть использован ряд неочевидных изъянов системы, каждый из которых вроде бы незначителен. Однако если их собрать в аккуратную цепочку, то итогом ее эксплуатации становится заражение айфона с помощью одного сообщения, по которому пользователю даже не надо кликать.

Это, прямо скажем, не совсем то, на что может случайно наткнуться школьник-хакер. И даже не совсем то, что может соорудить коллектив обычных зловредописателей — их, как правило, интересует гораздо более прямая дорога к монетизации. На разработку такой сложной схемы атаки наверняка были потрачены многие тысячи часов и миллионы долларов.

А теперь давайте вспомним одну из возможностей Lockdown Mode из списка выше: в этом режиме блокируются почти все вложения. Именно для того, чтобы подобные эксплойты zero-click в будущем стало выполнять гораздо сложнее, даже если в коде iOS есть подходящая ошибка.

Остальные фичи Lockdown Mode закрывают другие распространенные «точки входа» для таргетированных атак: веб-браузер, проводное подключение к компьютеру, входящие звонки Facetime. Для всех этих векторов атаки известно достаточно много эксплойтов — пусть и не обязательно в продуктах Apple.

Каков шанс, что такую дорогую атаку используют лично против вас, если вы не входите в круг лиц, потенциально представляющих интерес для спецслужб? Практически нулевой — разве что попадете под раздачу случайно. Поэтому для обычных пользователей применение Lockdown Mode вряд ли оправданно. Не очень много смысла делать свой телефон или ноутбук менее удобным в обмен на незначительное (для обычного пользователя!) снижение шансов быть успешно атакованным.

Не локдауном единым

А вот тем, кто входит в круг потенциальных жертв Pegasus и подобных ему зловредов, стоит помнить о том, что Lockdown Mode — безусловно положительная инициатива от Apple, но не панацея.

В дополнение к режиму Lockdown Mode (а пока эта функция недоступна — вместо него) наши эксперты предложили еще несколько рекомендаций. Напоминаем, что речь идет о сценарии, когда за вашими данными охотится кто-то очень могущественный и целеустремленный. Советы следующие:

  • Ежедневно перезагружайте ваш смартфон. Сделать работающий эксплойт для iPhone сложно, а сделать так, чтобы он переживал перезагрузку — еще на порядок сложнее. Регулярное выключение телефона даст вам чуть больше защиты.
  • Отключите iMessage совсем. Apple вряд ли такое вам посоветует, но сами вы вполне можете это сделать. Зачем всего лишь ограничивать потенциальные атаки через iMessage, если можно исключить целую их категорию одним махом?
  • Не открывайте ссылки, и в данном случае не так важно, от кого они пришли. Если открыть ссылку все-таки необходимо, используйте для этого отдельный компьютер, желательно с использованием браузера TOR, скрывающего ваши данные.
  • Старайтесь использовать VPN для маскировки трафика. Опять же, это затруднит определение вашего местоположения и сбор данных о вашем устройстве для дальнейшей атаки.
  • Больше рекомендаций — в посте Костина Райю «Как уберечься от Pegasus, Chrysaor и других мобильных шпионов».
Советы