Wszystkie iPhony (i iPady) mają backdoora

remool

remool

Bardzo aktywny
Fąfel
Dołączył
12 Maj 2011
Posty
2964
Reakcje/Polubienia
71
Wszystkie iPhony (i iPady) mają backdoora, dzięki któremu służby mogą pozyskać dane użytkownika bez konieczności odblokowania telefonu (znajomości passlocka)
Ustawiłeś skomplikowane hasło blokady ekranu w swoim iPhone. Jako świadomy czytelnik Niebezpiecznika wyłączyłeś nawet nawet dający się łatwo obejść czytnik linii papilarnych TouchID. Myślisz, że teraz służby nie mają szans, aby dostać się do zaszyfrowanych na twoim zablokowanym telefonie danych. Błąd! Z najnowszych badań Jonathana Zdziarskiego, znanego badacza bezpieczeństwa urządzeń Apple (i autora wielu książek dotyczących kryminalistyki informatycznej urządzeń z iOS) wynika że mobilne urządzenia marki Apple posiadają kilka systemowych usług, które budzą uzasadnione podejrzenie, iż są backdoorami.
Kliknij aby rozwinąć...
1 sposób na iPhone: DROPOUTJEEP od NSA
Dzięki Snowdenowi już rok temu dowiedzieliśmy się o projekcie NSA o nazwie DROPOUTJEEP, przy pomocy którego służby wydobywają dane z urządzeń mobilnych Apple (SMS-y, dane z GPS-a, książkę adresową jak i obraz i dźwięk dzięki kamerze i mikrofonowi). Wciąż jednak nie wiemy w jaki sposób na warstwie technicznej DROPOUTJEEP działa, tzn. jakie dziury wykorzystuje. Tę zagadkę mogą wyjaśnić najnowsze wyniki badań Jonatana Zdziarskiego.

nsa-ant-dropoutjeep-193x250.jpg
Zdziarskiemu udało się także naruszyć prywatność użytkownika poprzez usługę com.apple.mobile.house_arrest, domyślnie wykorzystywaną do kopiowania plików pomiędzy katalogiem Documents na telefonie, a iTunes. Okazuje się, że choć w GUI iTunes tego nie ujrzymy, to usługa ta pozwala na dostęp do innych części telefonu niż tylko aplikacje (katalogi: Library, Caches, Cookies, Preferences).

Inne podejrzane usługi, którym warto byłoby się przyjrzeć, to com.apple.syslog_relay (szczegółowe logi, często z danymi dostępowymi do innych usług), com.apple.mobile.installation_proxy (możliwość “cichego” instalowania oprogramowania na urządzeniu) oraz com.apple.iosdiagnostics.relay (szczegółowe statystyki wykorzystania aplikacji)
Zdziarski ujawnia też, że do aktualizacji iOS 7 (która wprowadził zakaz łączenia się aplikacji na lokalny port 62078) możliwe było stworzenie złośliwej, niewidzialnej dla użytkownika aplikacji, która mogła zostać zainstalowana na niezjailbreakowanym iPhonie. Jej działanie polegało na lokalnym podłączeniu się pod lockdownd i wykorzystywaniu ww. usług do wykradania i wysyłania danych na zdalny serwer. Niewidzialność aplikacji dawał tag “hidden” w SBAppTags, a trwałe połączenie z internetem nawet po uśpieniu telefonu gwaranotował tryb UIBackgroundModes ustawiony na “voip”, co powodowało, że aplikacja mogła nawet po uśpieniu utrzymywać aktywny socket i była wybudzana, jeśli pojawił się na nim jakiś ruch.
Kliknij aby rozwinąć...


2 sposób na iPhone – backdoor wprost od Apple
Zdziarski zarzuca Apple, że najnowszy iPhone i iOS 7 jest rzeczywiście bardziej bezpieczny przed klasycznymi atakami, ale równocześnie zarówno Apple jak i służby dzięki nowo wprowadzonym zmianom mają łatwiejszy dostęp do danych użytkownika. Potwierdzają to zresztą już same zasady współpracy z służbami opublikowane na stronach Apple (na marginesie: dla wygody policji Apple umieściło w nich szablon wniosku o pozyskanie danych klienta — nic tylko wydrukować, wypełnić i odesłać).

Oto cytat najciekawszej części oświadczenia:

Apple, po otrzymaniu od służb zablokowanego kodem urządzenia jest w stanie pozyskać z niego pewne informacje, tzw. “aktywne dane systemowe” czyli m.in. SMS-y, zdjęcia, nagrania video, kontakty, nagrania audio, historię wykonanych połączeń.

Jednocześnie Apple ostrzega funkcjonariuszy, że nie jest w stanie przekazać im takich danych jak e-maile, kalendarze czy dane związane z aplikacjami nienatywnymi. Wedle uzyskanych przez Zdziarskiego informacji, taki proces “odzyskiwania” danych przez Apple trwa ok. 4 miesięcy i kosztuje 1000 dolarów.
Kliknij aby rozwinąć...
Jak to możliwe?
Szyfrowanie pamięci urządzeń z iOS wygląda tak:
opis_szyfrowania_apple-600x323.png


Wszsystkie natywne aplikacje i dane systemu operacyjnego są szyfrowane nie kluczem powiązanym z kodem blokady ustanowionym przez użytkownika, a z kluczem wygenerowanym na podstawie urządzenia (tzw. hardware deducted key, NSProtectionNone). Dodatkowo, począwszy od iOS 7 zazwyczaj nie są szyfrowane takie zasoby jak Library oraz katalogi z cache. Uwaga! Dostać się do nich można tylko, jeśli telefon nie został całkowicie wyłączony. Wynika to z tego, że włączony telefon, o ile chociaż raz wpisano na nim kod blokady (i nawet jeśli znów zostanie zablokowany) to do momentu restartu przechowuje pewne dane w postaci rozszyfrowanej. Trzeba się tylko do nich dostać …a dostęp, według Zdziarskiego, jest realizowany przez kilka “podejrzanych usług” systemowych, które sa obecne w iOS.
Kliknij aby rozwinąć...
Co robią i jak działają “podejrzane usługi”?
Nieudokumentowane usługi, które działają na każdym urządzeniu z iOS są w stanie udostępnić następujące dane (zadziała tylko, jeśli badany iPHone był co najmniej raz odblokowany od ostatniego restartu):

SMS-y,
zdjęcia,
nagrania video,
kontakty,
nagrania audio,
historię wykonanych połączeń
Aby odczytać powyższe dane przy pomocy podejrzanych usług należy najpierw podłączyć się pod lockdownd wykonując połączenie TCP na port 62078 poprzez Wi-Fi (czyli zdalnie!) lub usbmux, a następnie uwierzytelnić. Do uwierzytelnienia potrzebne jest uprzednie “sparowanie” iPhona z podpinanym do niego sprzętem. Wymóg sparowania można “obejść” poprzez


wykradzenie klucza z komputera użytkownika (NSA działała właśnie w ten sposób. Klucze znajdują się w zależności od systemu opracjnego: w /var/db/lockdown lub w /Library/Lockdown lub w C:\Program Data\Apple\iTunes\Lockdown. Warto zwrócić uwagę na to, że “celem” może być dowolny komputer, do którego kiedykolwiek podpięliśmy iPhona… klucze na iPhone pozostają nietknięte przy aktualizacji systemu. Warto zauważyć, że parowanie następuje “transparentnie” do iOS 7 — wystarczy, że odblokowany telefon został podpięty na kilka sekund pod jakiś port USB…
wygenerowanie klucza (atak brute-force — Zdziarski podejrzewa, że właśnie tak Apple uzyskuje dostęp do przesyłanych im przez służby urządzeń, wyliczając klucz hardware’owy.)
przekonfigurowanie iPhone’a tak, aby nie wymagał parowania. Jak się okazuje, iOS pozwala na ominięcie wymogu parowania w przypadku “zarządzalnych”, czyli centralnie sterowanych iPhonów
if (mc_allows_pairing_while_locked || device_has_no_springboard_gui) {
goto skip_device_lock_and_trust_checks; /* Skip security */ }

“Zarządzane” iPhony łączą się do systemów MDM po swój profil. Tę relację zaufania można nadużyć (przejmując kontrolę nad MDM w firmie, która zarządza danym iPhonem) i dzięki temu uzyskać dostęp do urządzenia i “podejrzanych usług” bez konieczności parowania. Co więcej, podczas pierwszej konfiguracji iPhone łączy się także do serwerów Apple, dzięki czemu już samo Apple może podrzucić “fałszywe” sparowanie, a nawet wymusić na iPhone akceptację dowolnego certyfikatu SSL…

Po uwierzytelnieniu mamy już swobodny dostęp do podejrzanych usług, a korzystanie z nich jest wygodne, ponieważ potrafią one omijać usługę Backup Encryption — dzięki temu można uzyskać dostęp do danych użytkownika (a nie tylko “aktywnych danych systemowych”). Ale pobieranie danych to nie wszystko — dzięki podejrzanym usługom można także wgrywać własne oprogramowanie (np. skrypt proxy) na zablokowane urządzenie z iOS. To pozwala przechwytywać komunikację ofiary i przeprowadzać ataki Man in the Middle.
Kliknij aby rozwinąć...
Spisek Apple?
I teraz najciekawsze — usługi te NIGDZIE nie są oficjalnie wykorzystywane. Nie odwołuje się do nich dokumentacja Apple, ani inne narzędzia i pozostałe, oficjalne usługi. Nie korzysta z nich także iTunes. Podejrzane usługi nie są pozostawione do debuggingu (tak po zdemaskowaniu tłumaczył się kiedyś CarrierIQ) ponieważ przydatne w debuggingu funkcje nie są wywoływane bezpośrednio a poprzez duplikaty zaimplementowane w “znanych” i udokumentowanych, oficjalnych usługach. “Podejrzane usługi” nie mogą być także “zapomnianym kodem”, ponieważ Jonathan zauważył, że z wersji na wersje są one wciąż po cichu rozwijane…

Poniżej przegląd kilku najbardziej podejrzanych usług wraz ze szczegółowym opisem tego co robią.Sniffer na 600 milionach telefonów i tabletów

Przykładem jednej z podejrzanych usług jest com.apple.pcapd, która uruchamia libpcap i przechwytuje ruch wchodzący i wychodzący z urządzenia. Usługa nie wymaga trybu developera, jest obecna na każdym urządzeniu z iOS (600 milionów urządzeń na świecie!), można uzyskać do niej dostęp poprzez Wi-Fi, a jej aktywacja na urządzeniu nie wiąże się z wyświetleniem jakiegokolwiek komunikatu/ostrzeżenia użytkownikowi telefonu.

Co ciekawe, Apple na pytanie jak debugować połączenia sieciowe na iOS jawnie kłamie, twierdząc, że na samym iOS nie jest możliwe sniffowanie ruchu i trzeba skorzystać z zewnętrznych narzędzi.
Powiedz co chcesz, a ja ci to dam!

Kolejne podejrzane narzędzie według Zdziarskiego to /usr/libexec/mobile_file_relay. Omija usługę szyfrowanego backupu i odpowiada paczką danych, która zawiera m.in.

cache (screenshoty minimalizowanych aplikacji, zawartość schowka),
listę wszystkich zainstalowanych na telefonie aplikacji,
listę kont Twittera i Facebooka skonfigurowanych na urządzeniu,
kopię książki kontaktowej (łącznie ze skasowanymi kontaktami!),
numery i czasy wysłania wiadomości SMS,
listę nazw plików odebranych jako załączniki do e-maila,
logi z GPS czyli historyczne lokalizacje ofiary z ostatnich 60 dni,
kopię słownika autokorekty stworzonego przez użytkownika,
zdjęcia z albumów i aparatu,
kopię kalendarzy i notatek.:
Oto pełna lista źródeł, z których /usr/libexec/mobile_file_relay może czerpać dane (dla iOS 7 jest ich 44, dla iOS 2 było ich zaledwie 6
Zrodla-file-relay-ios-350x220.png

Zdziarskiemu udało się także naruszyć prywatność użytkownika poprzez usługę com.apple.mobile.house_arrest, domyślnie wykorzystywaną do kopiowania plików pomiędzy katalogiem Documents na telefonie, a iTunes. Okazuje się, że choć w GUI iTunes tego nie ujrzymy, to usługa ta pozwala na dostęp do innych części telefonu niż tylko aplikacje (katalogi: Library, Caches, Cookies, Preferences).

Inne podejrzane usługi, którym warto byłoby się przyjrzeć, to com.apple.syslog_relay (szczegółowe logi, często z danymi dostępowymi do innych usług), com.apple.mobile.installation_proxy (możliwość “cichego” instalowania oprogramowania na urządzeniu) oraz com.apple.iosdiagnostics.relay (szczegółowe statystyki wykorzystania aplikacji)
Zdziarski ujawnia też, że do aktualizacji iOS 7 (która wprowadził zakaz łączenia się aplikacji na lokalny port 62078) możliwe było stworzenie złośliwej, niewidzialnej dla użytkownika aplikacji, która mogła zostać zainstalowana na niezjailbreakowanym iPhonie. Jej działanie polegało na lokalnym podłączeniu się pod lockdownd i wykorzystywaniu ww. usług do wykradania i wysyłania danych na zdalny serwer. Niewidzialność aplikacji dawał tag “hidden” w SBAppTags, a trwałe połączenie z internetem nawet po uśpieniu telefonu gwaranotował tryb UIBackgroundModes ustawiony na “voip”, co powodowało, że aplikacja mogła nawet po uśpieniu utrzymywać aktywny socket i była wybudzana, jeśli pojawił się na nim jakiś ruch.
Kliknij aby rozwinąć...
Mam iPhona, co robić, jak żyć?
O ile nie podpadłeś służbom, zapewne nie powinieneś się niczego obawiać. Jest mało prawdopodobne, aby złodziej, który pozyskał Twój telefon był w stanie uruchomić procedurę odzyskiwania z niego danych w siedzibie Apple (bo potrzebny jest prokuratorski wniosek). Bardziej prawdopodobne jest to, że złodziejowi uda się przejąć kontrolę nad serwerem MDM w twojej firmie (o ile twój telefon jest centralnie zarządzany) — wtedy wszystkie powyższe ataki mogą się powieść.

Dodatkowo należy zwrócić uwagę na to, że policja (także w Polsce) często podczas rutynowej kontroli zabiera obywatelowi telefon w celu sprawdzenia IMEI. Jeśli w trakcie kontroli policjant ma czas aby podpiąć iPhona do odpowiedniego urządzenia/oprogramowania (np. Cellebrite, AccessData Mobile Phone Examiner oraz Elcomsoft) to może on być w stanie wydobyć z telefonu niezaszyfrowane dane (SMS-y, zdjęcia, nagrania video, kontakty, nagrania audio, historię wykonanych połączeń) dokładnie na tej zasadzie i za pomocą tych dziur, które opisaliśmy powyżej.

Ta sztuczka nie uda się jednak, jeśli telefon jest wyłączony (wyłączony, a nie zablokowany). Dlatego w przypadku ryzyka zatrzymania sugerujemy natychmiastowe wyłączenie telefonu. Warto to zrobić np. przed wejściem na teren lotniska — choć nie będzie to możliwe w locie do USA (por. ostatnio wprowadzony wymóg włączenia urządzenia na żądanie)…

Przy okazji, uważajcie także na “stacje ładujące” i hotelowe radia z dockiem do iPhone — mogę one wykradać klucze parowania! Zazwyczaj bowiem ludzie podpinają do tych urządzeń odblokowane telefony, bo np. wcześniej ustawiają na nich muzykę do odegrania. Jeśli już musicie podpiąć gdzieś swoje urządzenie w celu naładowania baterii, podpinajcie je tylko i wyłącznie wtedy, kiedy jest wyłączone.

Blokuj parowanie

Niestety, iPhone nie posiada opcji, która pozwalałaby na przejrzenie listy urządzeń, z jakimi telefon jest obecnie sparowany …i wszystko wskazuje na to, że brak tej opcji to świadome i celowe działanie Apple. Problem ten po części można rozwiązać ściągając darmową aplikację o nazwie Apple Configurator przy pomocy której można wymusić na telefonie blokadę parowania.
PS. Zdziarski podkreśla, że podejrzane usługi istnieją w systemie iOS od dawna i próbował się w ich sprawie kontaktować zarówno ze Steevem Jobsem jak i Timem Cookiem — wprost nazywając je backdoorami. Niestety odpowiedział mu tylko Tim Cook, wybiórczo, tzn. tylko na te e-maile, które backdoora nie dotyczyły.
Kliknij aby rozwinąć...
info. niebezpiecznik

Teraz już wiecie dlaczego lecąc do USA trzeba mieć włączona elektronikę ......
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Wyciek danych użytkowników giełdy Coinbase
Odpowiedzi
0
Wyświetleń
1
OXYGEN THIEF
OXYGEN THIEF
al
Wyciekły hasła z kilku portali
Odpowiedzi
0
Wyświetleń
64
al
al
OXYGEN THIEF
Zaatakowano polski szpital i oczyszczalnię. Kierunek rosyjski
Odpowiedzi
0
Wyświetleń
91
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Oracle w końcu się przyznało. Dane klientów zostały skradzione z chmury
Odpowiedzi
0
Wyświetleń
107
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Prawdopodobny wyciek danych klientów empik, dane rzekomo wykradzione z Empiku zostały sprytnie sfałszowane
Odpowiedzi
0
Wyświetleń
167
OXYGEN THIEF
OXYGEN THIEF
Do góry