иОС не користи уграђене мере шифровања онолико колико би могао, дозвољавајући потенцијално непотребне безбедносне пропусте, према криптографима са Универзитета Џонс Хопкинс (преко Виред ).
Користећи јавно доступну документацију од Аппле-а и Гоогле-а, извештаје органа за спровођење закона о заобилажењу мобилних безбедносних функција и сопствену анализу, криптографи су проценили робусност иОС и Андроид енкрипције. Истраживање је показало да, иако инфраструктура за шифровање на иОС-у 'звучи заиста добро', углавном остаје неискоришћена:
„Нарочито на иОС-у постоји инфраструктура за ову хијерархијску енкрипцију која звучи заиста добро“, рекао је Максимилијан Зинкус, водећи иОС истраживач. „Али дефинитивно сам се изненадио када сам тада видео колико је тога неискоришћено.“
Када је ан иПхоне када се покрене, сви сачувани подаци су у стању 'потпуне заштите' и корисник мора да откључа уређај пре него што било шта може да се дешифрује. Иако је ово изузетно безбедно, истраживачи су истакли да када се уређај откључа по први пут након поновног покретања, велика количина података прелази у стање које Аппле назива „Заштићено до аутентификације првог корисника“.
Пошто се уређаји ретко поново покрећу, већина података је у стању „Заштићено до прве аутентификације корисника“, а не у „потпуној заштити“. Предност овог мање безбедног стања је у томе што се кључеви за дешифровање чувају у меморији за брзи приступ, где им апликације могу брзо приступити.
У теорији, нападач би могао да пронађе и искористи одређене врсте безбедносних пропуста у иОС-у да би добио кључеве за шифровање у меморији за брзи приступ, омогућавајући им да дешифрују велике количине података са уређаја. Верује се да на тај начин функционишу многи алати за приступ паметним телефонима, као што су они компаније за форензички приступ Граисхифт.
Иако је истина да је нападачима потребна посебна рањивост оперативног система да би приступили кључевима, а и Аппле и Гоогле закрпе многе од ових недостатака чим се примете, то се може избећи дубљим сакривањем кључева за шифровање.
„То ме је заиста шокирало, јер сам ушао у овај пројекат мислећи да ови телефони заиста добро штите корисничке податке“, каже Метју Грин, криптограф Џонса Хопкинса. „Сада сам изашао из пројекта мислећи да готово ништа није заштићено колико би могло бити. Па зашто нам је потребна бекдоор за спровођење закона када је заштита коју ови телефони заправо нуде тако лоша?'
Истраживачи су такође поделили своје налазе и низ техничких препорука директно са Аппле-ом. Портпарол Аппле-а је дао јавну изјаву као одговор:
„Аппле уређаји су дизајнирани са више слојева безбедности како би се заштитили од широког спектра потенцијалних претњи, а ми стално радимо на додавању нове заштите за податке наших корисника. Како клијенти настављају да повећавају количину осетљивих информација које чувају на својим уређајима, ми ћемо наставити да развијамо додатну заштиту у хардверу и софтверу како бисмо заштитили њихове податке.'
Портпарол је такође рекао Виред да је Аппле-ов безбедносни рад првенствено усмерен на заштиту корисника од хакера, лопова и криминалаца који желе да украду личне податке. Такође су приметили да су типови напада које су истраживачи истакли веома скупи за развој, захтевају физички приступ циљном уређају и да раде само док Аппле не објави закрпу. Аппле је такође нагласио да је његов циљ са иОС-ом да уравнотежи безбедност и удобност.
Популар Постс