蘋果最新的移動(dòng)操作系統(tǒng)iOS18似乎增加了一項(xiàng)未經(jīng)記錄的安全功能，如果設(shè)備在72小時(shí)內(nèi)未使用，則會(huì)重新啟動(dòng)。這對(duì)任何試圖在沒(méi)有有效密碼的情況下使用iOS設(shè)備的人都會(huì)產(chǎn)生影響，比如手機(jī)被盜或被扣押。

無(wú)有效密碼訪問(wèn)數(shù)據(jù)難度疊加

當(dāng)iPhone 重新啟動(dòng)時(shí)，它會(huì)進(jìn)入一個(gè)被稱為“首次解鎖”BFU 的狀態(tài)。在此期間，它所包含的文件將被加密，一旦使用密碼解鎖，它的狀態(tài)將變?yōu)槭状谓怄i后AFU，此時(shí)，機(jī)器的安全性較低，文件基本上是可訪問(wèn)的，因?yàn)榇蠖鄶?shù)加密密鑰已加載到設(shè)備內(nèi)存中。但鎖屏等其他保護(hù)措施依然存在，訪問(wèn)某些數(shù)據(jù)，如Apple Mail、Apple Health、Keychain和位置數(shù)據(jù)可能仍然需要密碼。如果他們無(wú)法通過(guò)密碼獲得完整訪問(wèn)權(quán)限，AFU是攻擊者和執(zhí)法機(jī)構(gòu)的首選狀態(tài)，因?yàn)樵L問(wèn)的障礙較低。因此，讓iPhone在72小時(shí)不活動(dòng)后重新啟動(dòng)進(jìn)入BFU會(huì)減少任何試圖訪問(wèn)蘋果硬件數(shù)據(jù)的機(jī)會(huì)窗口。

研究員做了是否更新相關(guān)實(shí)驗(yàn)

在缺乏來(lái)自蘋果的官方細(xì)節(jié)的情況下，研究員 Jiska Classen為了找到iOS18基于時(shí)間的重啟行為的證據(jù)，她搜索了由研究員“blacktop”維護(hù)的GitHub repo，其中包含了iOS發(fā)布中使用的字符串的版本歷史。最終在iOS18.1和iOS18.2中發(fā)現(xiàn)了“無(wú)活動(dòng)_reboot”字符串。通過(guò)深入研究Apple的Security Enclave Processor（SEP）和Apple SEP Key Store內(nèi)核模塊，她發(fā)現(xiàn)SEP在上次解鎖時(shí)間超過(guò)三天后告訴內(nèi)核模塊，內(nèi)核模塊告訴用戶重新啟動(dòng)的空間，Spring Board主屏幕管理器處理進(jìn)程終止以避免數(shù)據(jù)丟失。

有效阻止手機(jī)被盜后的數(shù)據(jù)竊取

Jiska Classen在媒體賬戶發(fā)布了實(shí)驗(yàn)相關(guān)細(xì)節(jié)，揭示了蘋果如何實(shí)現(xiàn)其不活動(dòng)重啟機(jī)制。她披露運(yùn)行iOS18的iPhone在三天后就會(huì)重新啟動(dòng)，即使完全脫離無(wú)線網(wǎng)絡(luò)，而且iDevices可以指示使用舊操作系統(tǒng)的其他蘋果移動(dòng)硬件重新啟動(dòng)。

從安全性角度來(lái)看，這顯然是一個(gè)非常強(qiáng)大的緩解措施。雖然執(zhí)法部門將面臨更大的來(lái)自辦案時(shí)間的壓力，但這可能會(huì)完全阻止犯罪分子竊取用戶數(shù)據(jù)、其他存儲(chǔ)在iPhone上的隱私信息。

原文參考：https://www.theregister.com/2024/11/19/ios_18_secret_reboot/?td=rt-3a