Как сообщил в своей презентации Джонатан Здзиарски (Jonathan Zdziarski), эксперт по разработке приложений и безопасности для iOS, iPhone содержит множество скрытых механизмов для извлечения данных пользователей в обход всех систем защиты.
Свою презентацию Джонатан Здзиарски подготовил к конференции Hackers On Planet Earth в Нью-Йорке. Ранее Здзиарски, известный также как NerveGas, активно участвовал в разработке джейлбрейков для смартфонов iPhone первых моделей. Он написал несколько книг по разработке приложений для операционной системы iOS.
По информации Здзиарски, iOS содержит «определенное число высококачественных недокументированных служб, которые работают в фоновом режиме», а также «подозрительные упущения в дизайне iOS, облегчающие сбор данных». В презентации, например, упоминаются фоновые службы com.apple.mobile.file_relay и com.apple.pcapd.
Служба com.apple.pcapd, в частности, при включении iOS-устройства немедленно активирует библиотеку libpcap, которая нужна для захвата сетевых пакетов. Здзиарски указывает, что эта служба нужна для анализа сетевого трафика, но недоумевает, по какой причине эта отладочная функция работает на всех iOS-устройствах подряд по умолчанию, никак не сообщает о своем присутствии, и для нее не нужна активация режима отладки.
Другая служба — com.apple.mobile.file_relay (File Relay), по мнению эксперта, вызывает еще большее количество вопросов. «Эта служба имеется в iOS с явным умыслом для извлечения по запросу данных с устройства», — считает Здзиарски.
Эксперт при этом указывает на то, что служба может извлекать данные, минуя функцию шифровки данных на iOS-устройстве, которая предназначена для защиты контента пользователя. Более того, в наиболее свежей версии операционной системы — iOS 7 — возможности данной службы были заметно расширены, сообщает он.
Если в прошлых версиях платформы источниками File Relay были приложения Network, WiFi, AppleSupport, UserDatabases, SystemConfiguration и CrashReporter, то в iOS 7 список включает уже 43 источника, в т.ч. AddressBook, Caches, Accounts, CoreLocation, FindMyiPhone, Voicemail, MapsLogs, Photos, и пр.
Accounts, к примеру, хранит информацию обо всех аккаунтах пользователя, данные о которых были введены в устройство (в т.ч. Facebook, Twitter, iCloud, и др); AddressBook является копией файла базы данных SQLite книги пользовательских контактов (в т.ч. удаленные ранее контакты, которые можно восстановить); Caches — кэш-папка с данными пользователя, содержащая ненужные скриншоты, оффлайновый контент, различные изображения, полученные из Сети, и т.п., Photos — дамп всех изображений, хранящихся на устройстве, а CoreLocation — журналы GPS.
Большое внимание Здзиарски уделил источнику под именем HFSMeta, который в iOS 7 также появился впервые. Он включает время изменения, размер, название, а также дату создания каждого файла на iOS-устройстве, в т.ч. все названия пользовательских файлов в Dropbox и т.д.
«Почему анализатор сетевых пакетов действует на 600 млн персональных iOS-устройств?», «По какой причине в устройстве запущены недокументированные службы, обходящие функцию шифрования пользовательских данных и способные извлекать из памяти значительные объемы персональных данных?» — на эти и прочие вопросы, по словам Здзиарски, компания Apple не захотела дать ему ответы, оставив все запросы без внимания.
Напомним, в январе этого года немецкое издание Spiegel привело список из почти 50 жучков АНБ для встраивания в мобильные телефоны, серверы, маршрутизаторы, и прочее оборудование, предназначенное для заказчиков со всего мира. Один из упомянутых жучков на момент составления документа предназначался для iPhone, но требовал физического контакта с устройством для установки.
