Diverse unità di iPhone conservati nelle sedi di società che si occupano di analisi forensi si stanno riavviando, una probabile nuova misura di sicurezza predisposta da Apple che sta complicando la vita delle forze dell’ordine.
Gli iPhone in questione hanno in comune il sistema operativo, aggiornato a iOS 18, e il fatto di essere scollegati dalla rete cellulare da un po’ di tempo (erano stati inviati ai laboratori di informatica forense poco più di un mese addietro).
A segnalare questa nuova complicazione per i laboratori di analisi forense che collaborano con le forze dell’ordine è il sito 404 Media, riferendo che il riavvio è probabilmente una nuova misura di sicurezza predisposta da Apple con l’aggiornamento dei dispositivi a iOS 18. Probabilmente Cupertino ha predisposto il riavvio quando il dispositivo rimane scollegato dalla rete per troppo tempo.
Gli iPhone inviati dalle forze dell’ordine per le analisi forensi si dividono in due: BFU (Before First Unlock) e AFU (After First Unlock). riferimenti allo stato in cui un iPhone (o un iPad) può trovarsi, elementi distintivi che cambiano drasticamente le modalità con le quali si può tentare di bypassare il codice di sblocco.
Dal punto di vista tecnico, il contenuto degli iPhone riavviati rimane cifrato fino a quando non si inserisce il codice di sblocco, fondamentale pe generare la chiave di crittografia, che a sua volta è necessaria per decifrare il file system dell’iPhone.
Un dispositivo riavviato è in poche parole ancora più complicato da scardinare e le possibilità di accesso si riducono, con software specializzati che hanno pochissimo raggio di azione e che possono accedere a porzioni ridotte di memoria.
In un documento che, a quanto pare di capire, arriva da funzionari di polizia di Detroit (Michigan) si evidenzia la problematica e si indicano suggerimenti su come isolare i dispositivi soggetti al riavvio.
Oltre alla possibile nuova misura di sicurezza prevista da Apple, non è da escludere che il riavvio potrebbe essere anche dovuto ad altre problematiche di determinati dispositivi (es. malfunzionamento hardware, consumo anomalo o malfunzionamento della batteria). Resta il fatto che con un iPhone che si trova nello stato BFU (Before First Unlock) molte funzionalità del dispositivo sono limitate o disabilitate, complicando non poco le già limitate possibilità di accesso.
Quando le forze dell’ordine sequestrano un iPhone o un iPad di un soggetto indagato che non intende collaborare con la consegna del codice di sblocco, sono istruite a mantenere l’iPhone nello stato BFU (il suggerimento è di alimentare il dispositivo prima possibile in modo che non si spenga); i dispositivi potrebbero continuare a comunicare con l’esterno e per impedire l’inizializzazione a distanza bisogna schermarli dall’esterno, sfruttando una “Gabbia di Faraday”, ad esempio un contenitore in grado d’isolare a qualunque rete esterna.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
