儲存用於取證分析的iPhone意外重啟給警方檢查帶來麻煩
根據404 Media報導,密西根州底特律市的執法人員正在警告其他警察,據稱iPhone的變更會導致儲存用於取證檢查的蘋果設備自發性重啟。正在接受檢查的iPhone 一直在重啟,這使得它們更難以用暴力方法解鎖,密西根州警方認為這是由於蘋果在iOS 18 中添加的一項安全功能所致。 404 Media 發現的一份文件推測,運行iOS 18 的iPhone 在與蜂窩網路斷開連接後甚至會導致其它iPhone 重啟。
本通知的目的是宣傳涉及iPhone 的一種情況,即當iPhone 從蜂窩網路中移除時,會導致iPhone 設備在短時間內重新啟動(觀察結果可能在24 小時內)。 如果iPhone 處於首次解鎖後(AFU) 狀態,重新啟動後裝置會回到首次解鎖前(BFU) 狀態。 這對從不支援AFU 以外任何狀態的裝置中取得數位證據非常不利。
據信,在條件允許的情況下,被帶入實驗室的iOS 18.0 iPhone 設備會與AFU 保險庫中處於開機狀態的其他iPhone 設備進行通訊。 這種通訊向設備發送了一個訊號,要求設備在設備活動或關閉網路後重新啟動。
“首次解鎖後”(或AFU)指的是設備狀態,即機主在設備開機後至少有一次使用密碼或Face ID 對其設備進行解鎖。 執法部門使用Cellebrite 等公司提供的iPhone 解鎖工具更容易進入處於AFU 模式的裝置。 重啟顯然會增加難度。
注意到這一問題的數位鑑識實驗室曾讓多部iPhone 在AFU 狀態下重啟,其中包括處於飛行模式的iPhone 和處於法拉第盒中的iPhone。 由於法拉第盒會阻止所有電子訊號到達設備,因此運行iOS 18 的iPhone 無法與功能正常的法拉第盒中的iPhone 通訊。
警方文件推測,這是”iOS 18.0 新增的安全功能”,因為一台運行iOS 18 的設備在隔離和靜止一段時間後也重新啟動了。 然而,同一區域的其他幾台設備並沒有重啟,也沒有證據表明蘋果添加了一項功能,導致舊款iPhone 在與運行iOS 18 的iPhone 接觸時重啟。
執法人員建議,在進行進一步測試時,應將iOS 18 設備與其他處於AFU 狀態的iPhone 隔離。
目前尚不清楚重啟的具體條件,需要進一步測試和研究,為我們現在面臨的新障礙增加更多具體細節。 目前已知的是,這種新的”功能”增加了取證保存數位證據的難度。
密碼學家、約翰-霍普金斯大學教授馬修-格林表示,執法人員關於iOS 18 設備的假設”非常可疑”,但他對這一概念印象深刻。
他說:”在長時間沒有網路的情況下,手機應該定期重啟的想法絕對是絕妙的,如果蘋果真的是故意這樣做的,我會感到非常驚訝。”