存储用于取证分析的iPhone意外重启 给警方检查带来麻烦
据404 Media报道,密歇根州底特律市的执法人员正在警告其他警察,据称iPhone的更改会导致存储用于取证检查的苹果设备自发重启。正在接受检查的 iPhone 一直在重启,这使得它们更难以用暴力方法解锁,密歇根州警方认为这是由于苹果在 iOS 18 中添加的一项安全功能所致。 404 Media 发现的一份文件推测,运行 iOS 18 的 iPhone 在与蜂窝网络断开连接后甚至还会导致其它 iPhone 重启。
本通知的目的是宣传涉及 iPhone 的一种情况,即当 iPhone 从蜂窝网络中移除时,会导致 iPhone 设备在短时间内重新启动(观察结果可能在 24 小时内)。 如果 iPhone 处于首次解锁后 (AFU) 状态,重启后设备会返回到首次解锁前 (BFU) 状态。 这对从不支持 AFU 以外任何状态的设备中获取数字证据非常不利。
据信,在条件允许的情况下,被带入实验室的 iOS 18.0 iPhone 设备会与 AFU 保险库中处于开机状态的其他 iPhone 设备进行通信。 这种通信向设备发送了一个信号,要求设备在设备活动或关闭网络后重新启动。
"首次解锁后"(或 AFU)指的是设备状态,即机主在设备开机后至少有一次使用密码或Face ID 对其设备进行解锁。 执法部门使用 Cellebrite 等公司提供的 iPhone 解锁工具更容易进入处于 AFU 模式的设备。 重启显然会增加难度。
注意到这一问题的数字取证实验室曾让多部 iPhone 在 AFU 状态下重启,其中包括处于飞行模式的 iPhone 和处于法拉第盒中的 iPhone。 由于法拉第盒会阻止所有电子信号到达设备,因此运行 iOS 18 的 iPhone 无法与功能正常的法拉第盒中的 iPhone 通信。
警方文件推测,这是"iOS 18.0 新增的安全功能",因为一台运行 iOS 18 的设备在隔离和静止一段时间后也重新启动了。 然而,同一区域的其他几台设备并没有重启,也没有证据表明苹果添加了一项功能,导致旧款 iPhone 在与运行 iOS 18 的 iPhone 接触时重启。
执法人员建议,在进行进一步测试时,应将 iOS 18 设备与其他处于 AFU 状态的 iPhone 隔离。
目前尚不清楚重启的具体条件,需要进一步测试和研究,为我们现在面临的新障碍增加更多具体细节。 目前已知的是,这种新的"功能"增加了取证保存数字证据的难度。
密码学家、约翰-霍普金斯大学教授马修-格林表示,执法人员关于 iOS 18 设备的假设"非常可疑",但他对这一概念印象深刻。
他说:"在长时间没有网络的情况下,手机应该定期重启的想法绝对是绝妙的,如果苹果真的是故意这样做的,我会感到非常惊讶。"