据404 Media报道,密歇根州底特律市的执法人员正在警告其他警察,据称iPhone的更改会导致存储用于取证检查的苹果设备自发重启。正在接受检查的iPhone一直在重启,这使得它们更难以用暴力方法解锁,密歇根州警方认为这是由于苹果在iOS 18中添加的一项安全功能所致。404 Media发现的一份文件推测,运行iOS 18的iPhone在与蜂窝网络断开连接后甚至还会导致其它iPhone重启。
8\Bb7* CaR-Yk
本通知的目的是宣传涉及iPhone的一种情况,即当iPhone从蜂窝网络中移除时,会导致iPhone设备在短时间内重新启动(观察结果可能在24小时内)。如果iPhone处于首次解锁后(AFU)状态,重启后设备会返回到首次解锁前(BFU)状态。这对从不支持AFU以外任何状态的设备中获取数字证据非常不利。
9J$-E4G.M kxmc2RH>nB 据信,在条件允许的情况下,被带入实验室的iOS 18.0 iPhone设备会与AFU保险库中处于开机状态的其他iPhone设备进行通信。这种通信向设备发送了一个信号,要求设备在设备活动或关闭网络后重新启动。
bX>R9i$
iTVZo?lVo "首次解锁后"(或AFU)指的是设备状态,即机主在设备开机后至少有一次使用密码或Face ID对其设备进行解锁。执法部门使用Cellebrite等公司提供的iPhone解锁工具更容易进入处于AFU模式的设备。重启显然会增加难度。
u=t.1eS5 v1z
d[jqk 注意到这一问题的数字取证实验室曾让多部iPhone在AFU状态下重启,其中包括处于飞行模式的iPhone和处于法拉第盒中的iPhone。由于法拉第盒会阻止所有电子信号到达设备,因此运行iOS 18的iPhone无法与功能正常的法拉第盒中的iPhone通信。
LB`{35b-
?NR&3q 警方文件推测,这是"iOS 18.0新增的安全功能",因为一台运行iOS 18的设备在隔离和静止一段时间后也重新启动了。然而,同一区域的其他几台设备并没有重启,也没有证据表明苹果添加了一项功能,导致旧款iPhone在与运行iOS 18的iPhone接触时重启。
\3`r/,wY 8QMib3p 执法人员建议,在进行进一步测试时,应将iOS 18设备与其他处于AFU状态的iPhone隔离。
BhhFij4 us+z8Mz 目前尚不清楚重启的具体条件,需要进一步测试和研究,为我们现在面临的新障碍增加更多具体细节。目前已知的是,这种新的"功能"增加了取证保存数字证据的难度。
Z@}qL1 QD%!a{I 密码学家、约翰-霍普金斯大学教授马修-格林表示,执法人员关于iOS 18设备的假设"非常可疑",但他对这一概念印象深刻。
3S"
/l 9{
#5~WP 他说:"在长时间没有网络的情况下,手机应该定期重启的想法绝对是绝妙的,如果苹果真的是故意这样做的,我会感到非常惊讶。"
,Oe:SZJ>