在一项泄密调查中,联邦调查局 (FBI) 发现自己无法进入《华盛顿邮报》记者的 iPhone,原因是该手机启用了苹果的 “锁定模式” (Lockdown Mode)。这一安全功能通过限制手机的部分功能来抵御间谍软件,同时也成功阻碍了 FBI 的电脑取证团队。尽管 FBI 最终通过指纹解锁了该记者的另一台 MacBook Pro,但 iPhone 的加密防护显示出其有效性,对执法部门的数据提取工作构成了重大挑战。
FBI 取证受阻
作为对政府承包商泄密案调查的一部分,FBI 突袭了记者汉娜·纳坦森的家,并查获了她的电子设备。法庭文件显示,他们发现一台 iPhone 13 处于开机充电状态,并且屏幕显示已启用 “锁定模式”。
由于这个模式,FBI 专门负责设备取证分析的计算机分析响应团队 (CART) 无法从这台 iPhone 中提取任何数据。
法庭记录写道:“因为这部 iPhone 处于锁定模式,CART 无法提取该设备的数据。”
“锁定模式”如何运作?
“锁定模式”是苹果公司为抵御如 NSO Group 出售的高度针对性间谍软件而设计的一项极限安全功能。它通过严格限制某些应用、网站和功能来减少潜在的攻击面。
其关键防护措施包括:
- 信息附件限制: 阻止大多数类型的消息附件。
- 网络浏览限制: 以更安全的方式加载网页,可能会禁用某些复杂功能。
- 连接限制: 当设备处于锁定模式时,必须先解锁 iPhone,才能将其连接到配件或其他电脑。
这一连接限制对于执法部门来说尤其棘手,因为像 Graykey 和 Cellebrite 这样的法证工具通常需要通过物理连接来破解手机。
执法部门与科技公司的持续博弈
数字取证公司 Garrett Discovery 的首席执行官安德鲁·加勒特指出,锁定模式明确地阻止或限制了许多高级取证技术所依赖的漏洞。
这起事件反映了科技公司(如苹果和谷歌)与执法部门及破解工具制造商之间的持续拉锯战。设备制造商不断增强安全性,而执法部门则寻求新的方法来访问数据。例如,当手机关机或重启后未被解锁时 (称为 BFU 状态),破解难度会大大增加。
另一台设备被成功解锁
尽管 iPhone 坚不可摧,但 FBI 还是成功进入了纳坦森的另一台银色 MacBook Pro。
这台笔记本电脑需要密码或 Touch ID 才能解锁。在调查人员的要求下,纳坦森用她的手指解锁了电脑。随后,FBI 探员拍摄并录下了储存在笔记本电脑 Signal 应用中的对话内容。这表明,虽然锁定模式非常有效,但并非所有设备和情况都能提供同等级别的防护。