Forse non tutti ricordano che la collaborazione tra Apple e Forze di Polizia nello sblocco dei dispositivi protetti da Pin o password è stata “pacifica” fino al 2016, quando bastava andare a Cupertino con una richiesta da parte di un Giudice per farsi sbloccare i dispositivi di cui non si conoscevano le credenziali. Proprio l’Italia tra l’altro aveva usufruito in quel periodo dei servizi di sblocco per accedere all’iPhone di Carolina Picchio, morta suicida a causa del bullismo e il cui smartphone era inaccessibile alle forze dell’ordine perché nessuno era a conoscenza del Pin utilizzato dalla ragazza.
Il dietrofront di Apple nel rapporto con le Autorità
Con l’uscita di iOS in versione 8 la società di Cupertino ha fatto un netto passo indietro, precisando nelle sue Linee Guida per l’Autorità Giudiziaria che “for all devices running iOS 8.0 and later versions, Apple is unable to perform an iOS device data extraction as the data typically sought by law enforcement is encrypted, and Apple does not possess the encryption key.” Da iOS 8 in poi è quindi inutile chiedere il supporto per lo sblocco dei dispositivi: i contenuti sono cifrati e nessuno a parte il proprietario possiede le credenziali per l’accesso.
Le prime conseguenze di questo cambio di rotta si sono fatte subito sentire, basti pensare all’epopea dell’indagine circa la strage di San Bernardino, per la quale l’FBI ha dovuto ricorrere a una “misteriosa” società privata per sbloccare l’iPhone dell’assassino, che Apple aveva rifiutato di sbloccare proprio giustificandosi con la cifratura del dispositivo. Anche in Italia le Autorità hanno dovuto gestire indagini come quella dell’aggressione perpetrata da Alexander Boettcher o il suicidio di Tiziana Cantone rivolgendosi a terzi per ottenere le credenziali di accesso agli smartphone e permettere agli informatici forensi di acquisire i dati in essi contenuti.
Tra l’altro, la risposta di Apple al fatto che l’FBI sia riuscita a cavarsela senza di loro è stata spiazzante: tramite i suoi avvocati ha richiesto di poter conoscere le modalità con le quali è avvenuto lo sblocco, in particolare nel caso più eclatante della strage di San Bernardino, che ha sancito formalmente l’inizio della “rincorsa” tra la società di Cupertino e le aziende di supporto alle Forze dell’Ordine come la israeliana Cellebrite. Ovviamente nessuno di coloro a conoscenza del meccanismo con il quale gli smartphone sono stati sbloccati ha fornito una spiegazione ad Apple che è rimasta come si dice in Italia “con un palmo di naso”.
Quali società sbloccano l’iPhone (e a che prezzo)
Da allora per Apple le cose non sono migliorate, anzi, le società in grado di sbloccare dispositivi con la mela hanno continuato a fornire il servizio, aggiornandolo a ogni uscita di una nuova versione di iOS. Da poco si è aggiunta l’americana GrayShift che, invece di fornire il servizio, vende direttamente il suo congegno, chiamato GrayKey, in grado di sbloccare i dispositivi anche se protetti con PIN fino a 6 cifre, tramite semplice connessione dello smartphone con il cavo lightning. Mentre Cellebrite richiede circa tremila dollari per sbloccare un cellulare previa consegna in una delle sue sedi, GrayShift vende il suo Box per quindicimila dollari includendo 300 sblocchi oppure per trentamila dollari la versione che permette di sbloccare infiniti dispositivi, previa connessione a Internet.
Una proposta certamente allettante, che dimostra tra l’altro da parte di GreyShift la sicurezza nel metodo utilizzato tanto da non avere il timore di vendere il suo marchingegno direttamente al cliente finale, pur sapendo che tra i primi acquirenti avrebbero avuto certamente Apple e le società di sicurezza sue concorrenti, tutti ansiosi di analizzarne il funzionamento: i primi per tappare il buco, i secondi per carpirne i segreti e riproporli a loro volta nei loro prodotti.
Mistero sulle tecniche usate per lo sblocco
Di ciò che fanno Cellebrite con il servizio CAIS e GrayShift con il suo dispositivo GrayKey si sa poco, è però noto che svolgono il loro lavoro ormai per numerosissime realtà investigative e con discreto successo. Tecnicamente, sembra che eseguano le operazioni sul dispositivo tramite la connessione via cavo, attraverso la quale passano comandi “misteriosi” che permettono loro di procedere speditamente con numerosi tentativi di sblocco, con la speranza di trovare quello corretto in tempi ragionevoli. Non sembra infatti che abbiano trovato bachi nella cifratura o workaround per bypassarla all’istante: nell’ambiente si vocifera che procedano allentando i controlli del sistema cosiddetto “secure enclave” di Apple responsabile di bloccare i tentativi ripetuti d’inserimento di PIN. Sappiamo tutti che inserendo troppi PIN errati sugli iPhone se ne rischia il blocco o persino la cancellazione permanente dei contenuti, mentre Cellebrite e GreyShift sono invece in grado di fare quanti tentativi vogliano, con il solo limite che per password complesse potrebbero comunque volerci mesi, anni o persino secoli.
La contromossa di Apple: iPhone blindati
La situazione è palesemente sfuggita di mano ad Apple che, non essendo presumibilmente riuscita a capire quali falle si sicurezza vengano utilizzate dalle società che sbloccano i loro sistemi, è ricorsa all’unica soluzione che in teoria dovrebbe tagliare fuori ogni tentativo di accesso: “staccare” direttamente la presa USB dei suoi iPhone e iPad. La situazione si può rapportare a quella di una società che produce una porta che viene periodicamente violata tramite forzatura della serratura e che, nonostante abbia la possibilità di visionare il metodo utilizzato, non sia in grado di proteggerla. Società che a un certo punto decide di procedere con una soluzione drastica: murare direttamente l’ingresso, impedendo così a chiunque (a parte il proprietario) di toccare porta o serratura.
Come funziona l’USB Restricted Mode
Apple ha infatti annunciato da poco che grazie alla nuova modalità “USB Restricted Mode” – che verrà inserita nella versione 12 del suo sistema operativo – la comunicazione tramite la porta di collegamento USB verrà interrotta a partire da un’ora dall’ultimo sblocco avvenuto da parte del proprietario. Ovviamente sarà ancora possibile caricare il proprio dispositivo collegandolo a un presa di corrente o power bank ma non sarà invece permesso il passaggio di dati sul cavo, che renderà quindi impossibile l’utilizzo di iTunes per sincronizzare video o musica, senza prima aver inserito il proprio PIN o la password.
Come se non bastasse, Elcomsoft ha pubblicato un articolo nel quale illustra come la modalità “USB Restricted Mode” può anche essere attivata manualmente, senza dover attendere un’ora dall’ultimo sblocco. Basta infatti utilizzare la funzione di SOS che è stata inserita già nella versione iOS 11.4.1 beta 2 per disabilitare la porta USB e il touch ID rendendoli entrambi inutilizzabili, semplicemente premendo rapidamente per cinque volte di seguito il pulsante di accensione del dispositivo.
Il dover inserire la password o il PIN per sincronizzare lo smartphone con il PC è una piccola scocciatura per gli utenti – già abituati a inserire più volte le proprie credenziali – ma un vero e proprio ostacolo per gli strumenti di sblocco, che non dovrebbero più essere in grado di poter interagire con il dispositivo e quindi forzarne l’accesso.
Cellebrite e GrayShift fuori gioco?
La domanda che ora tutti si pongono è se con questa mossa Apple ha finalmente tagliato fuori società come Cellebrite o GrayShift o se queste abbiano qualche asso nella manica per continuare a vendere i loro servizi o prodotti.
A questo punto siamo arrivati alla situazione in cui Apple è in procinto di chiudere le porte di accesso ai dispositivi, rendendoli quindi “blindati” dopo una sola ora dall’ultimo sblocco avvenuto da parte del proprietario o persino tramite disattivazione manuale. In teoria, da domani, un dispositivo posto in sequestro e di cui le Forze di Polizia non conoscono la password dovrebbe essere totalmente inaccessibile anche agli strumenti di sblocco, nell’ipotesi che questi utilizzino effettivamente la connessione dati via cavo come vettore per i loro attacchi.
La novità è che, pur non essendoci conferme ufficiali, le società che forniscono servizi di sblocco stanno cominciando a farsi sentire per rassicurare i propri clienti. Il 14 giugno GrayShift ha dichiarato a Motherboard che “Grayshift has gone to great lengths to future-proof their technology and stated that they have already defeated this security feature in the beta build. Additionally, the GrayKey has built in future capabilities that will begin to be leveraged as time goes on”. La società sembra quindi essere confidente circa il suo sistema di sblocco, che dovrebbe essere già in grado di gestire la “problematica” del canale dati USB interrotto da Apple e persino poter reggere futuri tentativi d’inibire il loro sistema GrayKey. Anche i clienti della Cellebrite sembrano essere piuttosto preoccupati ma non hanno ancora avuto (ufficialmente) rassicurazioni, non dubitiamo però del fatto che anche gli israeliani abbiano qualche asso nella manica.
Le vie alternative per accedere ai dati
Nell’analizzare questa rincorsa, dobbiamo tenere presente anche lo scenario globale. Periodicamente la mobile forensics subisce colpi (in genere a suon di crittografia) che ne limitano la portata ma in un modo o nell’altro si riesce spesso ad aggirare l’ostacolo per procedere comunque con le indagini. Senza ricorrere a metodi barbari come quello del tubo di gomma, le vie da percorrere in caso di dispositivo bloccato sono diverse. I nostri dati, benché criptati sia sul dispositivo sia in transito sulla rete, vengono spesso memorizzati in backup, sincronizzati con il cloud o salvati su altri dispositivi così da renderli comunque accessibili. Abbiamo così notizie come quella del cloud che ha permesso di recuperare dati sincronizzati dal dispositivo dell’interlocutore, perché per quanto si sia attenti, potrebbero non essere così attenti coloro con i quali scambiamo informazioni. Infine, ancora ci stupiscono casi nei quali l’FBI è riuscita a recuperare dati anche se criptati senza specificare bene come, lasciando immaginare alternative come l’utilizzo di Trojan (o “captatori”, come sono chiamati in Italia), attacchi di tipo Man in The Middle (non facili perché i certificati o le chiavi possono essere verificati), brute force o sistemi sempre più complessi di accesso ai dati.