Haker upublicznił klucze deszyfrujące do oprogramowania procesora Apple, który chroni dostępu do haseł użytkownika i danych Touch ID!

Grzegorz Dudek
Grzegorz Dudek
20.08.2017

Trudno nie zgodzić się ze stwierdzeniem, że smartfony zmieniły nasz świat. Podczas każdej podróży komunikacją miejską, otaczają mnie ludzie, którzy intensywnie wpatrują się w ekrany swoich inteligentych telefonów. Taki sam obraz możemy zobaczyć w restauracjach, kawiarniach, na przystankach, czy nawet na siłowni. Podczas krótkiej przerwy w treningu, wiele osób natychmiast sięga po swojego smartfona.
Inteligentne telefony pomagają nam w pracy, ale także zapewniają rozrywkę. Z ich pomocą organizujemy swój dzień, wysyłamy maile, edytujemy dokumenty, wykonujemy przelewy, czy nawigujemy w trasie lub mieście. Po całym dniu sięgamy po smartfon, aby przejrzeć najnowsze wiadomości, umówić się ze znajomymi, obejrzeć film. Kiedy idziemy pobiegać to właśnie telefon odpowiada za monitorowanie naszego treningu. Dla wielu z Nas, smartfon w dużej mierze zastapił komputer, po który sięgamy tylko gdy telefon nie jest w stanie podołać aktualnemu zadaniu.

Trudno nie zauważyć, że smartfony dysponują ogromną ilością danych o naszej osobie. Przechowują zdjęcia, dokumenty, hasła do kont mailowych i bankowości, historię lokalizacji, a czasem nawet informacje o naszym stanie zdrowia. Nie można też zapominać, że w niektórych przypadkach, inteligentne telefony posiadają skan naszych lini papilarnych, czy obraz tęczówki oka. Ochrona naszych prywatnych danych powinna być jednym z głównych celów, które przyświecają producentom urządzeń mobilnych, jednak nie zawsze tak jest.

Wracając do ostatniego aspektu, muszę stwierdzić, że zabezpieczenia biometryczne, były dużą rewolucją w świecie smartfonów. Po nasze telefony sięgamy dziesiątki, a może nawet setki razy dziennie i każdorazowe wpisywanie hasła to dość irytująca czynność. Dzięki czytnikowi lini papilarnych, możemy odblokować nasz smartfon w ciagu ułamka sekundy, jednocześnie nie obawiając się, że jakieś ciekawskie oko, podejrzy wpisywany kod.
Tą metodę odblokowywania smartfona spopularyzowało Apple, wraz z prezentacją iPhone’a 5s. Od tamtej premiery czytniki linii papilarnych zaczęły trafiać, do kolejnych, inteligentnych telefonów. Dziś znalezienie modelu pozbawionego tej funkcjonalności stanowi znaczne wyzwanie.

Wracając do iPhone’a 5s, należy zauważyć, że w tym modelu Apple po raz pierwszy zastosowało koprocesor zwany Secure Enclave Processor, w skrócie SEP. Odpowiada on za przechowywanie wrażliwych danych użytkownika, takich jak hasła, czy dane o naszych odciskach placów. Warto zaznaczyć, że wspominany komponent jest całkowicie odizolowany od reszty urządzenia. Dotychczas wszelkie szczegóły dotyczące jego działania były owiane tajemnicą, gdyż oprogramowanie kooprocesora, było zaszyfrowane.
Nie bez powodu w powyższym zdaniu zastosowałem czas przeszły. Haker ukrywający się pod pseudonimem xerub, opublikował stosowne klucze deszyfrujące na portalu GitHub. Co to oznacza dla użytkowników? Już śpieszę z wyjaśnieniami.

Klucze deszyfrujące, które zostały opublikowane, nie dają dostępu do prywatnych danych użytkowników, za których przechowywanie odpowiada SEP. Pozwalają jednak na zapoznanie się z oprogramowaniem, które odpowiada za pracę kooprocesora. Jego analiza może doprowadzić do odkrycia luk, a następnie stworzenia stosownego expolit’u. Dzięki niemu potencjalnych haker będzie mógł uzyskać dostęp do danych, za których przechowywanie odpowiada SEP. Ponadto wszelkie zabezpieczenia, które opierają się na koprocesorze, mogłyby stać się zupełnie nieefektywne. 

Wydaje się jednak, że Apple zbytnio nie przejęło się powyższym zdarzeniem lub najzwyczajniej w świecie próbuje robić dobrą minę do złej gry. W rozmowie z portale TechRepublic, anonimowy pracownik Apple, poinformował, że firma w obecnej chwili nie planuje wydawania jakichkolwiek poprawek z myślą o oprogramowaniu koprocesora SEP.

Wydaje się więc, że gigant z Cupertino jest pewny, iż jego zabezpieczenia są na tyle silne, że nawet analiza oprogramowania SEP, nie umożliwi ich pokonania. Jak będzie w rzeczywistości? Czas pokaże. Należy jednak zauważyć, że możliwość uzyskanie dostępu do naszych haseł i danych biometrycznych, to naprawdę kusząca perspektywa dla przestępcy. Ujawnienie kluczy deszyfrujących może stać się impulsem dla hakerów, który zmotywuje ich do zintensyfikowania wysiłków, mających na celu uzyskanie dostępu do danych przechowywanych przez SEP. Z drugiej strony upublicznienie kluczy, może zmotywować Apple, do intensywniejszej pracy nad zabezpieczeniami. Sam haker stwierdził, że szyfrowanie oprogramowania koprocesora ma niewielkie znaczenie lub jest nawet zupełnie nieistotne dla wzrostu standardów zabezpieczeń. Ponadto zaznaczył, że jego zdaniem ujawnienie kluczy w dłuższej perspektywie przyczyni się do poprawy bezpieczeństwa SEP. 

źródło: phonearena.com, techrepublic.com, macrumors.com