Software forense usado para obter a senha de dispositivos iOS exige conexão de dados.
VEJA TAMBÉM: Apple vai mudar configurações do iPhone
Isso ficou claro em um webcast realizado ontem (2) por Chris Vance, ex-especialista forense da Polícia Estadual da Virgínia Ocidental. Falando em nome de seu atual empregador, o fornecedor do governo Magnet Forensics, Vance relatou os problemas enfrentados pela polícia com o USB Restricted Mode da Apple. O recurso, introduzido na versão mais recente do iOS (11.4.1), elimina qualquer conexão de dados entre um iPhone e um computador quando um dispositivo é bloqueado por uma hora. Se não houver conexão de dados, não há como um iPhone ser conectado a um PC e ter todas as informações transferidas.
Vance, no entanto, também está testando um bypass conhecido do USB Restricted Mode, conforme revelado na postagem em um blog na última quarta-feira (1). O dispositivo atrasa o cronômetro em uma hora por sete dias quando um acessório (ou o que Vance chama de “delay dongle”) é conectado a um iPhone antes de entrar no USB Restricted Mode (ou seja, dentro de uma hora do bloqueio do telefone). Embora haja um limite de uma semana, apenas remover e reconectar o acessório reiniciará o timer, escreveu.
Em seus testes, o especialista conectou vários acessórios a um iPhone bloqueado rodando o iOS 11.4.1, a versão na qual a Apple ativou o USB Restricted Mode. Ele então esperou pelo menos 60 minutos, removeu o delay dongle e conectou o iPhone a um PC. Muitos acessórios saíram-se bem nos testes.
Vance descobriu que o dongle de trabalho mais barato era um adaptador de US$ 8,98, um splitter que permite o carregamento simultâneo e o uso de fones de ouvido (os mais novos modelos de iPhone não têm uma porta de fone). Em testes anteriores, o adaptador mais barato custava US$ 39.
Uma série de outros conectores parecidos com o modelo de US$ 8,98 também foram bem-sucedidos ao redefinir o USB Restricted Mode, embora eles custem alguns dólares a mais. Todos estavam disponíveis para compra na Amazon. Vance agora divulgou uma lista de todos os acessórios capazes de realizar a atividade, pedindo a todos que os testem e façam o upload dos resultados em uma planilha aberta.
“As agências devem comprar esses dispositivos em massa para depois jogá-los fora? Vai depender de vários fatores, como a entidade e suas políticas”, escreveu Vance. “Qualquer um que esteja planejando a captura de um dispositivo iOS deve ter pelo menos o conhecimento para estar preparado.”
Também é possível atrasar a janela de uma hora simplesmente conectando o iPhone a um PC com Windows, explicou Vance. Mas, para a aplicação da lei, isso pode não ser uma opção. Policiais têm que usar tecnologia apreendida segundo a lei de Faraday, que impede que qualquer fonte externa adultere ou altere os dados (e possíveis evidências) internos.
Durante o webcast, Vance disse que era altamente provável que a polícia encontrasse um número significativo de dispositivos iOS executando os mais recentes recursos de segurança. Isso porque a Apple tem sido cada vez mais agressiva nas atualizações.
LEIA MAIS: O que esperar do preço dos próximos iPhones
Ele também apontou para o chamado modo Emergency SOS dos últimos iPhones. Pressionando rapidamente o botão liga/desliga cinco vezes, o alerta é ativado. Ele evita o TouchID e também ativa o USB Restricted Mode. “Não há nada que possamos fazer se o modo Emergency SOS estiver ativado. O recurso vai simplesmente parar sua investigação naquele momento.”