آیا گوشی خاموش هم می‌تواند هک شود؟

محققین لابراتوار Secure Mobile Networking دانشگاه دارمشتات آلمان مقاله‌ای منتشر کرده‌اند که متود تئوری هک آیفون –حتی وقتی این دستگاه خاموش است- را شرح می‌دهد. در ادامه با ما همراه باشید تا این مقاله را مورد بررسی قرار دهیم. در این مطالعه عملکرد ماژول‌های وایرلس بررسی شده و به این پی برده شده که راه‌هایی برای تحلیل سفت‌افزار بلوتوث و در نتیجه معرفی بدافزاری قادر به اجرای تماماً مستقل از آی‌اواس (سیستم عامل آیفون) وجود دارد. با کمی بکارگیری قوه خیال آنقدرها هم سخت نیست سنارویی را تصور کنیم که در آن مهاجم گوشی آلوده را نزدیک دستگاه قربانی نگه دارد و بدافزار از این طریق منتقل شود. با این سناریو اطلاعات پرداختی یا حتی رمز خودروی مجازی نیز می‌تواند سرقت شود.

چرا می‌گوییم سناریوی خیالی چون در واقع نویسندگان این مقاله به فکر بخش اجرایی کار نبوده‌اند. با این حال محققین برای تحلیل کارکرد غیرمستند گوشی، مهندسی معکوس سیستم‌عامل بلوتوث و مدلسازی سناریوهای مختلف برای استفاده از ماژول‌های وایرلس تلاش بسیاری کردند و این باارزش است. شاید با خود بگویید اگر حمله اجرایی نشود پس دلیل این مقاله چیست؟ نگران نباشید در ادامه توضیح بیشتری خواهیم داد اما بگذارید ابتدا یک جمله مهم را بگوییم: اگر دستگاهی خاموش باشد اما تعامل با آن (برای مثال هک کردن) هنوز یک‌جورهایی امکان‌پذیر باشد پس تماماً هم خاموش نیست! چطور به نقطه‌ای رسیدیم که  می‌گوییم سویئچ آف کردن چیزی لزوماً معنای آف بودن کامل را ندارد؟ بیایید برویم سر اصل مطلب:

حالت Low Power اپل

سال 2021 اپل اعلام کرد سرویس Find My که برای پیدا کردن گوشی گمشده استفاده می‌شود از اکنون حتی برای وقت‌هایی که دستگاه خاموش هست نیز کار خواهد کرد. این قابلیت برای هر آیفون بالای مدل آیفون 11 موجود است. برای مثال اگر گوشی‌تان را جایی گم کنید و باتری‌اش هم بعد از مدتی تمام شده باشد این بدان‌معنا نیست که کاملاً خاموش شده بلکه به حالت  Low Power سوئیچ کرده که در آن فقط مجموعه ماژول‌های مجدودی زنده نگه داشته می‌شوند. اینها در اصل ماژول‌های بلوتوث، [1]UWB و NFC هستند. همچنین چیزی به نام  Secure Element نیز وجود دارد که از سال 2020 برای برخی وسایل نقلیه محدود قابل‌دسترسی است. Secure Element در واقع تراشه امنیتی است که ارزشمندترین رازهای شما را مانند جزئیات کارت اعتباری برای پرداختی‌های بدون کانتکت یا کلیدهای خودرو ذخیره می‌کند. بلوتوث در حالت Low Power برای انتقال داده استفاده می‌شود اما UWB برای تعیین لوکیشن اسمارت‌فون.

در حالت  Low Power اسمارت‌فون اطلاعاتی از خود را می‌فرستد که آیفون‌های عابران می‌توانند آن‌ها را دریافت کنند. اگر دارنده گوشی گمشده به اکانت آنلاین اپل لاگین کند و گوشی را گمشده نشانه‌گذاری نماید، اطلاعات از اسمارت‌فون‌های پیرامونی برای تعیین محل تقریبی دستگاه استفاده خواهد شد. چنین گزارشی بین متخصصین امنیت اطلاعات موجی به راه انداخت و حالا همه دغدغه‌شان شده است بررسی ریسک‌های امنیتی بالقوه. این تیم تحقیقاتی آلمانی تصمیم گرفته‌ است سناریوهای احتمالی حمله را در بخش اجرایی آزمایش کند.

Find My بعد از خاموش شدن دستگاه

نخست، محققین تحلیل مبسوطی روی سرویس Find My در حالت Low Power انجام دادند و برخی ویژگی‌های ناشناخته قبلی را کشف کردند. بعد از خاموش شدن بیشتر کارها بر گردن ماژول بلوتوث بود که توسط مجموعه فرمان‌های آی‌اواسی ریلود و کانفیگ می‌شود. سپس به صورت دوره‌ای پک‌های اطلاعاتی را ارسال کرده و همین به سایر دستگاه‌ها اجازه می‌دهد تا آیفون واقعاً خاموش نشده را شناسایی کنند. اینطور دریافت شده که مدت‌زمان این حالت محدود است: در نسخه آی‌اواس 15.3 تنها 96 سشن برادکست با فاصله 15 دقیقه تنظیم شده است. این یعنی گوشی گمشده و خاموش تنها برای 24 ساعت قابل‌ یافتن خواهد بود. اگر گوشی به خاطر خالی شدن باتری خاموش شده باشد این بازه حتی کمتر هم خواهد بود (چیزی حدود 5 ساعت). شاید این بخش ویژگی، عجیب باشد اما باگ دیگری نیز پیدا شده است: برخی‌اوقات وقتی گوشی خاموش است حالت «beacon» به هیچ‌وجه فعال نمی‌شود هرچند که باید فعال گردد. جالب‌ترین بخش این است که ماژول بلوتوث پیش از خاموشی از نو برنامه‌ریزی می‌شود. یعنی کارایی آن به طور اساسی تغییر می‌کند. اما اگر به ضرر دارنده گوشی از نو برنامه‌ریزی شود چه؟

حمله به گوشی خاموش

در واقع، کشف اصلی این تیم این بود که سفت‌افزار ماژول بلوتوث رمزگذاری نشده و فناوری Secure Boot از آن محافظت نمی‌کند. Secure Boot شامل تأیید چندمرحله‌ای کد برنامه در استارت‌آپ می‌شود تا فقط سفت‌افزار مجوزگرفته از سوی تولیدکننده دستگاه بتواند اجرا شود. عدم رمزگذاری تحلیل سفت‌افزار را موجب شده و سرچ آسیب‌پذیری را ممکن می‌سازد که همین بعدها می‌تواند در حملات استفاده شود. اما نبودِ  Secure Boot به مهاجم قدرت می‌دهد گامی فراتر نهاده تماماً کد تولیدکننده را با کد خود جایگزین کند که همین را بعداً ماژول بلوتوث اجرا می‌کند.

در مقام قیاس، تحلیل سفت‌افزار ماژول  UWB آیفون نشان داده است که توسط Secure Boot محافظت می‌شود هرچند این سفت‌افزار رمزگذاری نمی‌شود. البته که این برای حمله‌ای جدی و عملی کافی نیست. برای این مقصود، مهاجم باید سفت‌افزار را تحلیل کرده و سعی کند آن را با چیزی از ساخته‌های خود جایگزین نماید و حتی دنبال راه‌هایی برای رخنه باشد. نویسندگان این مقاله با جزئیات کامل مدل فرضی این حمله را شرح داده‌اند اما در عمل نشان ندادند آیفون از طریق بلوتوث، NFC یا UWB قابل ‌هک کردن است. آنچه روشن است این است که اگر چنین ماژول‌هایی همیشه روشن باشند، آسیب‌پذیری‌ها نیز همیشه کار خواهند کرد. اپل اما تحت تأثیر این مقاله قرار نگرفت و واکنشی هم بدان نشان نداد. اما همین بی‌میلی و بی‌توجهی در خود نکته‌ای دارد: اپل حتی در مواقعی که تهدید، جدی است و در مرحله اجرایی به سر می‌برد هم اصطلاحاً پوکر فیس می‌ماند.

در نظر داشته باشید که اپل در این کار خبره است: محققین باید با ماژول‌های طرف‌سوم آماده برای سفارش با کد نرم‌افزاریِ بسته‌ای سر و کله بزنند که اغلب هم (روی سخت‌افزار انحصاری اپل) رمزگذاری‌شده است. یک اسمارت‌فون سیستم بزرگ و پیچیده‌ای است که سخت می‌توان از آن سردرآورد؛ خصوصاً اگر تولیدکننده جای اینکه کمکی کند پروسه را کُندتر نیز می‌کند. هیچکس یافته‌های آن تیم را «نفس‌گیر» تلقی نکرد اما اینها نتیجه تلاش بی‌وقفه یک تیم است که نباید سرسری از آن گذشت. مقاله‌ای مذکور خط‌مشی امنیتی گوشی خاموش اما با ماژول‌هایی زنده را زیر سوال می‌برد. این تردیدها البته که ثابت شده به حق هستند.

دستگاه نیمه‌خاموش

این مقاله چنین نتیجه‌گیری می‌کند که سفت‌افزار بلوتوث به حد کافی محافظت نمی‌شود. به لحاظ تئوری ممکن باشد آن را در آی‌اواس دستکاری کرد یا با بسط دادن یا تغییر کارایی‌اش همان حالت Low Power را از نوبرنامه‌ریزی نمود. سفت‌افزار UWB همچنین می‌تواند برای آسیب‌پذیری‌ها نیز مورد آزمایش قرار گیرد. مشکل اصلی اما این است که چنین ماژول‌های وایرلسی (و نیز NFC) مستقیماً با حصار محافظت‌شده‌ای به نام  Secure Element در ارتباط است. همین نتیجه‌گیری‌های هیجان‌انگیزی را برای این مقاله رقم می‌زند: به لحاظ تئوری، ممکن است کلید خودروی مجازی از آیفون سرقت شود –حتی اگر گوشی خاموش باشد!-. روشن است که اگر آیفون، کلید خودرو باشد، از دست دادن دستگاه به معنای از دست دادن خودرو نیز هست.

با این وجود در چنین سناریویی گوشی اصلی در اختیارتان است اما کلید سرقت شده. اینطور فرض کنید: مجرم به شما در مغازه‌ای نزدیک می‌شود و گوشی‌اش را به کیف شما می‌کشد و بدین‌ترتیب کلید مجازی سرقت می‌شود! به طور تئوری می‌شود داده ارسالی توسط ماژول بلوتوث را دستکاری کرد. برای مثال با هدف استفاده از اسمارت‌فون جهت جاسوسی قربانی (برای دیگر بگوییم حتی اگر گوشی خاموش باشد!). سرقت اطلاعات کارت اعتباری از گوشی نیز امکان فرضی دیگری است. اما همه اینها ابتدا باید ثابت شوند.

کار تیم آلمانی نشان می‌دهد افزودن کارایی جدید با خود ریسک‌های امنیتی دارد که نباید نادیده‌شان گرفت. خصوصاً وقتی واقعیت با تصور و خیال زمین تا آسمان فرق کند: فکر می‌کنید گوشی‌تان کامل خاموش است درحالیکه چنین نیست. این مشکل تازه‌ای هم نیست. فناوری  Intel Management Engine و  AMD Secure–که همچنین کارشان مدیریت بخش حفاظت سیستم و امنیت‌بخشی به مدیریت ریموت است- هرزمان مادربورد لپ‌تاپ یا کامپیوتر دسکتاپ به برق باشد فعالند. مانند ماجرای Bluetooth/UWB/NFC/Secure Element در آیفون‌ها، این سیستم‌ها هم حقوق گسترده‌ای در کامپیوتر دارند و آسیب‌پذیری در آن‌ها می‌تواند بسیار خطرناک باشد. بیایید بخش مثبت ماجرا را هم ببینیم: این مقاله هیچ اثر آنی روی کاربری معمولی ندارد: داده‌های بدست‌آمده از این پژوهش برای حمله اجرایی کافی نیست. بعنوان راهکاری نتیجه‌بخش، نویسندگان توصیه کرده‌اند اپل در بخش سخت‌افزاری سوئیچی را پیاده‌سازی کند که بتواند گوشی را کامل خاموش کند نه نیمه‌خاموش! اما باتوجه به فوبیای دکمه فیزیکی اپل، می‌توانید مطمئن باشید چنین اتفاقی نخواهد افتاد.