เครื่องมือ Mobile Verification Toolkit (MVT) ที่พัฒนาโดย Amnesty International ได้จุดประเด็นการถกเถียงอย่างมากเกี่ยวกับการแลกเปลี่ยนระหว่างความปลอดภัยของอุปกรณ์และการเข้าถึงทางนิติวิทยาศาสตร์ในระบบปฏิบัติการมือถือสมัยใหม่ ในขณะที่ MVT มอบเครื่องมือที่มีคุณค่าสำหรับการตรวจจับสปายแวร์ที่ซับซ้อนอย่าง Pegasus การสนทนาในชุมชนได้เผยให้เห็นความกังวลที่ลึกซึ้งกว่าเกี่ยวกับข้อจำกัดพื้นฐานของนิติวิทยาศาสตร์บนอุปกรณ์มือถือ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ iOS
ประเด็นสำคัญเกี่ยวกับ Mobile Verification Toolkit (MVT)
- ผู้พัฒนา: Amnesty International Security Lab
- เปิดตัว: กรกฎาคม 2564 ในฐานะส่วนหนึ่งของ Pegasus Project
- วัตถุประสงค์: อำนวยความสะดวกในการวิเคราะห์นิติวิทยาศาสตร์โดยความยินยอมสำหรับอุปกรณ์มือถือที่อาจถูกโจมตี
- แพลตฟอร์ม: รองรับทั้งอุปกรณ์ Android และ iOS
- คำสั่ง: ให้บริการคำสั่ง
mvt-iosและmvt-android - ข้อจำกัด: อาศัยตัวบ่งชี้การบุกรุกที่เปิดเผยต่อสาธารณะซึ่งอาจพลาดร่องรอยนิติวิทยาศาสตร์ล่าสุด
ความท้าทายด้านนิติวิทยาศาสตร์ของ iOS
- การตรวจสอบความสมบูรณ์ของระบบตั้งแต่ iOS 15 ผ่าน Signed System Volume (SSV)
- ไม่มีการเข้าถึงภาพดิสก์ดิบที่ไม่ถูกปิดบัง
- การกู้คืนหลังการบุกรุกอย่างสมบูรณ์เป็นไปไม่ได้
- มัลแวร์ที่ไม่คงทนสามารถถูกล้างด้วยการรีบูตอุปกรณ์
- ความสามารถในการสำรองข้อมูลที่มีความอ่อนไหวด้านความปลอดภัยมีจำกัด
ความท้าทายด้านนิติวิทยาศาสตร์ของ Android
- การสนับสนุนการสำรองข้อมูลที่ไม่สม่ำเสมอในแอปพลิเคชันต่างๆ
- การเข้าถึงระดับ root มักต้องลบข้อมูลในอุปกรณ์ก่อน
- SafetyNet/Play Integrity สามารถบล็อกอุปกรณ์ที่ถูกดัดแปลง
- แอปพลิเคชันจำนวนมากปฏิเสธที่จะทำงานบนอุปกรณ์ที่ root แล้ว
 |
|---|
| ภาพนี้แสดงถึง Mobile Verification Toolkit (MVT) เครื่องมือสำคัญในการอภิปรายเกี่ยวกับนิติวิทยาศาสตร์มือถือและความท้าทายด้านความปลอดภัย |
ความกลืนไม่เข้าคายไม่ออกทางนิติวิทยาศาสตร์ของความปลอดภัยบน iOS
แนวทางด้านความปลอดภัยของ Apple สำหรับ iOS สร้างความท้าทายอย่างมากสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ ไม่เหมือนกับสภาพแวดล้อมการคำนวณแบบดั้งเดิม อุปกรณ์ iOS ไม่อนุญาตให้เจ้าของหรือแม้แต่นักวิจัยด้านความปลอดภัยเข้าถึงภาพดิสก์ดิบที่ไม่มีการตัดทอน ข้อจำกัดนี้ แม้จะน่าหงุดหงิดสำหรับนักสืบสวนทางนิติวิทยาศาสตร์ แต่ก็ทำหน้าที่เป็นฟีเจอร์ความปลอดภัยที่สำคัญที่ปกป้องผู้ใช้เมื่ออุปกรณ์สูญหาย ถูกขโมย หรือถูกยึด
ความจริงที่ว่า iPhone นั้นยากที่จะดัมพ์ข้อมูลจริง ๆ แล้วเป็นการป้องกันหลักจากภัยคุกคามเมื่อโทรศัพท์ของคุณถูกขโมยหรือถูกนำไปโดย (องค์กรหรือบุคคลที่ดูมีความชอบธรรมมากหรือน้อย) มันเป็นสิ่งที่ดีโดยรวม
อย่างไรก็ตาม กลไกการป้องกันเดียวกันนี้จำกัดความสามารถในการดำเนินการสืบสวนมัลแวร์อย่างละเอียดหรือการกู้คืนอุปกรณ์อย่างสมบูรณ์หลังจากถูกบุกรุก ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าการกู้คืนอุปกรณ์หลังการบุกรุกบน iOS เป็นไปไม่ได้ในความหมายทางนิติวิทยาศาสตร์แบบดั้งเดิม ผู้ใช้สามารถติดตั้ง OS เวอร์ชันใหม่และกู้คืนข้อมูลดั้งเดิมเพียงบางส่วนเท่านั้น ซึ่งบังคับให้ทุกแอปและบริการต้องสร้างความไว้วางใจใหม่กับสิ่งที่เป็นอุปกรณ์ใหม่อย่างมีประสิทธิภาพ
การตรวจสอบความสมบูรณ์ของระบบ vs. ภัยคุกคามถาวร
การใช้งาน iOS สมัยใหม่ (โดยเฉพาะตั้งแต่ iOS 15) ได้ปรับปรุงการตรวจสอบความสมบูรณ์ของระบบอย่างมีนัยสำคัญผ่านฟีเจอร์อย่าง Signed System Volume (SSV) ซึ่งทำงานคล้ายกับ dm-verity บนแพลตฟอร์มอื่น ๆ แนวทางนี้วาง OS บนสแนปช็อตโวลุ่ม APFS แยกต่างหากที่ได้รับการตรวจสอบโดยใช้แฮชทรี ทำให้การติดตั้งมัลแวร์แบบถาวรยากขึ้นเรื่อย ๆ
ความก้าวหน้าเหล่านี้ทำให้มัลแวร์ iOS แบบถาวรอย่างแท้จริงค่อนข้างหายาก แม้แต่การโจมตีที่ซับซ้อนอย่าง Operation Triangulation ก็ไม่สามารถทำให้อิมแพลนต์ของพวกเขาคงอยู่หลังการรีบูตได้ อย่างไรก็ตาม ชุมชนชี้ให้เห็นว่ามัลแวร์ที่ไม่ถาวรยังคงเป็นภัยคุกคามที่สำคัญ โดยผู้ใช้หลายคนแทบจะไม่รีบูตอุปกรณ์ของตน นอกจากนี้ ช่องโหว่ zero-day ที่เล็งเป้าไปที่ข้อมูลผู้ใช้ถาวรยังสามารถถูกใช้ประโยชน์ซ้ำหลังจากรีบูต
ความท้าทายของ Android ที่แตกต่างแต่คล้ายกัน
การอภิปรายเผยให้เห็นว่า Android เผชิญกับความท้าทายที่คล้ายคลึงกัน แม้จะมีการแลกเปลี่ยนที่แตกต่างกัน ในขณะที่ Android อาจมีตัวเลือกมากกว่าสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ผ่าน ROM ที่กำหนดเองและการเข้าถึงรูท แนวทางเหล่านี้โดยทั่วไปต้องลบข้อมูลในอุปกรณ์ก่อน—ทำให้ไร้ประโยชน์สำหรับการสืบสวนทางนิติวิทยาศาสตร์จริงของอุปกรณ์ที่ถูกบุกรุก
ความสามารถในการสำรองข้อมูลของ Android ยังไม่สม่ำเสมออย่างเห็นได้ชัดเมื่อเทียบกับ iOS ในขณะที่การสำรองข้อมูล iOS โดยทั่วไปจะบันทึกทุกอย่างยกเว้นข้อมูล Secure Enclave (เช่น คีย์บัตรเครดิตและ eSIM) การสนับสนุนการสำรองข้อมูลของ Android เป็นทางเลือกสำหรับแอป โดยแอปพลิเคชันหลายตัว—โดยเฉพาะเกม—ไม่มีความสามารถในการสำรองข้อมูลเลย
ข้อถกเถียงเรื่อง Remote Attestation
บางทีแง่มุมที่มีการโต้เถียงมากที่สุดของการอภิปรายอยู่ที่ remote attestation ในฐานะทางออกที่เป็นไปได้สำหรับการตรวจสอบความสมบูรณ์ของอุปกรณ์ บางคนโต้แย้งว่า Apple สามารถให้ความปลอดภัยที่ดีขึ้นผ่าน remote attestation แบบทางเลือกเพื่อตรวจสอบความสมบูรณ์ของ OS และ baseband อย่างไรก็ตาม แนวทางนี้สร้างความกังวลอย่างจริงจังเกี่ยวกับเสรีภาพในการคำนวณ
เทคโนโลยี remote attestation ซึ่งถูกนำมาใช้แล้วโดย Google (SafetyNet/Play Integrity) และ Apple ในรูปแบบต่าง ๆ ช่วยให้บริการสามารถตรวจสอบสถานะซอฟต์แวร์ของอุปกรณ์ก่อนให้การเข้าถึง ในขณะที่สิ่งนี้สามารถป้องกันอุปกรณ์ที่ถูกบุกรุกได้ แต่ก็เปิดโอกาสให้มีการเลือกปฏิบัติต่ออุปกรณ์ที่ถูกดัดแปลงหรืออุปกรณ์ฟรีที่อยู่ภายใต้การควบคุมของผู้ใช้มากกว่าการกำกับดูแลขององค์กร
ชุมชนดูเหมือนจะแบ่งแยกอย่างลึกซึ้งในประเด็นนี้ โดยบางคนมองว่า remote attestation เป็นการพัฒนาที่หลีกเลี่ยงไม่ได้แต่น่ากังวลที่คุกคามเสรีภาพในการคำนวณ ในขณะที่คนอื่น ๆ เชื่อว่าโมเดลการรับรองที่ละเอียดและควบคุมโดยผู้ใช้มากขึ้นอาจให้เส้นทางสายกลาง
ในขณะที่ภัยคุกคามต่อมือถือยังคงพัฒนาต่อไป ความตึงเครียดระหว่างความปลอดภัย ความเป็นส่วนตัว และการควบคุมยังคงเป็นหัวใจของนิติวิทยาศาสตร์มือถือ เครื่องมืออย่าง MVT ให้ความสามารถที่มีคุณค่าสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์แบบยินยอม แต่ข้อจำกัดพื้นฐานของระบบปฏิบัติการมือถือทำให้มั่นใจได้ว่าความปลอดภัยของอุปกรณ์ที่ครอบคลุมจะยังคงเกี่ยวข้องกับการแลกเปลี่ยนที่ยากระหว่างการป้องกันและการเข้าถึง
อ้างอิง: Mobile Verification Toolkit (MVT)