登录人民网通行证 &&&
破解苹果手机的5种可能
――网络专家竞猜FBI解密手段
日09:13&&来源：
原标题：破解苹果手机的5种可能
美国联邦调查局（FBI）3月底宣布，他们在第三方的帮助下，成功破解了圣伯纳迪诺枪击案凶手赛义德?法鲁克的iPhone 5C手机密码。虽然尚不清楚是否找到了对调查有用的信息，但至少让苹果和FBI在加密与个人隐私权方面的公开战斗暂时平息。
FBI没有透露破解者的名字及如何得到了iPhone内容。美国电气电子工程师协会（IEEE）《光谱》杂志咨询了9位计算机安全专家和手机取证专家，探讨了这次颇具争议的破解背后有哪些技术上的可能。
最简单方法
也许最简单的破解方法是利用法鲁克手机操作系统iOS 9的弱点。IEEE网络安全倡议协会主席罗伯特?昆宁汉姆、以色列本-古里安大学电信创新实验室首席技术官杜杜?米姆兰等专家都认为，这是最可能的途径。
正当的安全漏洞也叫零日（zero-day），一旦找到这样的漏洞，就有多种方法利用它。虽然哪种零日帮当局进入了手机尚不清楚，但推测存在这种漏洞不无道理。健康的市场可以暴露这种缺陷，如网络安全公司Zerodium去年就向发现iOS 9一个漏洞的团队奖励了100万美元。
iPhone 5C里A6芯片既是处理器也是RAM，协同工作以提高速度。该芯片系统也和其他非易失性内存（如闪存）通讯。由此可以想到第二种方案：劫持A6和非易失性存储器之间的操作，避开iPhone的密码保护。
特拉维夫大学计算机科学家、该校信息安全检查点研究院院长兰?卡尼提说，要做到这一点，一个方法是篡改二者之间携带密码恢复指令的通讯物理线，有经验的黑客可以用这条线重设苹果的软件线路。FBI可能用这种方法来指令软件不断接受错误密码尝试，直到试出正确的。法鲁克的iPhone 5C用的是4位数密码，用一个软件程序通过一万次密码组合尝试，只要一分钟就能解开。
加密专家最喜欢的一种方法叫做NAND镜像策略，NAND是大容量长期存储芯片中所用的一种闪存技术，FBI破解iPhone也可能用这种。一个方法是把NAND保护的内存芯片做个数字拷贝后删除，就可以反复测试得到密码，再简单地把内容重新拷回原芯片。
但FBI局长詹姆斯?克姆雷在3月份的一次新闻简会上曾说，这种称为重播或重设攻击的方法，在法鲁克的手机上不管用。不过许多人怀疑克姆雷的看法，在他发言后不久，iPhone取证专家乔纳森?兹德扎斯基在其博客中贴了技术证明做反驳。
iPhone的内存芯片有物理和数字双重保护，要获得其中秘密，有时还要发起物理攻击。比如加热设备分离内存芯片，再用酸除去芯片表层，这叫做“脱盖”，然后再用微型激光钻达到想要仔细检查的部位。
康奈尔科技安全小组教授阿里?朱尔斯称，本案的目标是提取手机的唯一ID，即在制造过程中分配给每个设备的特殊数字密钥，可用来解码iPhone的内存。苹果在其去年秋天发布的白皮书中说，要获得这个密钥，黑客要发起“非常复杂而昂贵的物理攻击”。只要有最轻微的失误，就可能永久抹掉内存。但这对FBI来说，确实是可以考虑的选项。
工作中的设备能提供它正在处理的信息的线索，如电力消耗、声学特性、电磁辐射、某个组件完成一项任务所花的时间等。有一种称为“侧路攻击”的方法，通过特殊工具监视这些属性，可以推测设备内部发生了什么。比如在手机内部线路挂一个电阻，读取尝试密码输入时的电流。米姆兰说，这就像拨密码锁时把耳朵贴上去听。
昆宁汉姆认为，不可能用这种方法读出密码，芯片制造商也可能预见到这一点，有些芯片加了产生电磁干扰和稳定电流的功能，以迷惑入侵者。但入侵者会收集有关密钥大小、复杂性、加密系统内部属性等信息，这基本是肯定的。
莱斯大学计算机安全专家丹?沃勒克说，发起侧路攻击前，最好是从Chipworks或iFixit这样的公司买一份关于iPhone 5C的规格报告，这些公司专门拆解商业设备，撰写详细的组件分析，并针对设备中信息如何流通提供最佳猜测。但即使有了这张“小抄”，侧路攻击也是难保取胜的。本报记者 常丽君
(责编：郝孟佳、熊旭)
推荐阅读白春礼：把党治国理政成功经验作为科技创新的行动指南
日上午，中国科学院在京举行纪念建党九十五周年表彰大会。中科院党组书记、院长白春礼出席并发表讲话。白春礼要求中科院各级党组织和广大共产党员，把党治国理政的成功经验作为推动科技创新的行动指南，在推进“四个率先”目标的创新实践中勇于担当历史使命，做出应有贡献。
6月“科学流言榜”发布 吃素不得心脑血管病列榜首
六月“科学流言榜”今天发布，“吃素不得心脑血管病”位列榜首。“每月科学流言榜”由北京市科学技术协会、北京地区网站联合辟谣平台、北京科技记者编辑协会共同发布，得到中国科普作家协会科技传播专业委员会、中国晚报科学编辑记者学会、上海科技传播协会的支持。iPhone 5c NAND镜像攻击_Linux新闻_Linux公社-Linux系统门户网站
你好，游客
iPhone 5c NAND镜像攻击
来源：solidot.org&
作者：Linux
剑桥大学的Sergei Skorobogatov在预印本网站arxiv发表论文《》(PDF) ，描述了利用NAND镜像法绕过iPhone 5c的密码试错限制。今年早些时候FBI曾要求苹果开发后门固件帮助解锁San Bernardino枪击案枪手的iPhone 5c手机，这一要求遭到了苹果的拒绝。FBI后来花钱购买了破解方法，它拒绝披露破解细节。NAND镜像法被认为是破解iPhone 5c加密的一种候选方法，但FBI没有使用这种方法，James Comey局长曾在新闻发布会称NAND镜像不起作用。但Skorobogatov的成功演示证明NAND镜像是可能破解手机密码保护的。Skorobogatov 的NAND镜像攻击不需要使用任何昂贵而复杂的设备，他称这项概念验证研究将有助于设计出更安全的保护系统。iPhone 5c、5s和iPhone 6使用了相同类型的NAND存储设备，都可能容易遭到NAND镜像攻击。iPhone 6s及之后的产品使用了更快的NAND芯片，可能需要更复杂的硬件。
本文永久更新链接地址：
相关资讯 & & &
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款FBI被坑了！破解iPhone 5c的密码其实只要100美元
名噪一时的圣贝纳迪诺枪击案，重点似乎不在枪击案本身，而在于FBI为了能够解锁罪犯的一台iPhone 5c手机，要求苹果制作一个特别版本的iOS系统，并且要求该系统去掉锁屏密码输入的次数限制，这样FBI就能通过密码穷举的方式来破解这台iPhone，取得其中的数据了。
苹果当然不肯这么干，最后这件事情还闹上了美国国会。今年4月份，FBI表示我们不靠苹果，投入130万美元找技术公司，搞定了圣贝纳迪诺枪击案涉案iPhone。当时有不少媒体报道说，FBI所用的是NAND Mirroring也就是闪存镜像技术，FBI负责人则坚决予以了否认，表示闪存镜像技术根本搞不定。
最近剑桥大学一名安全研究人员Sergei Skorobogatov研究出一种NAND镜像技术，完全能够绕过iPhone 5c的密码重试次数限制，更悲剧的是，成本只需要100美元！而且他还进行了相应的技术演示。看来这次FBI是被坑了。
把NAND闪存先拆下来
所谓的Data mirroring数据镜像，比较多地应用在计算机数据存储冗余策略上，就是将一个位置的数据实时复制到另一个设备上。这样一来，原始位置的数据总是存在备份，比如常规的RAID阵列的某些方案就属于镜像，此类方案是许多企业灾备的重要手法。
很多技术专家都认为，圣贝纳迪诺枪击案中的那台iPhone 5c应该就是用NAND镜像的方式进行破解的，但业内始终都没有真正行之有效的PoC出现。Skorobogatov在这份研究报告中提到的方案实际上操作起来也并不算简单。他在报告中是这么写的：
&通过拆卸焊接在主板上的NAND闪存芯片，物理访问芯片与SoC的连接，并对其专有总线协议进行部分逆向工程。整个过程不需要任何昂贵或者复杂的设备，完全低成本，使用这种硬件镜像方法，就能绕过密码重试次数限制。&
因为iOS系统有个保护机制，用户可以选择在密码多次输入错误后，就自动销毁设备上的数据，这是杜绝攻击者进行暴力破解的方式。如果能够去掉这种限制，那么4位或者6位密码的暴力穷举是可以解决问题的。所以当初FBI才要求苹果能够特制一个iOS解除这种限制。
iOS的安全说明手册中有提到（不同的iPhone加密密钥管理可能存在差异），用户自己设定的密码，会和iPhone设备自身的唯一UID key一起，计算出Passcode密钥来解锁&System Keybag&。这里的UID key是硬编码进SoC的，是CPU硬件安全引擎的一部分。也就是说，如果NAND闪存芯片没有与相应的SoC硬件相匹配，要暴力破解出Passcode密钥是不可能的&&把NAND芯片直接拆下来进行破解这条路也就不可行。不过另一方面，这也意味着，如果用户修改锁屏密码，那么系统没有必要对用户数据进行全部重新加密，而仅是存储密钥的一小部分。
不过既然要用NAND镜像，那么先把NAND从主板上分离下来还是必须的。好在网上还是可以找到相应资料，连NAND芯片的针脚都有大致描述。但作者在报告中说，查到的这种闪存芯片封装方式，是任何NAND芯片制造商都从来没有对外公开过资料的。也就是说苹果在此所用的协议和命令都可能是独有的，必须用逻辑分析仪来监听NAND芯片和设备的通讯才能搞定。
而且第一步把NAND芯片从主板上卸下来，又必须保证没有损坏，这其实本身对普通用户而言就是相当有难度的事情。iPhone 5c之上的NAND芯片不仅焊在LGA无引线封装中，而且还用环氧化合物强力胶，加上不破坏周围的组件，拆卸时对加热的高温也有控制要求。
NAND芯片拆下来之后，再将相应的针脚用0.3mm的PTFE线将NAND和主板连接起来，如果能实现正常开机就成功了（整个过程本身就会遭遇一堆问题）。为了进行通讯协议和命令的分析，随后需要将NAND连接到一个connector连接器上，再将连接器所在的原型PCB版连接到iPhone 5c的主板上，这里的PCB板内建了缓存。这样逻辑分析仪就能比较稳定地捕获信号，实现对通讯协议的监听。
从Skorobogatov的分析报告来看，最终还是能够解析iPhone 5c的NAND通讯定制协议的。所有的信号都采用C语言在1MHz的较低通讯速度下重复，这对于理解存储层是有帮助的。8GB存储空间包含2个面，每个包含1064个块（block），擦出操作仅能应用于块；每个块又包含256个页，写入是在页之上进行的；每个块包含16448字节的信息；这些信息又以4096字节数据分成4部分，，另外还有16个字节的索引。索引区域很可能是针对损耗平衡，标记数据的逻辑映射的。
备份NAND闪存数据
接下来才真正涉及到NAND镜像的问题：找个相同类型的闪存芯片（SK海力士8GB的NAND芯片，最好的方法就是从另一台iPhone 5c的主板上拆一个下来，谁说只要100美元的？？），将这颗闪存芯片装到需要破解的那台iPhone 5c上。就像前面说的一样，每台iPhone的UID是不一样的，所以装上去之后，肯定是不能正常开机的。不过利用带微芯PIC24EP512GP806微控制器的测试板，可从原有的NAND芯片将所有数据复制到备份芯片之上，耗时大约80分钟。
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】FBI被坑了！破解iPhone 5c的密码其实只要100美元-学网-中国IT综合门户网站-提供健康,养生,留学,移民,创业,汽车等信息
FBI被坑了！破解iPhone 5c的密码其实只要100美元
来源：Freebuf 更新时间： 19:56:07 责任编辑：王亮字体：
名噪一时的圣贝纳迪诺枪击案，重点似乎不在枪击案本身，而在于FBI为了能够解锁罪犯的一台iPhone 5c手机，要求苹果制作一个特别版本的iOS系统，并且要求该系统去掉锁屏密码输入的次数限制，这样FBI就能通过密码穷举的方式来破解这台iPhone，取得其中的数据了。苹果当然不肯这么干，最后这件事情还闹上了美国国会。今年4月份，FBI表示我们不靠苹果，投入130万美元找技术公司，搞定了圣贝纳迪诺枪击案涉案iPhone。当时有不少媒体报道说，FBI所用的是NAND Mirroring也就是闪存镜像技术，FBI负责人则坚决予以了否认，表示闪存镜像技术根本搞不定。最近剑桥大学一名安全研究人员Sergei Skorobogatov研究出一种NAND镜像技术，完全能够绕过iPhone 5c的密码重试次数限制，更悲剧的是，成本只需要100美元！而且他还进行了相应的技术演示。看来这次FBI是被坑了。学网
把NAND闪存先拆下来所谓的Data mirroring数据镜像，比较多地应用在计算机数据存储冗余策略上，就是将一个位置的数据实时复制到另一个设备上。这样一来，原始位置的数据总是存在备份，比如常规的RAID阵列的某些方案就属于镜像，此类方案是许多企业灾备的重要手法。很多技术专家都认为，圣贝纳迪诺枪击案中的那台iPhone 5c应该就是用NAND镜像的方式进行破解的，但业内始终都没有真正行之有效的PoC出现。Skorobogatov在这份研究报告中提到的方案实际上操作起来也并不算简单。他在报告中是这么写的：“通过拆卸焊接在主板上的NAND闪存芯片，物理访问芯片与SoC的连接，并对其专有总线协议进行部分逆向工程。整个过程不需要任何昂贵或者复杂的设备，完全低成本，使用这种硬件镜像方法，就能绕过密码重试次数限制。”因为iOS系统有个保护机制，用户可以选择在密码多次输入错误后，就自动销毁设备上的数据，这是杜绝攻击者进行暴力破解的方式。如果能够去掉这种限制，那么4位或者6位密码的暴力穷举是可以解决问题的。所以当初FBI才要求苹果能够特制一个iOS解除这种限制。iOS的安全说明手册中有提到（不同的iPhone加密密钥管理可能存在差异），用户自己设定的密码，会和iPhone设备自身的唯一UID key一起，计算出Passcode密钥来解锁“System Keybag”。这里的UID key是硬编码进SoC的，是CPU硬件安全引擎的一部分。也就是说，如果NAND闪存芯片没有与相应的SoC硬件相匹配，要暴力破解出Passcode密钥是不可能的――把NAND芯片直接拆下来进行破解这条路也就不可行。不过另一方面，这也意味着，如果用户修改锁屏密码，那么系统没有必要对用户数据进行全部重新加密，而仅是存储密钥的一小部分。不过既然要用NAND镜像，那么先把NAND从主板上分离下来还是必须的。好在网上还是可以找到相应资料，连NAND芯片的针脚都有大致描述。但作者在报告中说，查到的这种闪存芯片封装方式，是任何NAND芯片制造商都从来没有对外公开过资料的。也就是说苹果在此所用的协议和命令都可能是独有的，必须用逻辑分析仪来监听NAND芯片和设备的通讯才能搞定。而且第一步把NAND芯片从主板上卸下来，又必须保证没有损坏，这其实本身对普通用户而言就是相当有难度的事情。iPhone 5c之上的NAND芯片不仅焊在LGA无引线封装中，而且还用环氧化合物强力胶，加上不破坏周围的组件，拆卸时对加热的高温也有控制要求。
相关文章：
上一篇文章：下一篇文章：
最新添加资讯
24小时热门资讯
Copyright © 2004- All Rights Reserved. 学网 版权所有
京ICP备号-1 京公网安备02号逐日安全资讯：剑桥大学博士生完成了FBI无法做到的事 绕过iOS的暗码限定 – 龙8国际娱乐官网_龙8国际娱乐,龙8国际娱乐(唯一)官网}