蘋果最新的移動操作系統(tǒng)iOS18似乎增加了一項未經(jīng)記錄的安全功能，如果設備在72小時內(nèi)未使用，則會重新啟動。這對任何試圖在沒有有效密碼的情況下使用iOS設備的人都會產(chǎn)生影響，比如手機被盜或被扣押。

無有效密碼訪問數(shù)據(jù)難度疊加

當iPhone 重新啟動時，它會進入一個被稱為“首次解鎖”BFU 的狀態(tài)。在此期間，它所包含的文件將被加密，一旦使用密碼解鎖，它的狀態(tài)將變?yōu)槭状谓怄i后AFU，此時，機器的安全性較低，文件基本上是可訪問的，因為大多數(shù)加密密鑰已加載到設備內(nèi)存中。但鎖屏等其他保護措施依然存在，訪問某些數(shù)據(jù)，如Apple Mail、Apple Health、Keychain和位置數(shù)據(jù)可能仍然需要密碼。如果他們無法通過密碼獲得完整訪問權限，AFU是攻擊者和執(zhí)法機構的首選狀態(tài)，因為訪問的障礙較低。因此，讓iPhone在72小時不活動后重新啟動進入BFU會減少任何試圖訪問蘋果硬件數(shù)據(jù)的機會窗口。

研究員做了是否更新相關實驗

在缺乏來自蘋果的官方細節(jié)的情況下，研究員 Jiska Classen為了找到iOS18基于時間的重啟行為的證據(jù)，她搜索了由研究員“blacktop”維護的GitHub repo，其中包含了iOS發(fā)布中使用的字符串的版本歷史。最終在iOS18.1和iOS18.2中發(fā)現(xiàn)了“無活動_reboot”字符串。通過深入研究Apple的Security Enclave Processor（SEP）和Apple SEP Key Store內(nèi)核模塊，她發(fā)現(xiàn)SEP在上次解鎖時間超過三天后告訴內(nèi)核模塊，內(nèi)核模塊告訴用戶重新啟動的空間，Spring Board主屏幕管理器處理進程終止以避免數(shù)據(jù)丟失。

有效阻止手機被盜后的數(shù)據(jù)竊取

Jiska Classen在媒體賬戶發(fā)布了實驗相關細節(jié)，揭示了蘋果如何實現(xiàn)其不活動重啟機制。她披露運行iOS18的iPhone在三天后就會重新啟動，即使完全脫離無線網(wǎng)絡，而且iDevices可以指示使用舊操作系統(tǒng)的其他蘋果移動硬件重新啟動。

從安全性角度來看，這顯然是一個非常強大的緩解措施。雖然執(zhí)法部門將面臨更大的來自辦案時間的壓力，但這可能會完全阻止犯罪分子竊取用戶數(shù)據(jù)、其他存儲在iPhone上的隱私信息。

原文參考：https://www.theregister.com/2024/11/19/ios_18_secret_reboot/?td=rt-3a