По словам криптографов Университета Джонса Хопкинса (через Wired), iOS использует встроенные меры шифрования не так активно, как могла бы, что создает потенциально ненужные уязвимости безопасности.

Используя общедоступную документацию от Apple и Google, отчеты правоохранительных органов о взломе функций безопасности мобильных устройств и собственный анализ, криптографы оценили надежность шифрования iOS и Android. Исследование показало, что, хотя инфраструктура шифрования в iOS «звучит очень хорошо», она в значительной степени не используется:

«В частности, в iOS существует инфраструктура для этого иерархического шифрования, которая звучит очень хорошо», — сказал Максимилиан Зинкус, ведущий исследователь iOS. «Но я был определенно удивлен, увидев, как много из этого не используется».

Когда iPhone загружается, все хранимые данные находятся в состоянии «Полная защита», и пользователь должен разблокировать устройство, прежде чем что-либо может быть расшифровано. Хотя это чрезвычайно безопасно, исследователи подчеркнули, что, как только устройство было разблокировано в первый раз после перезагрузки, большой объем данных переходит в состояние, которое Apple называет «Защищено до первой аутентификации пользователя».

Поскольку устройства редко перезапускаются, большая часть данных находится в состоянии «Защищено до первой аутентификации пользователя», а не «Полная защита» большую часть времени. Преимущество этого менее безопасного состояния заключается в том, что ключи шифрования хранятся в оперативной памяти, где к ним могут быстро получить доступ приложения.

Теоретически злоумышленник может найти и использовать определенные типы уязвимостей безопасности в iOS, чтобы получить ключи шифрования в оперативной памяти, что позволит им расшифровать большие объемы данных с устройства. Считается, что именно так работают многие инструменты доступа к смартфонам, например, от компании Grayshift, специализирующейся на криминалистическом доступе Grayshift.

Хотя верно, что злоумышленникам требуется конкретная уязвимость операционной системы для доступа к ключам, и как Apple, так и Google исправляют многие из этих недостатков по мере их обнаружения, этого можно избежать, скрывая ключи шифрования более глубоко.

«Это меня очень шокировало, потому что я пришел к этому проекту, думая, что эти телефоны действительно хорошо защищают данные пользователей», — говорит криптограф Университета Джонса Хопкинса Мэтью Грин. «Теперь я вышел из проекта с мыслью, что почти ничего не защищено так хорошо, как могло бы быть. Так зачем нам бэкдор для правоохранительных органов, когда защиты, которые эти телефоны фактически предлагают, настолько плохи?»

Исследователи также напрямую поделились своими выводами и рядом технических рекомендаций с Apple. Представитель Apple сделал публичное заявление в ответ:

«Устройства Apple разработаны с использованием многоуровневой системы безопасности для защиты от широкого спектра потенциальных угроз, и мы постоянно работаем над добавлением новых мер защиты для данных наших пользователей. Поскольку клиенты продолжают увеличивать объем конфиденциальной информации, которую они хранят на своих устройствах, мы будем продолжать разрабатывать дополнительные меры защиты как в аппаратном, так и в программном обеспечении для защиты их данных».

Представитель также сообщил изданию Wired, что основное внимание в работе Apple над безопасностью сосредоточено на защите пользователей от хакеров, воров и преступников, пытающихся украсть личную информацию. Он также отметил, что типы атак, на которые указали исследователи, очень дорогостоящие в разработке, требуют физического доступа к целевому устройству и работают только до тех пор, пока Apple не выпустит исправление. Apple также подчеркнула, что ее цель в iOS — сбалансировать безопасность и удобство.