สรุปเนื้อหาจากบทความ Playing devil’s advocate: iPhone anti-forensics โดย Vladimir Katalov จาก ElcomSoft

Hardware

  • อุปกรณ์ทั้งหมดจนถึงรุ่น iPhone X ได้รับผลกระทบต่อช่วงใน BootROM ส่งผลให้สามารถชุดโค้ดสำหรับโจมตีช่องโหว่ checkm8 ในการโจมตีช่องโหว่ได้
  • ผลลัพธ์จากการโจมตีทำให้ผู้โจมตีสามารถเข้าถึงไฟล์บางส่วนรวมไปถึงการเอาข้อมูลจาก keychain แม้จะไม่รู้ passcode ซึ่งมีส่วนในการถูกใช้เพื่อเข้ารหัสข้อมูล
  • อุปกรณ์ที่มีการใช้ CPU ตั้งแต่รุ่น A12 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่นี้ นั่นคืออุปกรณ์ตั้งแต่รุ่น iPhone Xr, iPhone Xs, iPhone Xs Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max และ iPhone SE (2020)

Software

  • ตรวจสอบให้แน่ใจว่าใช้ iOS รุ่นล่าสุดเสมอ
  • อย่า jailbreak อุปกรณ์ การ jailbreak ใช้วิธีในการโจมตีช่องโหว่ของอุปกรณ์เพื่อละเมิดสิทธิ์ที่เหมาะสม ช่องโหว่เดียวกันนั้นสามารถใช้ในทางที่ไม่ปลอดภัยต่อผู้ใช้งานได้เช่นกัน
  • ตั้งรหัสผ่านสำหรับข้อมูล backup ให้ปลอดภัย
  • ทำความคุ้นเคยกับฟีเจอร์ใหม่ของ iOS เช่น ฟีเจอร์ในการแจ้งเตือนหากแอปพลิเคชันมีการร้องขอสิทธิ์ที่ต้องสงสัย
  • เปิดใช้งานฟีเจอร์ MAC address randomization เพื่อเพิ่มความเป็นส่วนตัวในการใช้งาน

Device Unlocking

  • เปิดใช้งานการตั้ง passcode สำหรับฟีเจอร์ Screen Time ในหัวข้อ Settings และ Screen Time โดยจะต้องตั้ง passcode ให้ปลอดภัยและเป็น passcode ซึ่งแตกต่างจาก passcode ในการปลดล็อคหน้าจอ
  • เมื่อมีการตั้ง passcode พยายามตั้ง passcode แบบ complex ให้ได้เสมอ (ไม่ใช่ basic passcode ที่มีรูปแบบเป็นตัวเลข 4 ตัว)
  • ตั้งค่าให้มีการล็อคอุปกรณ์โดยอัตโนมัติตามเวลาที่เหมาะสม
  • ตั้งค่าไม่ให้สามารถเข้าถึงข้อมูล อาทิ Notification Centre, Control Centre และ USB Accessories ได้ระหว่างที่อุปกรณ์ยังถูกล็อคอยู่ฃ
  • ตั้งค่าให้เมื่อมีการล็อคอุปกรณ์ การปลดล็อคอุปกรณ์จะต้องมีการใช้ passcode ในทันที
  • พิจารณา threat model ส่วนบุคคลเพื่อเลือกใช้วิธีการปลดล็อคอุปกรณ์อย่างเหมาะสม ในบางกรณีการพิสูจน์ตัวตนด้วยฟีเจอร์ Touch ID หรือ Face ID อาจไม่เหมาะสมในบางสถานการณ์

Applications

  • พิจารณาความปลอดภัยของแอปที่ใช้งานอยู่เสมอโดยเฉพาะอย่างยิ่งแอปซึ่งอ้างความปลอดภัยและความเป็นส่วนตัว แอปในกลุ่มนี้มักจะต้องมีการทำ security audit และเปิดเผยผลลัพธ์ให้แก่ผู้ใช้งานทราบ การติดตามการค้นพบและแก้ไขปัญหาสามารถใช้เพื่อบ่งชี้ความสามารถในการจัดการความเสี่ยงของผู้พัฒนาแอปได้
  • การใช้งานแอปพลิเคชันอย่าง MDM มีส่วนที่ช่วยสร้างความปลอดภัยในการใช้งาน และในขณะเดียวกันก็อาจมีผลเสียต่อความเป็นส่วนตัวของผู้ใช้งานด้วย แนะนำให้พิจารณาโซลูชัน MDM และมีกระบวนการในการควบคุมการใช้งานให้เหมาะสม

USB Connection

  • ในการเชื่อมต่ออุปกรณ์กับคอมพิวเตอร์ ตรวจสอบให้แน่ใจว่าสายที่ใช้ในการเชื่อมต่อนั้นมีใบรับรองหรือถูกผลิตมาจากแหล่งที่เชื่อถือได้ เนื่องจากมีความเป็นไปได้ที่ผู้โจมตีจะมีการสลับสับเปลี่ยนสายซึ่งมีความสามารถในการขโมยข้อมูล อาทิ MG Cable หรือ USB Ninja
  • เช่นเดียวกัน ตรวจสอบอุปกรณ์ USB charger ว่าเป็นอุปกรณ์ที่มีใบรับรองหรือถูกผลิตมาจากแหล่งที่เชื่อถือได้ FBI เคยมีการแจ้งเตือนถึงอุปกรณ์ USB charger แบบดัดแปลงซึ่งมีความสามารถในการขโมยข้อมูล
  • เมื่อจำเป็นต้องมีการเชื่อมต่อผ่านฮาร์ดแวร์ที่ยังไม่ได้ตรวจสอบ ระมัดระวังการให้ “Trust relationship” การเชื่อมต่อเพื่อชาร์จไฟโดยปกติจะไม่มีการแจ้งเตือนเพื่อขอการอนุญาต การขออนุญาตจะเกิดขึ้นเมื่อมีการเชื่อมต่อกับอุปกรณ์ลักษณะอื่นเสมอ
  • รักษาระบบที่อุปกรณ์จะทำการเชื่อมต่อให้ปลอดภัยด้วยเช่นกัน

SOS Feature

  • เรียนรู้การใช้งานฟีเจอร์ S.O.S ในอุปกรณ์ เมื่อเปิดใช้งานฟีเจอร์ดังกล่าวแล้ว อุปกรณ์จะมีการบังคับลบรหัสผ่านหรือข้อมูลสำหรับพิสูจน์ตัวตนออกจากหน่วยความจำของระบบทันที รวมไปถึงทำให้การปลดล็อคอุปกรณ์โดยอาศัย biometric ไม่สามารถทำได้
  • การเปิดใช้งานฟีเจอร์ S.O.S ยังทำให้อุปกรณ์ปิดการใช้ต่อผ่านพอร์ต Lightning ซึ่งส่งผลให้การเชื่อมต่อกับอุปกรณ์ภายนอกเพื่อทำการดึงข้อมูลนั้นไม่สามารถทำได้

iCloud

  • ควบคุมการซิงค์ข้อมูลกับ iCloud ให้เหมาะสม ในกรณีที่ไม่มีความจำเป็นต้องซิงค์ข้อมูล ให้ปิดการใช้งานถ้าเป็นไปได้ ในบางกรณีหน่วยงานผู้บังคับใช้กฎหมายสามารถเข้าถึงข้อมูลใน iCloud ได้ผ่าน Law Enforcement Support Program ของแอปเปิล
  • ตั้งรหัสผ่านสำหรับบัญชี iCloud ให้มีความปลอดภัย
  • เปิดใช้งานฟีเจอร์ Find My
  • เปิดใช้งานฟีเจอร์ยืนยันตัวตนสองขั้นตอน

IoT

หากผู้ใช้งานอุปกรณ์มีการใช้อุปกรณ์อื่น เช่น Apple Watch ซึ่งมีความสามารถในการปลดล็อคอุปกรณ์อื่น ๆ ได้ ตรวจสอบให้แน่ใจว่า Apple Watch มีการตั้งรหัสผ่านให้กับอุปกรณ์ด้วยเสมอ

Apple TV ดูจะยังไม่มีวิธีในการให้ผู้ใช้งานสามารถตั้งค่าความปลอดภัยให้เหมาะสมในขณะนี้ เนื่องจากอุปกรณ์ยังไม่สามารถกำหนดแม้กระทั่ง passcode wfh

Considerations

  • Built-in SDK ที่มากับระบบ เช่น Facebook หรือแอปพลิเคชันในกลุ่มของ Google มีการส่งข้อมูลการใช้งานกลับไปให้ผู้พัฒนาแอปพลิเคชันเป็นจำนวนมาก เช่นเดียวกับผู้ให้บริการเครือข่ายซึ่งจำเป็นต้องมีการบันทึกข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายเช่นเดียวกัน
  • แม้อุปกรณ์จะปิดการใช้งานอยู่ แต่หากอุปกรณ์ยังคงเชื่อมต่อกับแหล่งพลังงานภายในอุปกรณ์ การเปิดใช้งานบางฟีเจอร์ของอุปกรณ์จากระยะไกล เช่น ไมโครโฟน ก็ยังสามารถทำได้