Безопасность модели физического объединения в пару на iPad и iPhone
Для управления доступом к устройству с компьютера-хоста в iOS и iPadOS используется модель объединения в пару. При этом устанавливаются отношения доверия между устройством и подключенным к нему компьютером-хостом, которые выражаются в обмене открытыми ключами. iOS и iPadOS используют этот знак доверия для разрешения дополнительных действий с подключенным хостом, например синхронизации данных. На iPhone с iOS 9 и новее, а также на iPad с iPadOS 13.1 и новее:
службы, требующие объединения в пару, не могут быть запущены до тех пор, пока устройство не будет разблокировано пользователем;
службы не запускаются, если устройство не было недавно разблокировано;
для запуска некоторых служб (например, синхронизации фотографий) может быть необходимо, чтобы устройство было разблокировано.
Для объединения в пару пользователь должен разблокировать устройство и принять запрос на объединение в пару от хоста. На iPhone с iOS 9 и новее, а также на iPad с iPadOS 13.1 и новее пользователь также должен ввести свой код‑пароль, после чего хост и устройство обмениваются открытыми 2048‑битными ключами RSA и сохраняют их. Затем хост получает 256-битный ключ для разблокировки хранилища ключей передачи, которое расположено на устройстве. Ключи, которыми обменялись хост и устройство, используются для инициирования сеанса связи, зашифрованного с использованием SSL. Пока такой сеанс не установлен, устройство не пересылает защищенные данные хосту и не запускает службы (синхронизация Finder или Музыки, пересылка файлов, разработка Xcode и т. д.). Чтобы этот зашифрованный сеанс использовался для всех подключений, устройство требует подключения хоста по Wi‑Fi, поэтому сначала необходимо выполнить объединение в пару через физическое подключение (Thunderbolt или USB). Объединение в пару также предоставляет несколько диагностических возможностей. На устройствах с iOS 11, iPadOS 13.1 и новее, если запись объединения в пару не использовалась дольше 30 дней, ее действие прекращается.
Некоторые службы диагностики, в том числе com.apple.mobile.pcapd, могут работать только через USB. Кроме того, для использования службы com.apple.file_relay на устройстве должен быть установлен профиль конфигурации, подписанный Apple. На устройствах с iOS 11, iPadOS 13.1 и новее Apple TV может использовать протокол Secure Remote Password для беспроводного объединения в пару.
Пользователь может очистить список доверенных узлов, выбрав «Сбросить настройки сети» или «Сбросить геонастройки».