Защита пользовательских данных в условиях атаки
Пытаясь получить пользовательские данные, злоумышленники могут использовать целый ряд методов: извлечение зашифрованных данных на другой носитель для атаки методом перебора, манипулирование версией операционной системы и другие способы изменения или ослабления политики безопасности устройства для облегчения атаки. Чтобы атаковать данные на устройстве, часто требуется связь с устройством через физический интерфейс, например Thunderbolt, Lightning или USB-C. В устройства Apple внедрены функции, помогающие предотвратить такие атаки.
Устройства Apple поддерживают технологию защиты запечатыванием ключей (SKP), которая направлена на то, чтобы криптографические данные было нельзя обработать за пределами устройства и чтобы выявлять внесение изменений в версии операционных систем или в настройки безопасности без соответствующей авторизации пользователя. Эта функция не предоставляется Secure Enclave, а поддерживается аппаратными реестрами, которые работают на еще более низком уровне: они дополнительно защищают ключи, необходимые для расшифровки пользовательских данных независимо от Secure Enclave.
Технология SKP доступна только на устройствах со следующими системами на кристалле Apple:
A11 и новее
S3 и новее
M1 и новее
iPad и iPhone можно настроить таким образом, чтобы передача данных активировалась только при наличии достаточных признаков того, что авторизованный владелец физически контролирует устройство.
Автоматическая перезагрузка
Автоматическая перезагрузка — это механизм обеспечения безопасности в iOS 18.1, iPadOS 18.1 и новее, который задействует Secure Enclave для отслеживания разблокировок устройства. Если устройство остается заблокированным в течение долгого времени, оно автоматически перезагружается, переходя из состояния «После первой разблокировки» в состояние «До первой разблокировки». В процессе перезагрузки устройство очищает из памяти конфиденциальные ключи безопасности и временные данные.
Для дополнительного контроля на устройствах с iOS 18.4, iPadOS 18.4 и новее доступна настройка IdleRebootAllowed, которая позволяет администраторам, управляющим устройством, включать или выключать автоматическую перезагрузку. Используя эту настройку, администраторы могут программировать включение или выключение автоматической перезагрузки в соответствии с протоколами безопасности, действующими в организации, и текущими требованиями.
Примечание. Автоматическая перезагрузка по умолчанию включена на управляемых устройствах.
Автоматическая перезагрузка повышает безопасность, однако она может приводить к тому, что устройства потеряют подключение к Wi-Fi после перезагрузки. Потеря подключения может нарушать рабочие процессы управления устройством, особенно в тех средах, где важно постоянное подключение к сети.