जॉन्स हॉपकिन्स यूनिवर्सिटी (के माध्यम से) के क्रिप्टोग्राफरों के अनुसार, आईओएस बिल्ट-इन एन्क्रिप्शन उपायों का उतना उपयोग नहीं करता जितना वह कर सकता है, संभावित अनावश्यक सुरक्षा कमजोरियों के लिए अनुमति देता है। वायर्ड )
Apple और Google से सार्वजनिक रूप से उपलब्ध दस्तावेज़ीकरण, मोबाइल सुरक्षा सुविधाओं को दरकिनार करने के बारे में कानून प्रवर्तन रिपोर्ट और अपने स्वयं के विश्लेषण का उपयोग करते हुए, क्रिप्टोग्राफरों ने iOS और Android एन्क्रिप्शन की मजबूती का आकलन किया। शोध में पाया गया कि आईओएस पर एन्क्रिप्शन इंफ्रास्ट्रक्चर 'वास्तव में अच्छा लगता है,' यह काफी हद तक अप्रयुक्त छोड़ दिया गया है:
'आईओएस पर विशेष रूप से, इस पदानुक्रमित एन्क्रिप्शन के लिए बुनियादी ढांचा जगह में है जो वास्तव में अच्छा लगता है,' आईओएस के प्रमुख शोधकर्ता मैक्सिमिलियन ज़िंकस ने कहा। 'लेकिन मैं निश्चित रूप से यह देखकर हैरान था कि इसका कितना हिस्सा अप्रयुक्त है।'
जब एक आई - फ़ोन बूट हो जाता है, सभी संग्रहीत डेटा 'पूर्ण सुरक्षा' की स्थिति में होता है, और उपयोगकर्ता को किसी भी चीज़ को डिक्रिप्ट करने से पहले डिवाइस को अनलॉक करना होगा। हालांकि यह बेहद सुरक्षित है, शोधकर्ताओं ने इस बात पर प्रकाश डाला कि एक बार रिबूट के बाद पहली बार डिवाइस को अनलॉक करने के बाद, बड़ी मात्रा में डेटा एक राज्य में चला जाता है जिसे Apple 'प्रथम उपयोगकर्ता प्रमाणीकरण तक संरक्षित' कहता है।
चूंकि उपकरणों को शायद ही कभी पुनरारंभ किया जाता है, अधिकांश डेटा अधिकांश समय 'पूर्ण सुरक्षा' के बजाय 'प्रथम उपयोगकर्ता प्रमाणीकरण तक संरक्षित' की स्थिति में होता है। इस कम सुरक्षित स्थिति का लाभ यह है कि डिक्रिप्शन कुंजियों को त्वरित एक्सेस मेमोरी में संग्रहीत किया जाता है, जहां उन्हें अनुप्रयोगों द्वारा तेजी से एक्सेस किया जा सकता है।
सिद्धांत रूप में, एक हमलावर आईओएस में कुछ प्रकार की सुरक्षा कमजोरियों का पता लगा सकता है और त्वरित एक्सेस मेमोरी में एन्क्रिप्शन कुंजी प्राप्त कर सकता है, जिससे वे डिवाइस से बड़ी मात्रा में डेटा को डिक्रिप्ट कर सकते हैं। यह माना जाता है कि यह कितने स्मार्टफोन एक्सेस टूल काम करते हैं, जैसे कि फोरेंसिक एक्सेस कंपनी ग्रेशिफ्ट के।
हालांकि यह सच है कि हमलावरों को चाबियों तक पहुंचने के लिए एक विशिष्ट ऑपरेटिंग सिस्टम भेद्यता की आवश्यकता होती है, और ऐप्पल और Google दोनों इन दोषों में से कई को देखते हैं, एन्क्रिप्शन कुंजी को और अधिक गहराई से छुपाकर इसे टाला जा सकता है।
जॉन्स हॉपकिन्स क्रिप्टोग्राफर मैथ्यू ग्रीन कहते हैं, 'इसने मुझे वास्तव में चौंका दिया, क्योंकि मैं इस परियोजना में यह सोचकर आया था कि ये फोन वास्तव में उपयोगकर्ता डेटा की अच्छी तरह से रक्षा कर रहे हैं।' 'अब मैं यह सोचकर परियोजना से बाहर आ गया हूं कि लगभग कुछ भी उतना सुरक्षित नहीं है जितना हो सकता है। तो हमें कानून प्रवर्तन के लिए पिछले दरवाजे की आवश्यकता क्यों है, जबकि ये फोन वास्तव में इतनी खराब सुरक्षा प्रदान करते हैं?'
शोधकर्ताओं ने अपने निष्कर्षों और कई तकनीकी सिफारिशों को सीधे Apple के साथ साझा किया। Apple के एक प्रवक्ता ने जवाब में एक सार्वजनिक बयान दिया:
'Apple उपकरणों को संभावित खतरों की एक विस्तृत श्रृंखला से बचाने के लिए सुरक्षा की कई परतों के साथ डिज़ाइन किया गया है, और हम अपने उपयोगकर्ताओं के डेटा के लिए नई सुरक्षा जोड़ने के लिए लगातार काम करते हैं। जैसे-जैसे ग्राहक अपने उपकरणों पर संग्रहीत संवेदनशील जानकारी की मात्रा में वृद्धि करना जारी रखेंगे, हम उनके डेटा की सुरक्षा के लिए हार्डवेयर और सॉफ़्टवेयर दोनों में अतिरिक्त सुरक्षा विकसित करना जारी रखेंगे।'
प्रवक्ता ने यह भी बताया वायर्ड कि Apple का सुरक्षा कार्य मुख्य रूप से उपयोगकर्ताओं को हैकर्स, चोरों और व्यक्तिगत जानकारी की चोरी करने वाले अपराधियों से बचाने पर केंद्रित है। उन्होंने यह भी नोट किया कि शोधकर्ताओं ने जिन प्रकार के हमलों पर प्रकाश डाला है, उन्हें विकसित करना बहुत महंगा है, लक्ष्य डिवाइस तक भौतिक पहुंच की आवश्यकता होती है, और केवल तब तक काम करते हैं जब तक कि ऐप्पल एक पैच जारी नहीं करता। Apple ने इस बात पर भी जोर दिया कि iOS के साथ उसका उद्देश्य सुरक्षा और सुविधा को संतुलित करना है।
लोकप्रिय पोस्ट