Sicurezza del modello di abbinamento per iPhone e iPad
iOS e iPadOS utilizzano un modello di abbinamento per controllare l’accesso al dispositivo da un computer host. L’abbinamento instaura una relazione attendibile fra il dispositivo e l’host connesso, indicata da uno scambio di chiavi pubbliche. iOS e iPadOS utilizzano questa firma di attendibilità per abilitare ulteriori funzionalità con l’host connesso, come la sincronizzazione dei dati. In iOS 9 o versione successiva, i servizi:
Se richiedono un abbinamento, non possono essere avviati finché il dispositivo non viene sbloccato dall’utente.
Non si avviano a meno che il dispositivo non sia stato sbloccato di recente.
Per poter essere avviati potrebbero richiedere (per esempio nel caso della sincronizzazione delle foto) che il dispositivo sia sbloccato.
In fase di abbinamento l’utente deve sbloccare il dispositivo e accettare la richiesta proveniente dall’host. In iOS 9 o versione successiva, l’utente deve inserire anche il codice; dopodiché, l’host e il dispositivo scambiano e salvano le chiavi pubbliche RSA a 2048 bit. All’host viene quindi assegnata una chiave a 256 bit in grado di sbloccare una keybag Escrow archiviata sul dispositivo. Le chiavi scambiate vengono utilizzate per iniziare una sessione SSL codificata, richiesta dal dispositivo prima di inviare dati protetti all’host o prima di avviare un servizio (sincronizzazione iTunes o Finder, trasferimento di file, sviluppo Xcode, ecc.). Per utilizzare questa sessione codificata per tutte le comunicazioni, il dispositivo richiede connessioni da un host tramite Wi-Fi, quindi deve aver effettuato l’abbinamento in precedenza mediante USB. L’abbinamento abilita anche una serie di funzionalità di diagnostica. In iOS 9, se un record di abbinamento non viene utilizzato da più di 6 mesi, viene considerato scaduto. In iOS 11 o versione successiva, questo periodo viene accorciato a 30 giorni.
Alcuni servizi di diagnosi, tra cui com.apple.mobile.pcapd, possono solo funzionare via USB. Inoltre, il servizio com.apple.file_relay richiede che sia installato un profilo di configurazione firmato da Apple. In iOS 11 o versioni successive, Apple TV può utilizzare il protocollo SRP per stabilire una relazione di abbinamento in modalità wireless.
L’utente può azzerare l’elenco degli host attendibili utilizzando le opzioni “Ripristina impostazioni rete” o “Ripristina posizione e privacy”.