Referat i os 116134

Варна

1/16/2015

Дисциплина „Безопасност и защита на компютърни системи и приложения”

РЕФЕРАТ на тема: Безопасност и защита на iPhone-мобилни комуникации

Студент:Мария Стоименова-МилиопулуVII-ми курс, ПИНФ-ДОВО, 1-ва групаСИН 116134, ФН 093658

Преподавател:Доц. д-р Стефан ДражевАс. Радка Начева

Съдържание:

Въведение........................................................................................................................................3

Изложение.......................................................................................................................................4

I. Дефиниция на iOS................................................................................................................4

II. Преглед на последната версия на iOS - iOS 8.............................................................5

III. iCloud обзор на безопасността и конфиденциалността................................................9

IV. Сигурност на iOS (версия iOS 8.1 и по-нова).............................................................11

1. Основни области на приложение на сигурността:..................................................11

2. Системна сигурност...................................................................................................12

3. Криптиране и защита на данните.............................................................................19

4. Сигурност на приложенията.....................................................................................25

5. Мрежова сигурност....................................................................................................30

6. Apple Pay.....................................................................................................................33

7. Интернет услуги.........................................................................................................37

8. Контроли на устройството........................................................................................39

9. Защита на поверителността......................................................................................41

Заключение....................................................................................................................................42

Използвана литература:................................................................................................................44

Речник:...........................................................................................................................................45

2 | i P h o n e s e c u r i t y

Въведение

Apple проектира платформата iOS, залагайки безопасността в същността й.

Тръгвайки с амбицията да създаде възможно най-добрата мобилна платформа и базирайки

се на натрупания от десетилетия опит, Apple изгражда изцяло нова архитектура.

Отчитайки опасностите за сигурността при десктоп средата, е създаден нов подход към

сигурността в дизайна на iOS. Разработени и включени са иновативни функции, които

затягат мобилната сигурност и защитават цялата система по подразбиране. В резултат на

това iOS е голям скок напред в сигурността за мобилни устройства. Всяко iOS устройство

комбинира софтуер, хардуер и услуги, предназначени да работят заедно за постигане на

максимална сигурност и прозрачен потребителски опит. iOS предпазва не само

устройството и данните, но и цялата екосистема, включително всичко, което се прави от

потребителите локално, в мрежа, както и с ключовите интернет услуги. iOS и iOS

устройствата осигуряват разширени функции за сигурност, като едновременно с това са

лесни за използване. Много от тези функции са активирани по подразбиране, така че от IT

отделите не е нужно да изпълняват обширни конфигурации. Същевременно ключови

функции за сигурност като криптиране на устройство не могат да бъдат конфигурирани,

така че потребителите не могат да ги изключат по погрешка. Други функции, като

например Touch ID, подобряват работата на потребителите, като я правят по-проста и по-

интуитивна, в интерес на сигурността на устройството.


Изложение

I. Дефиниция на iOS

iOS (по-старо наименование iPhone OS) е мобилна операционна система,

разработена от Apple Inc. и разпространявана изключително за устройствата на Apple.

Това е операционната система, която привежда в действие много от фирмените

устройства. За разлика от Windows Phone и Google Android, се пуска само за устройства,

произведени от компанията Apple.

Операционната система iPhone OS е била представена на 9 Януари 2007 съвместно

с мобилния телефон iPhone лично от Стив Джобс на изложението-конференция Macworld

Conference & Expo и пусната в употреба през Юни същата година. Apple не предлагала

отделно название за операционната система, затова първоначалният девиз звучал така:

„iPhone работи под OS X”.

Официално въведена в употреба през 2007 за iPhone, iOS е била разширена за да

поддържа и други устройства на Apple като iPod Touch (Септември 2007), iPad (Януари

2010), iPad Mini (Ноември 2012) от второ поколение Apple TV насам (Септември 2010).

През Юни 2014 Apple Store съдържа повече от 1.2 милиона iOS прриложения, 500 000 от

които са оптимизирани за iPad. Всички тези приложения са изтеглени общо над 60

милиарда пъти. Пазарният дял на iOS през Септември 2014 е 43,86%, почти неотстъпващ

на пазарния лидер Android, държащ 47,06%.

В iOS се използва ядро XNU, базирано на микроядрото Mach и

съдържащо програмен код, разработен от компанията Apple, а също така код

от ОС NeXTSTEP и FreeBSD. Ядрото на iOS е почти идентично с ядрото на настолната

операционна система Apple OS X. От своята първа версия насам, iOS работи само на

таблети и смартфони с процесори с архитектура ARM.

Потребителският интерфейс на iOS се основава на концепцията за директна

манипулация, с помощта на мултитъч движения. Интерфейсните контролни елементи се

състоят от плъзгачи, превключватели и бутони. Взаимодействието с OS включва

движения като плъзгане, почукване, защипване и разтягане с пръсти, всяко от които има


специална дефиниция в контекста на iOS операционната система и нейният мултитъч

интерфейс. Някои приложения използват вградени акселерометри, за да отговорят на

специфични дейности като разтърсване на устройството (често срещан резултат е

командата отмени) или завъртане в три измерения ( често срещан резултат е превклюване

от режим портрет към режим пейзаж).

Основни версии на iOS се пускат на пазара ежегодно. Настоящият рилийз, iOS 8.1.1

e пуснат в употреба на 17 Ноември 2014.

При iOS има четири абстрактни слоя (от най-нисшия към най-висшия): слой на

ядрото на операционната система, слой на услугите на ядрото, медия/приложен слой и

Cocoa Touch слой (Cocoa Touch е фреймуърк за създаване на приложения под iPhone, iPod

touch, и iPad). Това разделение на слоеве позволява реализирането на много сложни

задачи, съкратявайки обема на работа на разработчиците, в сравнение с работа на по-

ниско ново. Някои от по-ниските абстрактни слоеве могат да бъдат достъпни за

разработчиците само при необходимост. Настоящата версия на операционната система

(iOS 8) отделя 1,3-1,5 GB от флаш паметта на устройството за системния дял, използвайки

около 800MB от този дял (варира според модела на устройството) за самата iOS. Оперира

на iPhone 4S и по-нови, iPad 2 и по-нови, всички модели на iPad Mini и 5-то поколение

iPod Touch.

II. Преглед на последната версия на iOS - iOS 8

Най-съвременната мобилна ОС в най-съвременната си форма

С лесен за употреба интерфейс, богат набор от функции и обезпечена сигурност,

iOS 8 е основата на iPhone, iPad и iPod touch. Проектирана да изглежда добре и работи

безупречно, така че и по-простите задачи да изглеждат увлекателни, iOS 8 е проектирана

да се възползва пълноценно от съвременните технологии, вградени в Apple хардуера.

Елегантен и интуитивен интерфейс.

От момента на запознаване с iPhone, iPad или iPod touch, потребителят знае как да

използва своето устройство, защото iOS е проектирана да е лесно разбираема. Простият,


но добре изглеждащ начален екран представя всяко от вградените приложения. Без

предварителна подготовка, потребителят може веднага да разгледа любимите си уеб

сайтове, улови няколко кадъра или изпрати текстово съобщение. Независимо какво се

прави и кое приложение се ползва, всяко действие изглежда лесно, интуитивно и дори

забавно.

Вградени финкции и приложения, които правят устройството с повече

възможности.

iOS и непрестанно увеличаващият се набор от функции и вградени приложения

правят iPhone, iPad и iPod touch все по-мощни, иновативни и приятни за употреба.

Хардуер и софтуер, създадени един за друг.

Поради факта, че Apple произвежда едновременно хардуера и операционната

система за iPad, iPhone и iPod touch, всичко е проектирано да работи заедно. Така че

приложенията се възползват пълноценно от хардуерните особености като двуядрен

процесор, ускорени графики, безжични антени и др. Мултитаскингът е най-добрият

пример. iOS научава кога потребителят използва приложенията и актуализира тяхното

съдържание в енергийно ефективно време, например когато устройството е в употреба и

свързано към Wi-Fi мрежа. Така съдържанието на използваните приложения остава

актуално без прекомерно изчерпване на батерията.

С App Store почти няма граница на това, което iOS устройството може да

прави.

iOS е платформа за над един милион мобилни приложения, като техният брой

непрестанно расте. Това прави iOS 8 най-голямата среда за разработчици от въвеждането

на App Store насам. Тя предлага нови API с възможности за още по-удивителни функции и

смели нови технологии за разработка на видеоигри. App Store прави всички тези

приложения лесни за достъп, лесни за търсене и лесни за закупуване с помощта на един

обединен акаунт в iTunes.

iCloud. Всичко, което е нужно. Навсякъде, където е нужно.

iCloud осигурява за всички устройства винаги най-новите версии на най-важните


данни, включително документи, снимки, приложения, контакти, събития в календара и др.

iCloud Drive позволява достъп до потребителските файлове от всяко едно

устройство. С Family Sharing, всички снимки, видео, музика и iTunes могат да бъдат

споделени лесно с множество Apple устройства. И iCloud Photo Library, в бета версия,

държи всички снимки и видео на едно място, като са достъпни от iPhone, iPad, iPod touch

и iCloud.com

Лесна за обновяване.

iOS актуализациите са безплатни. Tе са на разположение за безжично изтегляне на

iPhone, iPad, or iPod touch в момента на тяхното пускане. Устройствата дори

предупреждават, когато е време да се получи най-новата версия, така че да не се пропуска

възможността за всички нови функции в последните актуализации.

Безопасността и сигурността са стандарт.

iOS осигурява вградена защита от момента на включване на устройството. Това е

така, защото хардуер, фърмуер и операциона система идват с вградени функции,

предназначени да помогнат на устройството и на това, което ще се инсталира върху него -

да обезпечат безопасността.

Сигурност.

Зловредният софтуер и вирусите вече не са ограничени само до настолните

компютри. Те могат да заразят също така и мобилните устройства. Ето защо Apple се

отнася към сигурността сериозно, когато става въпрос за iOS. Като за начало, хардуер и

фърмуер функциите са предназначени за защита срещу зловреден софтуер и вируси,

докато iOS функциите помагат за защита на личната информация. Touch ID дава

възможност за използване на пръстов отпечатък като парола, предотвратяване на

неоторизиран достъп до устройството. Когато се използва парола, той автоматично

криптира и защитава всички лични данни като: електронни съобщения, събития в

календара, контакти, напомняния, бележки, съобщения и приложения на трети страни.

Конфиденциалност.

iOS е проектирана така, че да постави на първо място защитата на личните данни.


Ако дадено приложение иска информация за местоположение или данни от календара,

контакти, напомняния или снимки, то тя се нуждае от разрешение. Потребителят има

пълен контрол над това как Health and HomeKit използва личните му данни. Разговорите

през iMessage и FaceTime са криптирани, включително на предсказващия текст, така че

никой освен потребителят и човекът, с когото той разговаря, не може да види или

прочетете това, което се казва. Функции, вградени в браузъра Сафари дават възможност

да се сърфира конфиденциално, да се блокират бисквитките и да се предотврати

проследяването от страна на уеб сайтовете.

Намери моя iPhone: активация на заключването.

Специални мерки за сигурност, вградени в iOS, правят много трудно използването

на iPhone iPad и iPod touch от всеки, който не е собственик и се опитва да използва или

продаде устройството. Изключването на функцията Find My iPhone или изтриване на

устройството има нужда от потребителските Apple ID и парола на собстеника. Намери моя

iPhone може също така да продължи да се показва специално съобщение, дори и след като

устройството е изтрито. Потребителските Apple ID и парола се изискват, преди някой да

го активира отново.

iCloud верига.

Повечето от съвременните сайтове изискват потребителско име и парола. Да се

помнят всички те от потребителя е трудно, но iCloud Keychain може да направи това

вместо него. Тя съхранява уебсайт потребителски имена и пароли за устройствата, които

са одобрени и ги защитава със здраво 256-битово AES криптиране, като ги поддържа

актуални за всяко устройство. След това автоматично ги попълва, когато и където има

нужда от тях. Password Generator дори може да предложи уникални, трудни за отгатване

пароли за онлайн профили. iCloud Keychain работи и с информация за кредитни карти,

така че проверката на самоличността не отнема много време.

Вградена достъпност.

iOS включва разнообразие от функции за достъпност, които помагат на хората с

увреждания да получат повече от това, което iPhone, IPAD и IPod touch предлагат.

Вграденият VoiceOver екранен четец позволява на незрящите и хората със слабо зрение да


чуят описанието на елемента при докосване на екрана. Специални приспособления за

слушане са създадени за iPhone като Bluetooth устройства, които позволяват да се чуват

по-ясно телефонни разговори и музика, като могат да бъдат управлявани директно от iOS

устройството. С Guided Access може да се ограничи iOS устройството до едно приложение

и дори да ограничи времето, прекарано в съответното приложение, което може да е от

полза за хората с аутизъм или сензорно нарушение. Switch Control дава пълен контрол на

устройството на лица с ограничени физически или двигателни умения. iOS предлага и

много други полезни функции за достъпност, като: динамично увеличение на екрана,

възпроизвеждане на видео и субтитри, моно звук, опростена манипулация на екрана и др.

iOS на много езици

iPhone, iPad и iPod touch поддържат клавиатура и речникови функции за много

езици и диалекти.

III. iCloud обзор на безопасността и конфиденциалността

iCloud свързва потребителите и техните Apple устройства по изключителен начин.

Той гарантира, че винаги са налични най-новите версии на най-важните неща - например

документи, приложения, бележките и контактите – на което и да е устройство. iCloud

позволява споделянето на снимки с лекота, календари, местоположения и др. Той дори

помага за намирането на устройството в случай на загуба. iCloud прави всичко това

автоматично.

Apple третира много сериозно сигурността на данните и конфиденциалността на

персоналната информация. iCloud е базиран върху общоприети практики за сигурност и

прилага строги политики за защита на личните данни.

Сигурност на данните

iCloud защитава данните, като ги криптира, когато се изпращат по интернет,

съхранява в криптиран формат на сървър и чрез използването на сигурни токени за

автентикация. Това означава, че личната информация е защитена от неоторизиран достъп

както когато се предава по мрежата, така и когато се съхранява в облака. iCloud използва


минимум 128-битово AES криптиране - същото ниво на сигурност, използвано от

големите финансови институции и никога не предоставя криптиращи ключове на трети

лица.

Използване на безопасни токени за автентикация

Когато се използват iCloud услугите, използващи вградените приложения на Apple

(например поща, контакти и календар за IOS или OS X), автентикацията се извършва с

помощта на сигурен токен. Използването на сигурни токени елиминира нуждата от

съхраняване на iCloud паролата в устройства и компютри. Дори ако се използва странично

приложение за достъп до iCloud данните, то потребителското име и паролата се изпращат

чрез криптирана SSL връзка.

Силни пароли

При създаване на Apple ID за ползване с iCloud, паролата трябва да има минимум 8

символа, число, главна и малка букви. Използването на сигурна парола е най-важното

нещо, което може да се направи, за да се запазят данните защитени.

Двустепенна верификация

Apple предлага опционална надстройка за сигурност на Apple ID, наречена

двустепенна верификация. Двустепенната верификация изисква удостоверяване на

самоличността с помощта на едно от клиентските устройства, преди да могат да се правят

промени в информацията на профила в My Apple ID, влизане в iCloud от ново устройство

или на iCloud.com, или пък направа на покупка в iTunes, iBooks или App Store от ново

устройство.

Конфиденциалност

Apple има цялостен ангажимент към неприкосновеността на личната информация.

Политиката й за поверителност обхваща събирането, използването, разчистването,

прехвърлянето и съхранението на информация.


IV. Сигурност на iOS (версия iOS 8.1 и по-нова)

1. Основни области на приложение на сигурността:

• Системна сигурност: Интегрираният и защитен софтуер и хардуер, които са

платформа за iPhone, iPad и iPod touch

• Криптиране и защита на данните: Архитектурата и дизайнът, които предпазват

данните на потребителя, в случай че устройството бъде загубено или откраднато или ако

неоторизирано лице се опита да го използва или променя

• Сигурност на приложенията: Системи, които позволяват на приложенията да

работят сигурно и без да компрометират интегритета на платформата

• Мрежова сигурност: Стандартни за индустрията мрежови протоколи, които

осигуряват сигурна автентикация и криптиране на данните при предаването им

• Apple Pay: Прилагане на сигурни плащания на Apple.

• Интернет услуги: Мрежово базирана инфраструктура на Apple за обмен на

съобщения, синхронизиране и архивиране

• Контрол на устройството: Методи, които предотвратяват неоторизирано

използване на устройството и позволяват данните върху него да бъдат дистанционно

заличени, ако бъде изгубено или откраднато

• Контрол на поверителността: Възможности на iOS за контрол над достъпа до

услугите за местоположение и потребителски данни

Диаграмата, представяща архитектурата на сигурността на iOS, представя визуално

различните технологии, дискутирани в детайли по-долу.


2. Системна сигурност

Сигурността на системата е проектирана така, че софтуерът и хардуерът да са

стабилни при всички основни компоненти на всяко iOS устройство. Това включва процеса


на стартиране на системата, софтуерните актуализации и енклава на сигурността. Тази

архитектура е от централно значение за сигурността в iOS и никога не e в ущърб на

използваемостта на устройството.

Тясната интеграция между хардуер и софтуер на iOS устройствата гарантира, че

всеки компонент от системата е надежден и валидира системата като цяло. От

първоначалното зареждане до iOS софтуерните обновявания на приложенията на трети

страни, всяка стъпка е анализирана и проверена, за да се гарантира, че хардуерът и

софтуерът са отлично работещи заедно и използват ресурсите правилно.

Безопасна верига на зареждане на системата

Всяка стъпка от процеса на стартиране съдържа компоненти, които са

криптографски подписани от Apple, за да се гарантира целостта и че се процедира само

след проверка на веригата на доверие. Това включва бутлоудърите, ядрото, разширения на

ядрото, и бейсбенд фърмуера.

Когато iOS устройство се включи, приложният му процесор изпълнява незабавно

код от паметта само за четене, известна като Boot ROM. Този непроменим код, известен

като хардуерна основа на доверие, е заложен по време на производството на чипа и е

безусловно достоверен. Кодът на Boot ROM-а съдържа публичния ключ Apple Root CA,

който се използва, за да се удостовери, че бутлоудърът на ниско ниво (LLB) е подписан от

Apple, преди да позволи да се зареди. Това е първата стъпка от веригата на доверие, в

която всяка стъпка гарантира, че следващата е подписана от Apple.

Когато LLB завърши задачите си, той проверява и изпълнява следващия етап на

буутлоудъра, iBoot, който от своя страна проверява и стартира ядрото на iOS. Тaзи

безопасна верига на зареждане на системата гарантира, че най-ниските нива на софтуера

не са фалшифицирани и позволява на iOS да работи само на утвърдени от Apple

устройства.

За устройства с достъп до мобилна връзка, подсистемата на бейсбенда също

използва подобен свой собствен процес на защитено зареждане с подписан софтуер и

ключове, проверени от бейсбенд процесора. За устройства с A7 или по-нови процесори

от A-серия, копроцесорът, наречен енклав на сигурността, също използва защитен процес


на зареждане, който гарантира, че неговият отделен софтуер е проверен и подписан от

Apple.

Ако дадена стъпка в процеса на зареждане не е в състояние да зареди или

удостовери следващия процес, стартирането спира и устройството показва съобщение

"Свържете се с iTunes". Това се нарича режим на възстановяване. Ако Boot ROM-ът не е в

състояние да зареди или удостовери LLB, той влиза в режим DFU (Device Firmware

Upgrade). И в двата случая устройството трябва да бъде свързано към iTunes чрез USB и

да бъдат възстановени фабричните му настройки.

Влизане в режим DFU (Device Firmware Upgrade)

Възстановяването на устройство, влязло в режим DFU, го връща към известно

добро състояние с увереността, че присъства само немодифициран, подписан от Apple

код.

Актуализация на системния софтуер

Apple редовно пуска актуализации на софтуера, за да реши възникналите проблеми

със сигурността, а също така и да предостави нови възможности; тези актуализации се

доставят до всички поддържани устройства едновременно. Потребителите получават

известия за актуализация на iOS на устройствата си и чрез iTunes тези актуализации се

доставят безжично, насърчавайки бързото прилагане на последните корекции за

сигурност.

Процесът на стартиране на системата, описан по-горе, помага да се гарантира, че

само код, подписан от Apple, може да се инсталира на устройството. За да се предотврати

връщането на устройства към по-стари версии, които не разполагат с последните

актуализации на защитата, iOS използва процес, наречен авторизация на системния

софтуер.

Ако връщането към по-стара версия би било възможно, то хакер, придобил контрол

над устройството, би могъл да инсталира по-стара версия на iOS и да се възползва от

уязвимостта, която е била премахната в по-новата версия.

На устройство с A7 или по-нов процесор от A-серия, копроцесорът на енклава на

сигурността също използва авторизация на системния софтуер за гарантиране на целостта

на софтуера си и за да се предотврати връщането към по-стара версия на инсталацията.


Енклавът на сигурността е разгледан подробно в главата по-долу. iOS софтуерни

актуализации може да се инсталират на устройството или чрез iTunes, или по въздуха

(OTA).

При iTunes се сваля и инсталира пълно копие на iOS. ОТА актуализациите на

софтуера свалят само компонентите, необходими за завършване на актуализацията,

подобрявайки мрежовата ефективност, вместо изтегляне на цялата операционна система.

Освен това софтуерни актуализации може да се кешират на сървър в локалната мрежа

чрез използване на услугата за кеширане на OS X сървър, така че iOS устройството да не

се нуждае от достъп до Applе сървър за достъпване на необходимата информация по

обновяването.

По време на ъпгрейда на iOS, iTunes (или самото устройство, в случай на OTA

актуализации на софтуера) се свързва с Apple сървъра, който разрешава инсталациите и

му изпраща списък на криптографски измервания за всяка част от инсталационния пакет,

който ще бъде инсталиран (например LLB, iBoot, ядрото и OS имидж), случайна стойност

срещу повторно използване (anti-replay), наречена nonce (не позволява използването на

стари комуникации за атаки) и уникалния идентификатор на устройството (ECID).

Сървърът за авторизации сравнява представения списък с измервания с версиите,

за които е разрешено инсталирането и ако установи съвпадение, добавя ECID към

измерването и подписва резултата. Сървърът предава пълния набор от подписаните данни

към устройството като част от процеса на ъпгрейд. Добавянето на ECID "персонализира"

разрешението за заявяващото устройство. Чрез разрешаване и подписване само на

известни измервания, сървърът гарантира, че актуализацията се извършва точно както е

предвидено от Apple.

Удостоверителната верига по време на зареждане на устройството проверява дали

подписът идва от Apple и че измерването на позицията, заредена от диска, комбиниран с

ECID на устройството, съвпада с това, което е обхванато от подписа.

Тези стъпки да гарантират, че разрешението е за конкретно устройство и това, че

стара iOS версия от едно устройство не може да бъде копирана на друго. Нонс (nonce) не

позволява на недобронамерени лица запазването на сървърния отговор и използването му

за подправяне на устройство или за промяна на системния софтуер.


Енклав на сигурността

Енклавът на сигурността е копроцесор, който се произвежда за Apple A7 или по-

нов процесор от A-серия. Той използва своe собственo зареждане и персонализирани

софтуерни актуализации, отделно от приложния процесор. Енклавът на сигурността

осигурява всички криптографски операции за управление на защитата на ключовите

данни и поддържа целостта на защитата на данните, дори ако ядрото е било

компрометирано.

Енклавът на сигурността използва криптирана памет и включва хардуер генератор

на случайни числа. Неговото микроядро се основава на групата L4, с модификации на

Apple. Комуникацията между енклава на сигурността и приложния процесор е изолирана

до пощенска кутия, работеща на принципа на прекъсванията и споделени буфери за данни

от паметта.

Всеки енклав на сигурността е снабден по време на производството със собствен

UID (уникален идентификационен номер), който не е достъпен за другите части от

системата и не е известен на Apple. Когато устройството се стартира, се създава ефимерен

ключ, към който е добавен UID номерът и който се използва за криптиране на частта от

пространството на паметта на устройството, заделена за eнклава на сигурността.

Освен това данните се запазват във файловата система от енклава на сигурността

криптирани с ключ, в който е включен UID номерът и стойност от брояча, защитаващ

срещу повторно използване.

Енклавът на сигурността отговаря за обработката на данните от дактилоскопичните

отпечатъци, получени от сензора Touch ID, определяйки дали има съответствие с

регистрираните пръстови отпечатъци, след това дава възможност за достъп или покупки

за сметка на потребителя. Комуникацията между процесора и датчика Touch ID се

осъществява чрез сериен периферен интерфейс (SPI) шина. Процесорът препраща данните

към енклава на сигурността, но не може да ги прочете. Данните са криптирани и заверени

със сесиен ключ, който е договорен с помощта на споделения ключ на устройството,

който е предвиден за Touch ID сензорa и енклава на сигурността. Обменът на сесийния

ключ използва AES капсулиране на ключа, като и двете страни предоставят случаен ключ,

който установява сесийния ключ и използва AES-CCM криптиране на транспорта.


Touch ID

Touch ID е сензорна система за пръстови отпечатъци, която осъществява сигурен

достъп до устройството по-бързо и по-лесно. Тази технология чете информация от

дактилоскопичните отпечатъци, погледнати от всеки ъгъл и научава повече с течение на

времето за пръстовите отпечатъци на потребителя, като датчикът продължава да допълва

картата за пръстови отпечатъци, като допълнително идентифицира припокриващи възли с

всяка следваща употреба.

С помощта на Touch ID се използва по-дълга и сложна парола много по-практично,

тъй като потребителите не трябва да я въвеждат толкова често. Touch ID също преодолява

неудобството на базираното на парола заключване не като го заменя, а като осигурява

безопасен достъп до устройството в разумни граници и времеви ограничения.

Touch ID и паролите

За да се използва Touch ID, потребителят трябва настрои устройството си така, че

да изисква парола за отключване. Когато Touch ID сканира и разпознава регистриран

пръстов отпечатък, устройството се отключва без да се иска паролата.

Touch ID може да бъде обучен да разпознава до пет различни пръстови отпечатъка.

За един регистриран пръстов отпечатък вероятността за случайно съвпадение с някой друг

е 1 на 50 000. Въпреки това обаче, Touch ID позволява само пет неуспешни опита за

отключване с пръстов отпечатък, след което се изисква от потребителя да въведе парола,

за да получи достъп.

Други употреби на Touch ID

Touch ID може да бъде конфигуриран да одобрява покупки от iTunes Store, App

Store и iBooks Store, така че потребителите да не трябва да въвеждат своята Apple ID

парола. Когато те решат да позволят покупка, се разменят удостоверителни токени между

устройството и магазина. Токенът и криптографският нонс (nonce) се съхраняват в

енклава на сигурността. Нонсът е подписан с ключа на енклава на сигурността, споделен

от всички устройства и iTunes Store.

Touch ID може да се използва и при Apple Pay, инструментът на Apple за сигурни

плащания.


В допълнение към това, приложения на трети страни могат да използват API,

предоставени от системата, за да изискват от потребителя да се удостовери, използвайки

Touch ID или парола. Приложението се уведомява само за това дали удостоверяването е

било успешно; тo не може да осъществи достъп до Touch ID или до данните на

регистрирания пръстов отпечатък.

Ключови елементи също могат да бъдат защитени с Touch ID и да бъдат

разрешавани за употреба от енклава на сигурността само след съвпадение на пръстови

отпечатъци или парола на устройството. Разработчиците на приложения също имат API за

да проверят дали паролата е зададена от потребителя и следователно в състояние да

удостоверяват или отключват ключови елементи с помощта на Touch ID.

Сигурност на Touch ID

Сензорът за пръстови отпечатъци е активен само когато капацитивният стоманен

пръстен, който заобикаля бутона Home, разпознае пръстово докосване. Това предизвиква

сканиране на пръста и изпращане на сканираното изображение към енклава на

сигурността. Растерният сканиран образ е 88 на 88 пиксела, 500-ppi и се съхранява

временно в криптирана памет в рамките на енклава на сигурността, докато се векторизира

за анализ, след което се изтрива. Анализът използва картографиране на подкожния релеф,

което е селективен процес, при който се игнорират дребни детайли, за да се реконструира

действителният пръстов отпечатък на потребителя. Получената карта от възли се

съхранява без информация за идентичността в криптиран формат, който може да се чете

само от енклава на сигурността и никога не се изпраща на Apple или съхранява в iCloud

или iTunes.

Как Touch ID отключва iOS устройството

Ако Touch ID е изключен, когато дадено устройство се заключва, ключовете за

класа по защита на данните, които се пазят в енклава на сигурността, се унищожават.

Файловете и ключовите позиции в този клас са недостъпни, докато потребителят не

отключи устройството чрез въвеждане на своя код за достъп.

При включен Touch ID ключовете не се унищожават, когато се заключи

устройството. Вместо това те се капсулират в ключ, който се предава на подсистемата


Touch ID вътре в енклава на сигурността. Когато потребител се опита да отключи

устройството, ако Touch ID разпознае пръстовите му отпечатъци, тя предоставя ключа за

разкапсулиране на ключовете за защита на данните и устройството се отключва. Този

процес осигурява допълнителна защита, като се изисква подсистемите за защита на

данните и Touch ID да си сътрудничат, за да се отключи устройството. Ключовете,

необходими на Touch ID да отключи устройството се губят, ако се рестартира

устройството, унищожават се от енклава на сигурността след 48 часа или пет неуспешни

опита за отключване чрез Touch ID.

3. Криптиране и защита на данните

Веригата за сигурно зареждане на системата, подписването на кода и сигурността

на процесите по време на работа гарантират, че само доверен код и приложения могат да

работят на дадено устройство. iOS има допълнителни функции за криптиране и защита на

данните за опазване на потребителските данни, дори в случаи, когато други части на

инфраструктурата за сигурност са били компрометирани (например, на устройство с

неоторизирани модификации). Това осигурява важни ползи едновременно за

потребителите и за ИТ администраторите, гарантира защитата на личната и фирмена

информация по всяко време и осигурява методи за бързо и цялостно отдалечено

изтриване, в случай на кражба или загуба на устройството.

Хардуерни функции за сигурност

По отношение на мобилните устройства, бързината и енергийната ефективността

са от критично значение. Криптографските операции са сложни и могат да доведат до

проблеми с производителността или с живота на батерията, ако не са проектирани и

изпълнена съобразно тези приоритети.

Всяко iOS устройство има специално AES 256 криптиращо устройство, вградено в

DMA пътя между флаш паметта и основната системна памет, което прави криптирането

на файлове високоефективно.

Уникалният идентификационен номер на устройството (UID) и неговият групов

номер (GID) са AES 256-битови ключове, заложени (UID) или компилирани (GID) в

приложния процесор и в енклава на сигурността по време на производството. Никой


софтуер или фърмуер не може да ги чете директно; те могат да виждат само резултатите

от операциите по криптиране и декриптиране, извършвани от специализирани AES

устройства, направени от силиций, с помощта на UID или GID като ключове. Освен това,

UID и GID номерата на енклава на сигурността могат да се използват само от AES

устройството, посветено на енклава на сигурността. UID номерата са уникални за всяко

устройство и не се записват от Apple или от някой от неговите доставчици.

GID номерата са общи за всички процесори в даден клас от устройства (например

всички устройства, работещи с процесора Apple A8) и се използват за осъществяване на

некритични за сигурността задачи, като например за доставяне на системен софтуер по

време на инсталацията или за възстановяване. Интегрирането на тези ключове в силиция

предотвратява тяхното фалшифициране, заобикаляне или достигане извън AES

устройството. Идентификаторите UID и GID също така не са достъпни чрез JTAG или

друг интерфейс за дебъгинг.

Идентификаторът UID позволява данните да бъдат криптографски свързани с

конкретно устройство. Например ключовата йерархията, защитаваща файловата система,

включва UID, така че ако чиповете с паметта бъдат физически преместени от едно

устройство на друго, файловете ще са недостъпни. Идентификаторът UID не е свързан с

никой друг идентификатор на устройството.

Отделно от UID и GID, всички други криптографски ключове са създадени от

генератора на случайни числа на системата (RNG) с помощта на алгоритъм на базата на

CTR_DRBG. Системната ентропия се генерира от времевите вариаци по време на

зареждане и допълнително от времето за прекъсване след като устройството е вече

заредено. Ключовете, генерирани вътре в енклава на сигурността, използват неговия

истински хардуер генератор на случайни числа, базиран на множество пръстенни

осцилатори, последващо обработени с CTR_DRBG.

Сигурното изтриване на запаметени ключове е също толкова важно, колкото и

генерирането им. Това е особено предизвикателство при прилагане върху флаш памет,

където степента на износване може да означава множество копия от данни да се нуждаят

от изтриване. За да се справи с този проблем, iOS устройствата включват функция,

посветена на сигурното изтриване на данни, наречена Изтриваема памет (Effaceable

Storage).


Тази функция има достъп до основната технология на съхранение (например,

NAND), като се обръща директно и изтрива малък брой блокове на много ниско ниво.

Защита на файловите данни

В допълнение към функциите за хардуерно криптиране, вградени в iOS

устройствата, Apple използва технология, наречена Защита на данните (Data Protection), за

да защити допълнително данните, съхранявани във флаш паметта на устройството.

Защитата на данните допуска устройството да отговори на често срещани събития като

входящи телефонни обаждания, но също така позволява високо ниво на криптиране за

потребителските данни. Ключови приложения за системата, като Месинджър, Поща,

Календар, Контакти, Снимки и Здравни данни използват Защитата на данни по

подразбиране, както и приложения на трети страни, инсталирани на iOS 7 или по-нова

версия, получават тази защита автоматично.

Защитата на данните се осъществява чрез изграждане и управление на йерархия от

ключове и се основава на технологиите за хардуерно криптиране, вградени във всяко iOS

устройство. Защитатa на данните се контролира на база на отделните файлове, чрез

присвояване на всеки файл към клас; достъпността се определя от това дали ключовете на

класа са отключени.

Преглед на архитектурата

Всеки път, когато се създава файл на дяла с данни, Защитата на данните създава

нов 256-битов ключ (ключ на файла) и го предава на хардуерното AES устройство, което

използва ключа за криптиране на файла, като го записва върху флаш паметта с помощта

на AES CBC режим. Инициализизращият вектор (IV) се изчислява с блоковотo отстояние

във файла, криптиран с SHA-1 хешa на ключа на файла.

Ключът на файла е обвит с един или няколко ключа на класове, в зависимост от

обстоятелствата, при които файлът ще трябва да бъде достъпен. Подобно на всички други

обвивки, това се извършва с помощта на NIST AES обвиване с ключове, според RFC 3394.

Обвитият ключ на файла се съхранява в метаданните на файла.


Когато се отвори даден файл, метаданните му се дешифроват с ключа на файловата

система, разкривайки обвития ключ на файла и бележки за това кой клас го защитава.

Ключът на файла се разопакова с ключа на класа, след това се подава към хардуерното

AES устройство, което декриптира файла при четенето му от флаш паметта.

Метаданните на всички файлове във файловата система са криптирани с

произволен ключ, който е създаден, когато iOS се инсталира за първи път или когато

устройството бъде изтрито от потребителя. Ключът на файлова система се съхранява в

Изтриваемата памет. Тъй като се съхранява върху устройството, този ключ не се използва

за поддържане на конфиденциалността на данните. Вместо това той е проектиран да бъде

изтрит бързо при нужда (от потребителя, с опцията "Изтрий цялото съдържание и

настройки", или от потребител или администратор при издаване на команда за отдалечено

изтриване от сървъра за управление на мобилни устройства (MDM), Exchange ActiveSync,

или iCloud. Изтриването на ключа по този начин прави всички файлове криптографски

недостъпни.

Съдържанието на даден файл е криптирано с ключа на файла, който е обвит с ключ

на клас и се съхранява в метаданните на файла, който на свой ред е криптиран с ключа на

файловата система. Ключът на класа е защитен с хардуерния UID и за някои класове с

потребителска парола. Тази йерархия осигурява едновременно гъвкавост и

производителност. Например промени в класа на даден файл изисква само преобвиване на

на неговия ключ на файла, а промяна на паролата просто преопакова ключа на клас.


Пароли

Чрез задаването на парола на устройството, потребителят автоматично активира

Защитата на данните. iOS поддържа четирицифрена и с произволна дължина буквено-

цифрова парола за достъп. Освен отключване на устройството, паролата осигурява

ентропия за някои криптиращи ключове. Това означава, че ако атакуващият притежава

устройството, то той не може без паролата да получи достъп до данните в специфични

класове на защита.

Паролата се комбинира с UID номера на устройството, така че са необходими

опити с груба сила над устройството под атака. Големият брой итерации е използван, за да

се направи всеки опит все по-бавен. Броят на итераците е оразмерен така, че един опит да

отнема около 80 милисекунди. Това означава, че ще отнеме повече от 5 ½ години, за да се

пробват всички комбинации от шест буквено-цифрови кодове за достъп с малки букви и

цифри.

Колкото по-силна е потребителската парола, толкова по-силен става и

криптиращият ключ. Touch ID може да се използва за подобряване на резултата, като дава

възможност на потребителя да създаде много по-силна парола, която освен това е и

практична. Това увеличава ефективния размер на ентропията, като защитава

криптиращите ключове, използвани за защита на данните, без да се засяга неблагоприятно

потребителската работа при отключване на iOS устройството няколко пъти през деня.

За допълнително обезкуражаване на опитите с груба сила за атака на паролата,

интерфейсът на iOS налага ескалиращо закъснениe след въвеждането на невалидна парола

при заключен екран. Потребителите могат да изберат устройството автоматично да бъде

изтрито, ако паролата е въведена неправилно при 10 последователни опита. Тази

настройка е налична като административна политика чрез управлението на мобилни

устройства (MDM) и Exchange ActiveSync, и може да бъде настроена на по-нисък праг.

На устройство с A7 или по-нов процесор от A-серия, основните операции са

извършвани от енклава на сигурността, което също налага 5-секундно закъснение между

многократните неуспешни опити за отключване. Това осигурява протекция срещу атаките

с груба сила в допълнение към защитите, прилагани от iOS.


Класове за защита на данните

Когато се създава нов файл на iOS устройство, той се присъединява към клас от

приложението, което го създава. Всеки клас използва различни политики, за да се

определи кога данните да са достъпни. Основните класове и политики са:

Пълна защита

(NSFileProtectionComplete): Ключът на класа е защитен с ключ, получен от

потребителската парола и UID на устройството. Малко след като потребителят заключи

устройството (10 секунди, ако настройката за изискване на парола е Незабавно),

декриптираният ключ на класа се изтрива, правейки всички данни в този клас недостъпни,

докато потребителят не въведе отново паролата или не отключи устройството с помощта

на Touch ID.

Защитен до отваряне

(NSFileProtectionCompleteUnlessOpen): Някои файлове може да се наложи да бъдат

записани, докато устройството е заключено. Добър пример за това е файл, приложен към

писмо, който се тегли във фонов режим. Този режим на работа се постига чрез използване

на асиметрична криптография с елиптична крива (ECDH над Curve25519).

Защитен до първата потребителска автентикация

(NSFileProtectionCompleteUntilFirstUserAuthentication): Този клас се държи по

същия начин, както и класът Пълна защита, с изключение на това, че декриптираният

ключ на класа не се изтрива от паметта, когато устройството се заключи. Защитата в този

клас има сходни свойства на десктоп криптиране в пълен обем и защитава данните от

атаки, които включват рестартиране. Това е класът по подразбиране за всички данни на

приложения на трети страни, които не са присъединени към друг клас за защита на

данните.

Без защита


(NSFileProtectionNone): Този ключ на клас е защитен само с UID номера и се

съхранява в Изтриваемата памет. Тъй като всички ключове, необходими за

декриптирането на файловете в този клас се съхраняват на устройството, криптирането

предлага единствено ползата от бързото отдалечено изтриване. Дори ако един файл не е

присвоен към клас на защита на данните, той пак се съхранява в криптиран вид (както и

всички данни на iOS устройството).

Защита на ключови данни

Много приложения трябва да боравят с пароли и други кратки, но чувствителни

фрагменти от данни, като ключове и токени за достъп. Хранилището за ключове на iOS

осигурява сигурен начин за съхраняване на тези данни. Хранилището за ключове се

изпълнява като SQLite база от данни, съхранявана във файловата система. Има само една

база от данни; демонът по сигурността определя всеки процес или приложение кои

ключове от хранилището може да достъпва. API-тата за достъп до хранилището за

ключове викат демона, който отправя запитване относно приложението за неговите групи

на достъп към хранилището и идентификация на правата на приложението. Вместо да се

ограничава достъпът до единствен процес, чрез групи за достъп се позволява споделянето

между приложения на ключовите елементи от хранилището.

Позиции от хранилището за ключове могат да бъдат споделяни само между

приложения от един и същ разработчик. Това се управлява, като се изисква от

приложенията на трети страни да използват групи за достъп с префикс, определен за тях

чрез програмата за разработчици на iOS, или в IOS 8 чрез приложни групи. Изискването за

префикс и уникалността на приложните групи се налага чрез подписване на кода, профили

на предоставяне и програмата за разработчици на iOS.

Данните от хранилището за ключове са защитени с помощта на структура от

класове, подобна на тази, използвана при защитата на данните във файловете. Тези

класове имат поведение, еднакво с класовете за защита на данните във файловете, но

използват различни ключове и са част от API-та, които са именувани различно.


4. Сигурност на приложенията

Приложенията са сред най-критичните елементи на модерната архитектура на

мобилната сигурност.

Едновременно приложенията предоставят на потребителите невероятни ползи в

производителността, както и имат потенциала да повлияят негативно на системната

сигурност, стабилност, и данните на потребителите, ако с тях не се работи правилно.

Поради това iOS предоставя нива на защита, за да се гарантира, че приложенията са

подписани и проверени, както и тествани за защита на данните на потребителя. Тези

елементи осигуряват стабилна, сигурна платформа за приложения, която дава възможност

на хиляди разработчици да доставят стотици хиляди приложения за iOS, без да влияят на

целостта на системата. От своя страна потребителите могат да имат достъп до тези

приложения на своите iOS устройства без страх от вируси, зловреден софтуер или

неоторизирани атаки.

Подписване на приложния код

Веднъж стартирано, ядрото на iOS контролира кои потребителски процеси и

приложения могат бъдат изпълнени. За да се гарантира, че всички приложения идват от

известен и одобрен източник, както и че не са били фалшифицирани, iOS изисква целият

изпълним код да бъде подписан с помощта на сертификат, издаден от Apple.

Приложенията, които идват с устройството, като Mail и Сафари, са подписани от Apple.

Приложенията на трети страни също трябва да бъдат валидирани и подписани с помощта

на сертификат, издаден от Apple. Задължителното подписване на кода разширява

понятието за удостоверителна верига от операционната система към приложенията и не

позволява на приложения на трети страни да зареждат неподписан код или ползването на

самомодифициращ се код.

За да програмират и инсталират приложения за iOS устройства, разработчиците

трябва да се регистрират в Apple и да се присъединят към програмата за разработчици на

iOS. Идентичността на всеки разработчик в реалния свят, независимо дали физическо

лице или бизнес субект, се проверява от Apple преди издаването на сертификата. Този


сертификат дава възможност на разработчиците да подписват приложения и да ги

предоставят на App Store за разпространение. В резултат на това всички приложения в

App Store са представени от подлежащо на идентифициране лице или организация, което

служи за спирачка срещу създаването на злонамерени приложения. Приложенията също

така са прегледани от Apple, за да се гарантира, че работят, както е описано и не съдържат

очевидни грешки или други проблеми. В допълнение към тази технология, процесът на

попечителство дава увереност на клиентите по отношение на качеството на приложенията,

които купуват.

Бизнесът също има възможността да пише вътрешни приложения за използване в

рамките на организацията си и да ги разпространява сред служителите си.

За разлика от други мобилни платформи, iOS не позволява на потребителите да

инсталират потенциално зловредни, неподписани приложения от уеб сайтове, или да

стартират недостоверен код. По време на работа на приложението се правят проверки на

кода за подпис във всички изпълними страници на паметта след като са заредени, за да се

гарантира, че приложението не е било модифицирано след инсталацията или

актуализацията.

Сигурност на рънтайм процеса

След като веднъж бъде удостоверено, че приложението идва от одобрен източник,

iOS налага мерки за сигурност, предназначени за предотвратяване на компрометирането

на други приложения или на останалата част от системата.

Всички приложения на трети страни се тестват, така че да са ограничени в достъпа

до файловете, съхранявани от други приложения или от извършване на промени в

устройството. Това не позволява на приложенията събиране или промяна на информация,

съхранена от други приложения. Всяко приложение има уникална собствена директория

за своите файлове, която се присъединява на случаен принцип, когато се инсталира

приложението. Ако приложение на трета страна трябва да имат достъп до информация,

различна от своята собствена, то го прави само с помощта на услуги, изрично

предоставени от iOS.

Системните файлове и ресурси също са защитени от приложенията на потребителя.

По-голямата част от iOS работи като непривилегирован "мобилен" потребител, както


правят всички приложения на трети страни. Цeлият дял на OS e определен само за четене.

Ненужни инструменти, като например услуги за дистанционен вход, не са включени в

софтуера на системата и API-та не позволяват на приложенията да увеличават собствените

си права, за да модифицират други приложения или самата iOS.

Разширения (extensions)

iOS позволява на приложенията да предоставят функционалности на други

приложения, чрез предоставяне на разширения.

Разширенията са подписан изпълним двоичен код със специално предназначение,

опакован в рамките на приложението. Системата автоматично разпознава разширенията

по време на инсталацията и ги прави достъпни за други приложения чрез използване на

система за съвпадения.

Разширенията работят в собственото си адресно пространство. Комуникацията

между разширението и приложението, от което то е активирано, използва междупроцесни

комуникации, постигнати чрез посредничеството на системния фреймуърк. Взаимно те

нямат достъп до файловете си, както и до пространството в паметта на другия.

Групи от приложения

Приложенията и разширенията, притежавани от акаунта на даден разработчик,

могат да споделят съдържание, когато са конфигурирани да бъдат част от група от

приложения.

Порталът за разработчици Apple гарантира, че групите за идентификация на

приложения са уникални в рамките на приложната екосистема.

Защита на данните в приложенията

iOS комплектът за разработване на софтуер (SDK) предлага пълен набор от

интерфейси, които улесняват собствените и от трети страни разработчици да приемат

защитата на данните и да гарантират най-високо ниво на защита в своите приложения.

Защитата на данните е на разположение за интерфейси за файлове и бази от данни,

включително SQLite.

Приложението за мейл (включително приложенията към него), управляваните

книги, приложенията за изображения, както и данните за местоположение, също се


съхраняват криптирани с ключове и защитени с потребителската парола на устройството.

Календарът (без приложените файлове), контактите, напомнянията, бележките,

съобщенията и снимките прилагат политиката Защитен до първата потребителска

автентикация.

Приложенията, инсталирани от потребителя, които не попадат в определен клас по

защита на данните, получават Защитен до първата потребителска автентикация по

подразбиране.

Аксесоари

Създадената за iPhone, iPod touch и iPad (MFi) лицензионна програма предвижда

достъп на проверени производители на аксесоари до Протокола за iPod аксесоари (IAP) и

необходимите поддържащи хардуерни компоненти.

HomeKit

HomeKit осигурява домашна автоматизация на инфраструктурата, която използва

iCloud и iOS сигурността за защита и синхронизиране на лични данни, без да ги

предоставя на Apple

HomeKit идентичност

HomeKit идентичността и сигурността се базира на двойка публично-частни

ключове Ed25519. Двойка Ed25519 ключове се генерира на iOS устройството за всеки

потребител на HomeKit, което се превръща в неговата HomeKit идентичност. Тя се

използва за удостоверяване на комуникацията между iOS устройства, както и между iOS

устройства и аксесоари.

Ключовете се съхраняват в хранилището за ключове (Keychain) и са включени в

криптирани Keychain архиви. Ключовете са синхронизирани между устройствата с

помощта на iCloud Keychain.

HealthKit

HealthKit фреймуъркът осигурява обща база от данни, която приложенията могат

да използват, за да съхраняват и достъпват фитнес и здравни данни, с разрешение на

потребителя. HealthKit също така работи директно със здравни и фитнес уреди, като

съвместими блутут LE пулсомери и M7 или M8 копроцесор за движения, вграден в много

iOS устройства.


Здравни данни

HealthKit използва база от данни за съхраняване на данни за здравето на

потребителя, като височина, тегло, преминато разстояние, кръвно налягане и други. Тази

база от данни се съхраняват в клас по защита на данните Пълна защита, което означава, че

данните са достъпни само след като потребителят въведе своя код за достъп или използва

Touch ID за отключване на устройството.

Здравните данни не се споделят чрез iCloud или синхронизират между

устройствата. Здравните бази от данни са включени в криптирани архиви на устройството

в iCloud или iTunes. Здравните данни не са включени в некриптираните архиви на iTunes.

Медицинско ID

Здравното приложение, включено в iOS 8, дава възможност на потребителите да

попълнят Медицинска форма с ID информация, която би могла да бъде важна по време на

спешен медицински случай. Информацията е вписана или актуализирана ръчно и не се

синхронизира с информацията в здравната база от данни.

Медицинската ID информация може да бъде видяна чрез натискане на бутона за

извънредни ситуации при заключен екран. Информацията се съхранява в устройството с

помощта на клас по защита на данните Без защита, така че медицинската информация да е

достъпна, без да се налага да се въвежда паролата на устройството. Медицинското ID е

допълнителна функция, която позволява на потребителите да решат как да балансират

между двете опасения: за безопасност и неприкосновеност на личния живот.

5. Мрежова сигурност

В допълнение към вградените предпазни мерки, които Apple използва, за да

защити данните, съхранявани на iOS устройствата, има и много мрежови мерки за

сигурност, които организациите могат да предприемат, за да се запази информацията

сигурна при трансфера й от и до iOS устройството.


Мобилните потребители трябва да имат достъп до корпоративни мрежи от всяка

точка на света, важно е да се гарантира, че те са оторизирани и техните данни са защитени

по време на предаването. iOS използва и осигурява достъп на разработчиците до

стандартни мрежови протоколи за автентикация, авторизация и криптирани комуникации.

За постигането на тези цели за сигурност, iOS интегрира доказани технологии и най-

новите стандарти както за Wi-Fi, така и за клетъчни мрежи.

На други платформи е необходим софтуер за защитни стени, за да се предпазят

отворените комуникационни портове срещу проникване. При iOS се постига намалена

възможност за атаки чрез ограничаване на портовете за слушане и премахване на

ненужните мрежови комуникационни услуги, като Telnet, команден интерпретатор (shell),

или уеб сървър, така не е необходим допълнителен софтуер за изграждане на защитна

стена при iOS устройствата.

SSL, TLS

iOS поддържа Secure Socket Layer (SSL v3), както и Transport Layer Security (TLS

v1.0, TLS v1.1, TLS v1.2) и DTLS. Сафари, Календар, Мейл и други интернет приложения

автоматично използват тези механизми за създаване на криптиран канал за комуникация

между устройството и мрежовите услуги. API-та на високо ниво (като CFNetwork)

улесняват разработчиците при използването на TLS в своите приложения, докато API-та

на ниско ниво (SecureTransport) осигуряват фин контрол.

VPN

Сигурните мрежови услуги като виртуална частна мрежа (VPN) обикновено

изискват минимална настройка и конфигурация за работа с iOS устройствата. iOS

устройствата работят с VPN сървърите, които поддържат широк набор от протоколи и

методи за идентификация.

iOS поддържа VPN при поискване за мрежи, които използват метод за

автентикация чрез сертификат. IT политиките уточняват кои домейни се нуждаят от VPN

връзка с помощта на конфигурационен профил.

iOS също поддържа Per App VPN поддръжка, улеснявайки VPN връзките много по-

детайлно. Управлението на мобилни устройства (MDM) може да уточни връзка за всяко

управлявано приложение и/или специфичен домейн в Сафари. Това помага да се


гарантира, че сигурността на данните винаги върви към и от корпоративната мрежа и че

личните данни на потребителя са защитени. iOS 8 се въвежда винаги активния VPN, който

може да бъде конфигуриран за устройства, управлявани чрез MDM и контролирани с

помощта на Apple конфигуратор или програма за включване на устройства. Това

елиминира необходимостта потребителите да включват VPN, за да се активира защитата

при свързване с Wi-Fi мрежи. Винаги активният VPN дава на организацията пълен

контрол върху трафика на устройството чрез тунелиране на целия IP трафик обратно към

организацията. Протоколът по подразбиране за тунелиране е IKE v2, той защитава

трафика чрез криптиране на данните. Организацията вече може да следи и филтрира

трафика към и от нейните устройства, да подсигури данните в рамките на мрежата си,

както и да ограничи достъпа на дадено устройство до интернет.

Wi-Fi

iOS поддържа стандартни за индустрията Wi-Fi протоколи, включително WPA2

Enterprise, за да осигури удостоверен достъп до безжични корпоративни мрежи. WPA2

Enterprise използва 128-битово AES криптиране, което дава на потребителите най-високо

ниво на сигурност, както и увереност, че техните данни остават защитени при изпращане

и получаване по време на комуникацията в Wi-Fi мрежа. С поддържането на 802.1X, iOS

устройствата могат да бъдат интегрирани в широка гама от RADIUS автентикационни

среди. 802.1X методите за безжична автентикация, поддържани от iPhone и iPad, включват

EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 и LEAP.

Bluetooth

Поддържането на bluetooth в iOS е проектирано да предостави полезна

функционалност без ненужно увеличен достъп до лични данни. iOS устройствата

поддържат Encryption Mode 3, Mode Security 4 и Service Level 1 връзки.

Single Sign-on

iOS поддържа автентикация в корпоративни мрежи чрез еднократно

удостоверяване на самоличността (SSO). SSO работи с Kerberos-базирани мрежи за

автентикация на потребителите и допускането им до услуги, за които имат разрешение за

достъп. SSO може да се използва за редица дейности в мрежата, от сигурни сесии в

Сафари до работа с приложения на трети страни.


Сафари поддържа SSO и приложения на трети страни, които използват стандартни

iOS мрежови интерфейси, могат да се конфигурират да го използват. За да се конфигурира

SSO, iOS поддържа конфигурационен профил, който позволява на MDM сървърите да

направят необходимите настройки. Това включва определяне на основното име на

потребителя (което е потребителският акаунт в Active Directory) и настройките в сферата

на Kerberos, както и конфигурирането на това кои приложения и/или Сафари уеб адреси

трябва да бъде позволено да използват SSO.

AirDrop сигурност

iOS устройствата, които поддържат AirDrop, използват Bluetooth Low Energy (BLE)

и създадена от Apple peer-to-peer Wi-Fi технология за изпращане на файлове и

информация към близко разположени устройства, включително способни за AirDrop Mac

компютри с операционна система OS X Yosemite. Wi-Fi радио се използва за комуникация

между устройствата директно, без използването на интернет връзка или Wi-Fi точка за

достъп.

Когато един потребител активира AirDrop, на устройството се съхранява 2048-

битовa RSA самоличност. Освен това се създава AirDrop хеширана идентичност, на базата

на имейл адресите и телефонните номера, свързани с Apple ID на потребителя.

Когато потребителят избере AirDrop като метод за споделяне на информация,

устройството излъчва AirDrop сигнал чрез Bluetooth Low Energy. Други устройства, които

са активни и в непосредствена близост, които имат активиран AirDrop, засичат сигнала и

отговарят със съкратена версия на собствената си хеш идентичност.

При използване на AirDrop, изпращащият потребител избира потребителите, с

които иска да споделя. Изпращащото устройството инициира криптирана (TLS) връзка с

приемното устройство, при което се обменят техните сертификати за iCloud самоличност.

Самоличността в сертификатите се проверява за всеки потребител, след което от

получаващия потребител се изисква да приеме входящият трансфер от идентифицираното

лице или устройство. Ако са избрани множество получатели, този процес се повтаря за

всяка дестинация.


6. Apple Pay

Чрез Apple Pay потребителите могат да използват своите iPhone 6, iPhone 6 Plus,

iPad Air 2 и iPad mini 3 да заплащат по лесен, сигурен и конфиденциален начин. Това е

прост процес за потребителите, който е изграден чрез комплексна безопасност на

хардуера и софтуера.

Apple Pay също е предназначен за защита на личната информация на потребителя.

Apple Pay не събира информация за сделките, които могат да бъдат свързани с

потребителя. Платежните операции са между потребителя, търговеца и банката.

Компоненти на Apple Pay

Елемент на сигурност (Secure Element) е стандартен за индустрията сертифициран

чип, който работи с платформата Java Card, която пък е в съответствие с изискванията на

финансовия сектор за електронни плащания.

NFC контролер: Контролерът NFC борави с Near Field Communication протоколи

и комуникацията между приложния процесор и елемента на сигурността, както и между

елемента на сигурността и терминала на мястото на продажба.

Passbook: Passbook се използва за добавяне и управление на кредитни и дебитни

карти и за извършване на плащания чрез Apple Pay. Потребителите могат да преглеждат

своите карти и допълнителна информация за своята банка, политиката за поверителност

банката си, последните транзакции и друга информация в Passbook. Потребителите могат

също така да добавят карти за Apple Pay в Setup Assistant и Настройки. Плащанията могат

да бъдат направени с помощта Passbook в магазините или с опцията Apple Pay вътре в

приложенията.

Енклав на сигурността и Touch ID: Всяка транзакция чрез Apple Pay е

автентицирана с помощта на Touch ID или паролата на потребителя. Енклавът на

сигурността управлява процеса на проверка на автентичността и позволява на платежната

операция да бъде продължена.

Apple Pay сървъри: Apple Pay сървърите управляват състоянието на кредитните и

дебитни карти в Passbook и номерата на сметките в устройството, съхранени в енклава на

сигурността. Те комуникират едновременно с устройството и със мрежовите платежни

сървъри. Сървърите на Apple Pay отговaрят и за повторното криптиране на пълномощията

на плащане, за плащания в рамките на приложения.


Работа с кредитни и дебитни карти

Когато даден потребител добавя своята кредитна или дебитна карта в Apple Pay,

Apple изпраща сигурно информацията за картата, заедно с друга информацията за

сметката на потребителя и устройството, към съответната банка. Използвайки тази

информация, банката-издател определя дали да одобри добавянето на картата в Apple Pay.

Apple Pay използва две повиквания от страна на сървъра за изпращане и

получаване на комуникация с банката или мрежата, като част от процеса за обезпечаване

на картата: проверка на картата, след което връзка и разпоредба. Банката или мрежата

използва тези разговори за да провери, одобри и добави картите в Apple Pay. Тези клиент-

сървър сесии са криптирани с помощта на SSL.

Пълните номера на картите никога не се съхраняват на устройството или сървърите

на Apple. Вместо това се създава уникален номер на акаунт на устройство, който се

криптира и след това се съхранява в елемента на сигурността. Този уникален номер на

акаунт на устройство е криптиран по такъв начин, че Apple не може да го достъпне.

Номерът на акаунта на устройството е уникален и различен от обичайния номер на

кредитна или дебитна карта номера, банка може да възпре използването му върху

магнитна лента на карта, по телефона или в интернет страници. Номерът на акаунта на

устройството в елемента на сигурността е изолиран от iOS, никога не се записва на Apple

Pay сървърите и никога не се прави резервно копие в iCloud.

Има два начина за предоставяне на кредитна или дебитна карта в Apple Pay:

• Добавяне на кредитна или дебитна карта ръчно в Apple Pay

• Добавяне на кредитнa или дебитнa картa във файл от iTunes Store акаунта към

Apple Pay

Авторизация на плащанията

Елементът на сигурността ще позволи да се извърши плащане само след като

получи разрешение от енклава на сигурността, потвърждавайки че потребителят е

удостоверен чрез Touch ID или чрез паролата на устройството. Touch ID е методът по

подразбиране, ако има такъв, но паролата може да се използва по всяко време вместо

Touch ID. Паролата се предлага автоматично като автентикационен метод след три

неуспешни опита за съответствие на пръстови отпечатъци и задължително се изисква след


пет неуспешни опита. Паролата е необходима и когато Touch ID не е конфигуриран или не

е активиран за Apple Pay.

Специфичен за транзакцията динамичен код за сигурност

Всички платежни операции, създадени чрез аплети за плащане включват

специфичен за транзакцията код за динамична сигурност заедно с номера на акаунта на

устройството. Този еднократен код се генерира с помощта на брояч, който се увеличава с

всяка нова транзакция и ключ, който е обезпечен в аплета за плащане по време на

персонализацията и е известен на мрежата за плащане и/или на издателя. В зависимост от

схемата на плащане, и други данни могат да се използват при изчисляване на тези кодове,

включително следните:

Случайно число, генерирано от аплета за плащане

Друго случайно число, генерирано от терминала, в случай на NFC транзакция

или

Друго случайно число, генерирано от сървъра - в случай на сделки в рамките на

приложенията

Тези кодове за защита се предоставят на мрежата за плащане и на издателя, което

позволява да се провери всяка транзакция. Дължината на тези кодове за сигурност може

да варира в зависимост от вида на сделката, която се извършва.

Безконтактни разплащания с Apple Pay

Ако iPhone е включен и засече NFC поле, той ще представи кредитната или

дебитна карта на потребителя по подразбиране, която се управлява в Settings.

След това потребителят трябва да се удостовери, използвайки Touch ID или своята

парола, преди да се предадат данните за плащане. Никаква платежна информация не се

изпраща без идентификация на потребителя.

След като потребителят бъде удостоверен, при обработката на плащането

използват номерът на акаунта на устройството и динамичният код за сигурност,

специфичен за транзакцията. Нито Apple, нито устройство на потребителя изпращат

пълните номера на действителните кредитни или дебитни карти към търговците. Apple

може да получава анонимна информация за транзакцията като приблизително време и

място, която помага за подобряване на Apple Pay и други продукти и услуги на Apple.


Плащане чрез Apple Pay в приложенията

Apple Pay може да се използва за извършване на плащания в рамките на iOS

приложенията. Когато потребителите плащат в приложенията с помощта на Apple Pay,

Apple получава шифрована информация за транзакцията и отново я криптира с ключ,

специфичен за търговеца, преди да я изпрати към търговеца. Apple Pay запазва анонимна

информация за транзакцията като приблизителна сума на покупката. Тази информация не

може да бъде свързана с потребителя и никога не включва това, което потребителят

купува.

Когато едно приложение инициира транзакция за плащане чрез Apple Pay, Apple

Pay сървърите получават криптираната транзакция от устройството преди търговецът да я

получи. След това Apple Pay сървърите я криптират отново с ключ, специфичен за

търговеца, преди предаването на сделката към търговеца.

Блокиране, премахване и изтриване на карти

Потребителите могат да блокират Apple Pay чрез поставяне на устройството си в

режим Изгубен с помощта на функцията Намери моя iPhone. Потребителите също така

имат възможността да премахнат и изтрият информацията за своите карти от Apple Pay

чрез използването на функцията Намери моя iPhone, настройките на iCloud или директно

през устройството си, използвайки Passbook.

7. Интернет услуги

Apple е изградила солиден набор от услуги, за да помогне на потребителите си да

получат повече функционалности и по-висока производителност от своите устройства,

включително iMessage, FaceTime, Siri, Spotlight предложения, iCloud, iCloud Backup и

iCloud Keychain.

Тези интернет услуги са изградени на същото ниво на сигурност, което iOS

прокарва в цялата платформа. Целите включват: защитена обработка на данните,

независимо дали в покой на устройството или при трансфер в безжични мрежи, защита на

личните данни на потребителите и защита от заплахи от злонамерен или неоторизиран

достъп до информация и услуги. Всяка услуга използва своя собствена мощна архитектура

за сигурност, без да излага на риск цялостната лекота при използването на iOS.


Apple ID

Apple ID е потребителското име и паролата, които се използват за логване при

използване на Apple услуги като iCloud, iMessage, FaceTime, iTunes Store, за iBooks Store,

на App Store и др.

Важно е за потребителите да пазят своите Apple ID-та сигурни, за да предотвратят

неоторизиран достъп до своите сметки.

Apple предлага и двустепенна верификация за Apple ID, която предвижда втори

слой на сигурност за акаунта на потребителя.

iCloud

iCloud съхранява контакти на потребителя, календари, снимки, документи и други

данни, както и поддържа автоматично информацията актуална на всички устройства.

iCloud може да се използва от приложения на трети страни за съхраняване и

синхронизиране на документи, както и за ключови стойности от данните на

приложенията, както е дефинирано от програмиста. Потребителите конфигурират iCloud

като се логват със своето Apple ID и избират кои услуги биха искали да използват.

Функциите на iCloud, включително My Photo Stream, iCloud Drive и създаване на резервно

копие, могат да бъдат дезактивирани от IT администраторите чрез конфигурационен

профил. Услугата не знае нищо за това, което се съхранява и обработва, като цялото

съдържание на файлове се третират единствено като колекция от байтове.

Всеки файл е разделен на части и криптиран от iCloud с помощта на AES-128 и

ключ, получен от съдържанието на всяка част, чрез използване на SHA-256. Ключовете и

метаданните на файла се съхраняват от Apple в iCloud акаунта на потребителя.

Кодираните части на файла се съхраняват без никаква информация, удостоверяваща

самоличността на потребителя, използвайки услугите на трети страни за съхранение, като

например Amazon S3 и Windows Azure.

iCloud Keychain

iCloud Keychain позволява на потребителите да синхронизират сигурно паролите си

между iOS устройства и Mac компютри, без да се предоставя тази информация на Apple. В

допълнение към неприкосновеността на личния живот и сигурността, други цели, които

силно повлияват дизайна и архитектурата на iCloud Keychain са лекотата на използване и


способността за възстановяване. iCloud Keychain се състои от две услуги: синхронизиране

и възстановяване.

Apple проектира iCloud Keychain и неговото възстановяване така, че паролите на

потребителя да са все още са защитени, дори при следните условия:

• iCloud потребителският акаунт е компрометиран.

• iCloud е изложена на риск от външни атаки или служители.

• Достъп на трети страни до потребителските акаунти.

8. Контроли на устройството

iOS поддържа гъвкава политика за сигурност и конфигурации, които са лесни за

прилагане и управление. Това дава възможност на организациите за защита на

корпоративната информация и гарантират, че служителите отговарят на изискванията на

компанията, дори ако те използват собствените си устройства.

Организациите могат да използват средства като: защита на паролата,

конфигурационни профили, отдалечено изтриване и MDM решения на трети страни за

управление на набора от устройства и да запазят корпоративните данни сигурни, дори и

когато служителите имат достъп до тази информация от своите лични iOS устройства.

Защита с парола

В допълнение към предоставянето на криптографска защита, паролите

предотвратяват неоторизиран достъп до устройствата. Интерфейсът на iOS налага

ескалиращи закъснения след въвеждането на невалидна парола, драстично намалявайки

по този начин ефективността на атаките с груба сила при заключен екран. Потребителите

могат да избират дали устройството да се изтрива автоматично, ако паролата е въведена

грешно при 10 поредни опита. Тази настройка е налична като административна политика

и може да се зададе и по-нисък праг през конфигурационните профили, MDM, и Exchange

ActiveSync.

iOS модел на комплектоване (pairing)

iOS използва модела на сдвояване за контрол на достъпа до устройството от хост

компютър. Сдвояването установява отношения на доверие между устройството и неговия

свързан хост, обозначено от обмен на публичен ключ. iOS използва този знак на доверие,


за да се даде възможност за допълнителна функционалност със свързания хост, като

например синхронизация на данни.

Процесът на сдвояване изисква от потребителя да отключи устройството си и да

приеме искането за сдвояване от хоста. След като потребителят направи това, хостът и

устройството обменят и запазват 1024-битови RSA публични ключове. След това на хоста

се предоставя 256-битов ключ, който може да отключи ескроу набора от ключове,

съхраняван на устройството.

Отдалечено изтриване

iOS устройствата могат да бъдат изтрити дистанционно от администратор или

потребител. Незабавното отдалечено изтриване се постига чрез сигурно изтриване на

криптиращия ключ от непостоянната памет, правейки по този начин всички данни

нечетими. Командата за отдалечено изтриване може да се инициира от MDM, Exchange

или iCloud.

Когато командата за отдалечено изтриване е инициирана от MDM или iCloud,

устройството изпраща потвърждение и изпълнява изтриването. За отдалечено изтриване

чрез Exchange, устройството се логва в Exchange сървъра преди извършването на

изтриването.

Потребителите могат също да изтрият своите устройства чрез приложението за

настройки. Както бе споменато по-горе, устройствата могат да бъдат настроени да се

изтриват автоматично след поредица от неуспешни опити за въвеждане на парола.

Намери моя iPhone and активационно заключване

Ако дадено устройство е изгубено или откраднато, важно е то да се деактивира и

изтрие. При iOS 7 или по-нова версия, когато функцията Намери моя iPhone е включена,

устройството не може да бъде активирано отново без въвеждането на Apple ID

потребителско име и парола на собственика. За организация, която иска да контролира

своите устройства е добра идея или да контролира своите устройства, или да има въведена

политика за потребителите да се деактивира тази функцията, така че функцията Намери

моя iPhone да не пречи на организацията да прехвърли устройството на друго лице.


9. Защита на поверителността

Apple третира неприкосновеността на клиентската информация сериозно и има

множество вградени контроли и опции, които позволяват на iOS потребителите да

преценяват как и кога приложенията могат да използват тяхната информация, както и

каква информация да се използва.

Локализационни услуги

Локализационните услуги използват GPS, Bluetooth, както и Wi-Fi точки за достъп,

както антените на мобилните оператори, за да се определи приблизителното

местоположение на потребителя. Локализационните услуги могат да бъдат изключени

чрез използването на един ключ в Настройки или потребителите могат да одобрят достъп

за всяко приложение, което използва услугата. Приложенията могат да поискат да получат

данни за местоположението само докато приложението се използва или да им е позволено

по всяко време. Потребителите могат да изберат да не се позволява този достъп или може

да променят своя избор по всяко време в Настройки. От Настройки достъпът може да бъде

настроен да бъде: никога, включен при употреба или винаги, в зависимост от исканата

употреба за местоположение от приложението.

Достъп до личните данни

iOS помага за предотвратяване на достъпа на приложенията до личните данни на

потребителя без разрешение. Освен това в Настройки потребителите могат да виждат на

кои приложения е разрешен достъп до определена информация, както и да дават или

отнемат бъдещ достъп.

Ако потребителят се логне в iCloud, приложенията имат достъп по подразбиране до

iCloud Drive. Потребителите могат да контролират достъпа до всяко приложение чрез

настройките на iCloud. Освен това iOS предлага ограничения, които пречат на обмена на

данни между приложения и профили, инсталирани от MDM и тези, инсталирани от

потребителя.

Политика за зашита на личните данни

Apple съблюдава строга политика за защита на личните данни. Подробна

информация е публикувана на фирмения им сайт.


Заключение

Ангажимент към сигурността

Apple се ангажира да подпомага защитата на клиентите си с водещи технологии за

сигурност и поверителност, които са предназначени за опазване на личната информация,

както и комплексни методи за защита на корпоративните данни в корпоративна среда

Сигурността е вградена в iOS. От платформата през мрежата до приложения,

всичко от което един бизнес се нуждае, е налично в iOS платформата. Взети заедно, тези

елементи дават на iOS водеща роля в индустрията по отношение на сигурността, без да се

прави компромис с производителността на устройството.

Apple използва последователна и интегрирана инфраструктура на сигурността в

iOS и екосистемата на iOS приложенията. Хардуерно базираното криптирано съхранение

осигурява способност за отдалечено изтриване, когато устройството бъде изгубено и дава

възможност на потребителите да премахнат напълно всички корпоративни и лични данни,

когато устройството бъде продадено или се прехвърли на друг собственик.

Диагностичната информация също се събира анонимно.

iOS приложенията, разработени от Apple, са програмирани предвид повишена

сигурност. Сафари предлага безопасно сърфиране с поддръжка на Online Certificate Status

Protocol (OCSP), EV сертификати и предупреждения за проверка на сертификат.

Електронната поща използва средствата на сертификатите за автентицирана и криптирана

поща с помощта на стандарта S/MIME, който от версия iOS 8 насам позволява

индивидуално за всяко съобщение S/MIME, така че S/MIME потребителите могат да

избират дали винаги да подписват и криптират по подразбиране, или селективно да

контролират как да се защитават отделните съобщения. iMessage и FaceTime също така да

предоставят криптиране от клиент към клиент.

За приложенията, създадени от трети страни, комбинацията от изискване на

подписване за кода, тестовата среда, както и правата, осигуряват на потребителите

солидна защита срещу вируси, злонамерен софтуер и други опасности, които застрашават

сигурността на техните устройства. Процесът на обмяна на приложения с App Store

действа като още по-силна защита на потребителите от всички рискове, тъй като от Apple

правят преглед на всяко iOS приложение, преди да го пуснат в продажба.


За да се възползват максимално от обширните защитни елементи, вградени в iOS,

компаниите се насърчават да преразгледат своите IT политики и политики за сигурност, за

да се гарантира, че се възползват в пълна степен от слоевете на технологии за сигурност,

предлагани от тази платформа.

Apple има специален екип за сигурност, за да поддържа всички нейни продукти.

Екипът осигурява одит на сигурността и тестване на продуктите в процес на разработка,

както и за вече наличите продукти. Екипът на Apple също така предоставя инструменти за

сигурност и обучение, както и активно следи за съобщения за нови заплахи и проблеми

със сигурността. Apple е член на FIRST - Форума за отговор на инциденти и екипи по

сигурността (Forum of Incident Response and Security Teams).


Използвана литература:

1. iOS

http :// en . wikipedia . org / wiki / IOS

2. Apple’s web site

www.apple.com

3. Usage share of operating systems

http://en.wikipedia.org/wiki/Usage_share_of_operating_systems

4. iOS security guide September 2014

5. Apple’s privacy policy

https :// www . apple . com / legal / privacy .

6. Guard against mobile security issues:

http://www.veracode.com/products/mobile-application-security/ios-security

7. iPhone and iPad security

http://www.macworld.co.uk/feature/iosapps/is-ipad-iphone-ios-safe-what-security-

software-need-3453938/


http://www.macworld.co.uk/feature/iosapps/is-ipad-iphone-ios-safe-what-security-software-need-3453938/

http://www.macworld.co.uk/feature/iosapps/is-ipad-iphone-ios-safe-what-security-software-need-3453938/

http://www.veracode.com/products/mobile-application-security/ios-security

https://www.apple.com/legal/privacy

http://en.wikipedia.org/wiki/Usage_share_of_operating_systems

http://www.apple.com/

http://en.wikipedia.org/wiki/IOS

Речник:

AES – Advanced Encryption Standard – стандарт за шифриране

SSL – Secure Socets Layer – криптографски протокол за връзка клиент-сървър

TLS – transport layer security

WPA – WiFi protected access

Kerberos protocol – computer network authentication protocol

API – application programming interface

SDK – software development kit

NFC – near field communication (protocol)

OCSP – online certificate status protocol

Cryptographic nonce – arbitrary number

FIRST - Forum of Incident Response and Security Teams

MDM – mobile data management


Education

Referat i os 116134