Сообщается, что режим Lockdown Mode на устройствах Apple помешал Федеральному бюро расследований США получить данные с изъятого iPhone после обыска в доме журналистки The Washington Post. Этот случай рассматривается как один из наиболее наглядных примеров того, как указанная функция безопасности способна блокировать даже специализированные инструменты цифровой криминалистики государственных структур. Устройство принадлежало журналистке Ханне Натанссон и оставалось защищенным в течение попыток следователей получить доступ к его содержимому в рамках расследования утечки конфиденциальной правительственной информации.
По информации издания 404 Media, в январе сотрудники ФБР провели обыск в доме журналистки в рамках расследования утечки секретных материалов. Во время обыска было изъято несколько устройств, включая ноутбук MacBook Pro, смартфон iPhone 13 и внешние накопители данных. Подразделение ФБР Computer Analysis Response Team (CART), специализирующееся на цифровой экспертизе, предприняло попытки получить данные со смартфона, однако безрезультатно.
В судебных документах объясняется причина неудачи. Согласно официальной формулировке в представлении правительства, из-за активированного режима Lockdown Mode подразделение CART не смог осуществить извлечение данных с устройства. В материалах также указано, что смартфон был включен и подключен к зарядке на момент извлечения, а на экране отображалась информация об активированном режиме повышенной защиты.
Те же судебные записи датируются примерно двумя неделями после обыска, что указывает на отсутствие доступа к устройству в течение этого периода. Дальнейшее состояние доступа к данным официально не уточняется, однако документы подтверждают, что первые попытки взлома были заблокированы.
В то же время следователям удалось получить доступ к другому устройству, изъятому во время обыска. Второй ноутбук MacBook Pro был разблокирован после запроса Touch ID или пароля. Согласно судебным материалам, журналистка приложила палец к сенсору, после чего устройство разблокировалось. После этого следователи осуществили фотографирование и фиксацию части переписки в мессенджере Signal, которая хранилась на компьютере.
Смартфон iPhone остался защищенным даже несмотря на то, что был включен и готов к использованию. Защита обеспечивалась не через специальные ключи шифрования или удаленные сервисы, а благодаря строгим системным ограничениям, которые перекрывают стандартные пути доступа, применяемые криминалистическими инструментами.
Описанный случай демонстрирует практическую эффективность режима Lockdown Mode в реальных условиях расследования. Также он отражает рост напряжения между производителями мобильных устройств и правоохранительными структурами относительно баланса между конфиденциальностью пользователей и потребностями следствия. В подобных ситуациях журналисты и их источники информации часто оказываются в центре обсуждения цифровой безопасности и свободы информации.
Особенности режима блокировки
Режим Lockdown Mode разработан Apple как специальный уровень защиты для пользователей, которые могут находиться под повышенным риском целенаправленных цифровых атак. Компания описывает его как экстремальный режим безопасности, который намеренно ограничивает функциональность устройства, чтобы снизить вероятность взлома из-за уязвимостей или шпионского ПО. По официальному описанию Apple, при активации этого режима отдельные приложения, веб-сайты и системные функции существенно ограничиваются, а некоторые возможности могут быть полностью недоступными.
Эти ограничения охватывают ряд аспектов, традиционно используемых судебно-медицинскими инструментами. В частности блокируется большинство вложений в сообщениях, ограничиваются определенные вебтехнологии, а звонки FaceTime от неизвестных контактов могут быть недоступными. Кроме того, устройство не разрешает подключение к компьютерам или аксессуарам без предварительной разблокировки пользователем. Это условие имеет решающее значение, поскольку многие специализированные инструменты цифрового опыта, включая такие решения, как GrayKey или Cellebrite, требуют физического подключения к смартфону для начала анализа.
Специалист по цифровой криминалистике Эндрю Гарретт отметил в комментарии для 404 Media, что многочисленные современные методы судебно-технического анализа и инструменты правоохранительных органов базируются на уязвимостях, которые режим Lockdown Mode специально блокирует или существенно ограничивает. Это объясняет невозможность получения данных в указанном случае.
