iPhone 取证:失窃设备保护及其对取证的影响
如果你以从 iPhone 中提取数据为业,那么“失窃设备保护”是一项你再也无法忽视的变化。它的作用看似简单:在“信任此电脑”提示前加上 Face ID 或 Touch ID 验证。实际结果是,即使知道设备锁屏密码的取证人员,也无法将一台陌生的 iPhone 配对到取证工作站。这是苹果近十年来对 iPhone 配对行为所做的最具颠覆性的改动,并且截至 2026 年春季,该功能出厂即为开启状态。
本文将详细介绍这一功能是什么、它随时间发生了哪些变化、它旨在阻止什么,以及——对实验室而言最重要的部分——它具体会妨碍数据提取的哪些步骤。我们同时也正在完成我们自己的绕过“失窃设备保护”的解决方案,该方案将允许在保护功能仍开启的情况下进行侧载并使用提取代理。
失窃设备保护到底是什么
失窃设备保护(Stolen Device Protection,SDP)是一项针对 iPhone 的设备级安全功能。开启后,iOS 会对一组定义好的敏感操作施加额外的身份验证,但仅当手机离开熟悉的位置时才触发。这里的“熟悉”是指手机自行学习到的“重要位置”,通常是家和公司。如果把手机放在嫌疑人自家的厨房桌上,SDP 的大部分限制就会解除;而一旦将其带入你的实验室,限制便生效。
有两套独立的机制在起作用,值得将它们区分开:
- 仅生物识别认证,无密码后备:对于一组操作,iOS 只接受 Face ID 或 Touch ID,密码不可作为备选。苹果官方表述是这些操作需要生物识别,“没有密码替代或后备方案”。
- 安全延迟:对于第二组操作(主要是账户和安全设置),iOS 要求先进行生物识别,然后让你等待一小时,再要求第二次生物识别。如果在熟悉位置,这一小时内的等待可以提前结束;可选的“要求安全延迟 > 始终”设置即使在家或公司也不会缩短延迟。
要启用 SDP(或由 iOS 在较新版本中自动启用;详见下文),用户需要为其 Apple 账户开启双重认证、设置锁屏密码、录入 Face ID 或 Touch ID、开启“重要位置”,并且启用“查找”功能。一旦 SDP 开启,“查找”就无法关闭。
重要的是,SDP 仅限 iPhone。截至 iPadOS 26.4,苹果尚未将其扩展到 iPad,尽管 iPad 同样面临密码被盗的风险。如果你工作台上的设备是 iPad,完全可以忽略 SDP。
至于该功能是选择开启还是默认开启——这一点已经发生了变化,而且是近期才变的。在当前的 iOS 中,应将 SDP 视为默认开启。下一节有更多说明。
简短历史及为何对你的积压案件重要
SDP 是一个动态目标,取证人员必须精确了解工作台上设备所运行的版本。以下是时间线:
iOS 版本 | 公开发布时间 | SDP 的变化 |
iOS 17.3 | 2024年1月22日 | SDP 引入,选择开启。在 Face ID 与密码中有一个开关。仅测试版显示设置提示。 |
iOS 17.4 | 2024年3月5日 | 增加专用 SDP 设置页面;新增“要求安全延迟”选项:离开熟悉位置(默认)或始终。 |
iOS 17.5 | 2024年5月13日 | 无记录的 SDP 变化。 |
iOS 18.0 | 2024年9月16日 | SDP 范围扩展到已锁定 App 和隐藏 App。 |
iOS 18.2 | 2024年12月11日 | “信任此电脑”现在可以通过 Face ID 确认。SDP 本身未变。 |
iOS 26.4 | 2026年3月24日 | 新设置、恢复以及更新到 26.4 或更高版本时,SDP 默认启用。 |
iOS 26.4.1 | 2026年4月8日 | 默认开启扩展至企业及 MDM 管理的设备。 |
重点在表格的最后一行。从 iOS 17.3 到 26.3,SDP 是选择开启:用户需要在设置中找到并打开它,大多数人从未这样做。到了 iOS 26.4,苹果改变了这一策略。根据苹果的企业文档,SDP 现在会在以下设备上自动启用:使用 iOS 26.4 或更高版本新设置的设备、在 26.4 或更高版本上恢复的设备,以及从 26.4 更新到更高版本的设备。一个诚实的提醒:在全新设置的设备上,用户确实会看到一个 SDP 屏幕,苹果面向消费者的文章含糊地表述为“可能默认开启”。更清晰的理解是:更新和恢复时无需询问即启用,而全新开箱的设置则会显著提示。无论哪种情况,取证人员再也不能假设它是关闭的。
为什么版本历史会出现在一篇取证文章中?因为实验室的积压案件永远不会只有一个 iOS 版本。它是一抽屉跨越多年版本的设备,同一部物理 iPhone 根据其运行的固件版本会表现出不同的行为。这为你提供了一条分流规则,可以在设备登录时立即应用:
- iOS 17.3 之前– SDP 不存在。标准配对适用:锁屏密码加上“信任”提示足以创建新的配对记录。
- iOS 17.3 至 18.x– SDP 存在但是选择开启。大多数设备不会开启,但有些会,尤其是安全意识强的用户。在计划任何操作前,检查“设置”→“Face ID 与密码”。
- iOS 26.4 及更高版本– 假定 SDP 已开启,直到有证据证明未开启。
在第一步提取之前,在案件记录中记录确切的固件版本(设置→通用→关于本机)和 SDP 状态。
SDP 失窃设备保护旨在阻止什么
SDP是为一个非常具体的威胁模型而构建的,了解这一点有助于你推理它在哪些地方会(以及不会)妨碍你的工作。
该功能是苹果对《华尔街日报》在 2023 年初报道的一种盗窃模式的回应:窃贼在酒吧和其他公共场所观察 iPhone 用户输入锁屏密码,然后偷走手机。仅凭密码就能完成整个盗窃。有了密码,窃贼可以从“设置”中更改 Apple 账户密码,将真正的主人锁在 iCloud 之外,禁用“查找”,获取 iCloud 钥匙串中的每一个凭证,通过 Apple Cash 转账,并进入那些登录信息保存在钥匙串中的银行 App。后来《华尔街日报》的一篇后续报道介绍了一位明尼阿波利斯的窃贼,他描述用这种方式从受害者那里窃取了大约 30 万美元。苹果在当周就宣布了 SDP。
因此,威胁模型是明确的:一个同时拥有物理设备和锁屏密码的攻击者。SDP 所做的一切都旨在使这种组合的破坏力远不如从前。
对取证人员而言,另一面同样重要。对于只拥有两个因素之一的攻击者,SDP 没有任何改变;对于根本不涉及设备上流程的提取方法——例如,旧款硬件上的 bootrom 级获取,这是芯片的功能,而非 iOS 策略——SDP 也没有任何改变。SDP 是针对 iOS 级别动作的 iOS 级别锁定。如果你的方法位于该层之下,SDP 根本不在讨论范围内。
SDP 在提取期间会阻止什么
苹果的文档是为最终用户编写的,并未列举取证人员关心的每个系统级交互——因此,以下部分内容基于独立测试而非苹果已发布的列表。
将设备配对到新电脑
这是主要的障碍。当 SDP 开启且设备不在熟悉位置时,“信任此电脑”握手需要 Face ID 或 Touch ID。锁屏密码不再足以确认信任。独立的取证测试已证实此行为,这是 SDP 最重大的影响,因为创建新的配对(lockdown)记录是高级逻辑提取的第一步。值得注意的是,苹果在其支持文档中并未将配对列为 SDP 保护的操作,但该行为是真实且可重现的。在缺乏同意的情况下(嫌疑人被拘留且不合作,或机主不在场),知道密码的取证人员仍然无法在工作站上建立新的配对。需要机主的生物识别信息,别无他法。
使用已有的配对记录
这是绕过此门槛的现实方法,但有一个注意事项:配对记录的有效期有限,并且它们仍然需要解锁 iPhone(因为 USB 限制模式会阻止 USB 数据通信)。如果你有一个有效、未过期的 lockdown/配对记录,并且你可以使用锁屏密码解锁手机,那么你可以将其连接到你的工作站,而无需生物识别认证(根据 SDP)。
换句话说,SDP 提高了创建新配对的门槛;没有公开测试表明它会作废已有的有效配对记录。设备本身必须处于 AFU(首次解锁后)状态,即自上次重启后至少解锁过一次。设备不得被允许重启进入 BFU(首次解锁前)状态。
侧载和签署提取代理
代码签名本身发生在主机上,SDP 不涉及主机端操作。但是代理仍然需要通过 USB 安装到 iPhone 上,这需要有效的配对和信任关系。因此,SDP 位于基于代理的提取的上游:阻止了配对,代理就永远无法到达设备。
账户侧操作:Apple 账户密码和退出登录
这两项都受到安全延迟的限制。如果你的计划涉及 iCloud 端获取,并且需要重置账户密码,你无法在被扣押的设备上执行此操作,除非有机主的生物识别信息——而且需要相隔一小时的两次验证。同时,当 SDP 开启时,同样的更改在 account.apple.com 网站上也会被阻止,因此没有浏览器捷径。如果目标是云获取,请计划通过合法途径获取凭证和任何第二因素,而不是通过设备上的密码重置。
关闭 SDP 本身(以及关闭“查找”)
这受到安全延迟的限制。当设备不在熟悉位置时,即使知道锁屏密码,取证人员也无法直接关闭 SDP。机主必须启动更改、进行生物识别认证、等待一小时、再次认证——如果他们选择了“始终”设置,即使回到家中或工作场所也无法缩短等待时间。
还原所有设置(清除未知的本地备份密码,如果已启用)
这也受到安全延迟的限制。如前所述,此功能的取证价值在于,除其他事项外(例如移除设备锁屏密码),它还会清除用于加密本地 iTunes/Finder 风格备份的密码。
列表中的其他项
当 SDP 开启且设备不在家时,还有其他几项操作仅限生物识别,没有密码后备:关闭“丢失模式”、查看或使用钥匙串中的密码和通行密钥、Safari 自动填充中保存的付款方式、“抹掉所有内容和设置”、打开已锁定或隐藏的 App(iOS 18 及更高版本)、快速开始设置另一台设备,以及设置或转移 eSIM。其中一些在真实案件中会出现:钥匙串访问很重要,因为非自愿的设备上批量获取密码的路径现已关闭;快速开始很重要,因为它阻止了一种克隆设备的技术;eSIM 转移对 SIM 相关的扣押很重要。了解它们的存在,以免在提取过程中出现意外。
结论是:没有机主的生物识别信息,在启用了 SDP 且不在熟悉位置的 iPhone 上,高级逻辑提取实际上被阻止——即使你知道锁屏密码,即使设备处于 AFU 状态。曾经,已知的锁屏密码就是钥匙。在 SDP 下,离开常用位置后,它不再像过去那样有效。
实际意义
给实验室的一份简短实用清单:
- 在收到每部 iPhone 时,根据 iOS 版本进行分流。17.3 之前没有 SDP 风险;17.3 至 18.x 需要检查设置;26.4 及更高版本应假定 SDP 已开启。在接触设备之前记录确切的固件版本和 SDP 状态。
- 并行扣押主机电脑。在扣押 iPhone 的同时对嫌疑人的 Mac 或 PC 进行镜像,并保存 lockdown 目录。一个有效的既有配对记录是绕过 SDP 配对门槛最可靠的方法——而鉴于配对记录有效期短,你需要迅速行动。
- 保护 AFU 状态。不要让被扣押的手机重启或关机。使用带旁路供电的法拉第容器,并对电源状态进行有记录的监管链。
- 对于同意案件,提前安排 SDP 开关。请配合的机主关闭 SDP,或将设备带到其“已知”位置,以便抑制安全延迟。记录该更改及当时的位置背景。注意,如果保护设置为“始终”,你仍然需要预留一小时的延迟时间。
- 当没有其他途径时,规划好一小时的延迟。如果唯一的途径是在实验室与配合的用户一起关闭 SDP,请为此做好时间预算:生物识别、一小时等待、第二次生物识别,然后才是提取本身。