Quando si parla di Informatica Forense e copie forensi in ambito iOs, ci si scontra con i termini ed i concetti legati a BFU (Before First Unlock) e AFU (After First Unlock). Capire la loro differenza è fondamentale, in quanto indicano lo stato in cui un dispositivo iPhone o iPad può trovarsi e sulla base del quale è possibile o meno accedere non solo a determinati dati contenuti all’interno del dispositivo informatico, ma che cambia drasticamente il modo in cui è possibile bypassare il codice di sblocco di un dispositivo Apple.

Partiamo dalla situazione in cui l’iPhone si trova (generalmente, ma non solo) non appena acceso: BFU (Before First Unlock).
I dispositivi in modalità BFU sono quelli che sono stati spenti o riavviati e non sono mai stati successivamente sbloccati, nemmeno una volta, inserendo il codice di blocco dello schermo corretto.
Nel mondo di Apple, il contenuto dell’iPhone rimane crittografato in modo sicuro fino al momento in cui l’utente non inserisce il codice di sblocco: quest’ultimo è assolutamente necessario per generare la chiave di crittografia, che a sua volta è assolutamente necessaria per decifrare il file system dell’iPhone.

In altre parole, quasi tutto all’interno dell’iPhone rimane crittografato fino a quando l’utente non lo sblocca con il proprio passcode dopo l’avvio del telefono. In questo articolo tralasciamo la parte del “quasi del tutto”, in quanto nella realtà vi sono delle porzioni di memoria che sono comunque accessibili nei dispositivi iOs anche prima dello sblocco e che vengono sfruttate da software specifici (come quello di cui vi pubblico lo screenshot qui sotto) per ottenere informazioni che potrebbero risultare importanti all’interno di una perizia informatica forense.

A contrario, la modalità AFU (After First Unlock) è lo stato in cui il telefono si trova dopo aver inserito il codice di sblocco almeno una volta. In tale circostanza, infatti, la chiave di crittografia “Master” è stata generata ed i dati personali dell’utente sono accessibili.
Questo rende possibile, mediante software forensi quali “Cellebrite UFED”, l’accesso ad informazioni sensibili ed anche lo sblocco del dispositivo iOs in modo abbastanza rapido. Ecco il motivo per cui, in caso di sequestro di un iPhone o iPad, il dispositivo mobile dovrebbe rimanere alimentato, in particolar modo se il soggetto al quale lo smartphone è stato sequestrato non intende rivelare il codice di sblocco.

BFU (Before First Unlock)

Iniziamo ad approfondire lo stato BFU, che sta per “Before First Unlock”. Questo termine si riferisce a una modalità di funzionamento del dispositivo iOS prima che venga effettuato il primo sblocco. In sostanza, quando accendi per la prima volta il tuo dispositivo iOS o lo riavvii dopo un completo spegnimento, si trova nello stato BFU.
Durante la modalità BFU, molte funzionalità del dispositivo sono limitate o addirittura disabilitate. Ad esempio, non è possibile accedere ai dati dell’utente, come le foto, i messaggi o le app protette da password. Inoltre, molte app di terze parti non possono essere eseguite fino a quando il dispositivo non viene sbloccato.

AFU (After First Unlock)

Passiamo adesso all’AFU, che sta per “After First Unlock”. Una volta che hai sbloccato il tuo dispositivo iOS con il codice di accesso o con l’impronta digitale (Touch ID) o il riconoscimento facciale (Face ID), il dispositivo passa dallo stato BFU allo stato AFU.
Nella modalità AFU, il dispositivo iOS diventa completamente accessibile. Puoi utilizzare tutte le funzionalità del tuo dispositivo, comprese le app protette da password e l’accesso ai tuoi dati personali. Le app di terze parti possono essere eseguite normalmente, consentendo di sfruttare appieno tutte le potenzialità del tuo dispositivo iOS.

Differenze tra BFU e AFU

Ora che abbiamo compreso le modalità BFU e AFU su iOS, possiamo analizzare le differenze principali tra di esse.

1. Funzionalità limitate vs. Accesso completo: La differenza più evidente tra BFU e AFU è il livello di accesso e le funzionalità disponibili. Mentre BFU limita molte funzioni e restrizioni, AFU offre un accesso completo a tutte le funzionalità del dispositivo.
2. Protezione dei dati vs. Convenienza: La modalità BFU è progettata per proteggere i dati dell’utente in situazioni in cui il dispositivo viene perso o rubato. Durante questa modalità, i dati sono inaccessibili, offrendo una maggiore sicurezza. D’altro canto, AFU offre maggiore comodità all’utente, consentendo di accedere rapidamente ai propri dati.
3. Impatto sulle app di terze parti: Molti sviluppatori di app utilizzano le restrizioni BFU per proteggere i dati sensibili degli utenti. Ad esempio, un’app di messaggistica potrebbe richiedere l’autenticazione prima di mostrare i messaggi. Invece, una volta che il dispositivo è passato in modalità AFU, queste restrizioni vengono rimosse e le app possono funzionare senza limitazioni.

Sequestro iPhone o iPad

Come già accennato, nel caso in cui venisse sequestrato un iPhone oppure un iPad, è fondamentale, in particolar modo se il soggetto indagato al quale il dispositivo viene sequestrato non intenda collaborare con la consegna del codice di sblocco, mantenere l’iPhone in stato BFU. Per fare ciò, l’unico modo è quello di alimentare il dispositivo ed evitare che questo si spenga.

Dato che il dispositivo viene alimentato, questo potrebbe però continuare a dialogare con l’esterno, correndo il pericolo di un wipe/inizializzazione a distanza. Per tale motivo, oltre che a tenere alimentato il dispositivo, è fondamentale che quest’ultimo venga schermato dall’esterno: per fare ciò è necessario utilizzare una “Gabbia di Faraday“, disponibile sul mercato anche in comode buste schermate, come quella qui sopra riportata in foto.