GUIDE: Iphone och Applesäkerhet

DEL 1
INTRODUKTION
Denna guide är framtagen av mig i syfte hjälpa människor att förstärka säkerheten och öka motståndskraften mot intrång från myndigheter i deras mobiler och andra Apple-enheter. Jag gör inte anspråk på att guiden är komplett på något sätt, men följer du dessa rekommendationer kommer dina enheter vara betydligt svårare att komma åt för utomstående än tidigare. Har ni synpunkter på något, eller ser att jag missat något får ni gärna skriva det här, eller skicka PM.



INSTÄLLNINGAR FÖR IOS

Lösenord
Lösenord ska vara långt. Minst 12 tecken och bestå av såväl stora och små bokstäver samt siffror och specialtecken. För att lättare kunna memorera ett lösenord går det att skapa lösenord som går att uttala utan att de är riktiga ord. Det är också viktigt att lösenordet för din telefon en unikt och inte används till något annat.

Face-ID och Fingeravtryck: AV
Även om detta är smidigt och förenklar din tillvaro bör du stänga av möjligheten att låsa upp din telefon med Face-ID och fingeravtryck. Detta då polisen numera har möjlighet att med våld tvinga dig låsa upp din telefon. Detta gäller dock enbart biometriska lösenord, dvs inte traditionella lösenord.

Avancerat dataskydd: PÅ
Medför att merparten av din data inte går att dekryptera av Apple då krypteringsnyckeln endast sparas på din telefon/betrodda enheter och inte av Apple. Det som ändå kan lämnas ut är telefonkontakter, kalenderuppgifter och e-post.

ICloud säkerhetskopia: AV
Är avancerat dataskydd inaktiverat blir tjänstenyckeln för iCloud-säkerhetskopiering säkerhetskopierad till iCloud Hardware Security Modules i Apples datacenter som en del av datakategorin available-after-authentication. För användare som slår på Avancerat dataskydd för iCloud skyddas tjänstenycken för iCloud-säkerhetskopiering med kryptering och är endast tillgänglig för användare på deras betrodda enheter.

Kom åt iCloud-data på webben: AV
Om du aktiverat avancerat dataskydd kommer denna inställning automatiskt sättas till AV. Datan såsom filer, bilder och annat kommer således endast gå att se från dina betrodda enheter. Vissa personliga data som Apple lagrar och som är kopplade till ditt Apple-ID – inklusive Apple ID-information, transaktionshistorik, supporthistorik och mer – är fortfarande tillgängliga för dig via privacy.apple.com, oavsett din webbåtkomst eller dataskyddsinställningar.

Radera Data: PÅ
Denna inställning gör att telefonen kommer raderas automatiskt om någon misslyckas slå in rätt kod 10 gånger. Viktigt för att försvåra för en forensisker att knäcka lösenordet.

Tillåt åtkomst från låst skärm - Tillbehör: AV
Under inställningarna för Face ID och lösenord finns det en inställning som kort och gott kallas "Tillbehör". Denna ska avaktiveras. Om denna är aktiverad kan tillbehör som du tidigare anslutit till låsa upp din telefon. Exempelvis kan en forensiker koppla in din telefon i din bils CarPlay utan att behöva ange din kod, och således få tillgång till både dina kontakter och meddelande samt massa annan data.

Tillåt åtkomst från låst skärm - Vyn idag och Sök: AV
Denna bör stängas av. Om den inte är avstängd kan vem som använda mobilens sökfunktion (om än en väldigt begränsad sådan), se vilka appar du har installerade. Det går också att se dina widgetar, så om du exempelvis använder en widget för att visa din kalender kommer denna gå att se för vem som helst.

Kräv Lösenord: Direkt
Ganska självförklarande, men innebär att när du trycker på låsknappen så blir telefonen låst direkt.

Verifiering av kontaktnyckel: PÅ
Ett sätt att verifiera är att du kommunicerar med rätt person. Du kan dela din publika kontaktnyckel i sociala medier eller på andra ställen för att personer som skriver till dig ska vara mer säkra på att det är dig de skriver med. Samma sak gäller det omvända. Du kan använda andras publika kontaktnycklar för att minska risken för att känsliga meddelanden skickas till fel person.

Lockdown Mode: Valfritt
När Lockdown Mode är aktiverat kommer vissa appar och funktioner att fungera annorlunda på din enhet. Meddelanden kommer att blockera de flesta typer av bilagor förutom vissa bilder, videor och ljud, och funktioner som länkar och länkförhandsvisningar kommer att vara otillgängliga. Webbsurfning kan bli långsammare och vissa webbplatser kanske inte fungerar korrekt på grund av blockering av komplexa webbteknologier. Inkommande FaceTime-samtal och inbjudningar till Apple-tjänster blockeras om du inte tidigare har kontaktat personen. Platsdata exkluderas när du delar foton och delade album tas bort från appen Bilder. För att ansluta din enhet till ett tillbehör eller en annan dator måste enheten låsas upp. Enheten ansluter inte automatiskt till osäkra Wi-Fi-nätverk och 2G-stöd stängs av. Konfigurationsprofiler kan inte installeras och enheten kan inte registreras i Mobile Device Management eller enhetsövervakning i Lockdown Mode. Telefonsamtal och textmeddelanden fortsätter att fungera och nödfunktioner påverkas inte. Detta betyder att du förvisso förstärker din säkerhet, men också att telefonen inte kommer vara så smidigt att använda till annat än ringa och skicka meddelanden på. Vill du ha maximal säkerhet aktiverar du detta på bekostnad av funktionalitet.

DEL 2

ÖVRIGA ENHETER

Datorer
Om du äger flera Apple produkter är det viktigt att skyddet för alla dessa är starkt då varje enhet är en s.k betrodd enhet och har du svag säkerhet på exempelvis en MacBook med tillgång till ditt iCloud spelar det inte något roll hur väl du skyddar din iPhone. Har du aktiverat FileVault på din MacBook kan alla användare på datorn låsa upp hårddisken så se till att du litar fullt ut på alla med konto på datorn, och att lösenorden för alla konton är starka.

Apple Watch
Även här är det avgörande att du har ett långt och avancerat lösenord. Du måste också säkerställa att du stänger av möjligheten att låsa upp andra Apple enheter med din klocka. Då all data på iCloud inte går att komma åt direkt i klockan, exempelvis bilder/filmer som du inte aktivt gjort tillgängliga för klockan går det ändå att läsa meddelanden/anteckningar och e-post direkt i klockan. Även appar du laddat hem till din telefon installeras på klockan. Har du en krypterad meddelande-app finns det således risk att denna app och de meddelanden som finns sparade går att läsa av den som har tillgång till din klocka. Se därför till att inte ha appar du absolut inte behöver på din klocka, och stäng av funktionen att installera appar automatiskt på klockan.

Apple-TV
En Apple-tv är väldigt dåligt skyddad då du kan starta den helt utan lösenord. Bäst är om du använder ett separat iCloud-konto för TVn, men ett annat alternativ är såklart att stänga av funktionen där din Apple-tv kan se dina iCloud bilder.

Din oskyddade Windows 11 dator
Har du en dator med annat operativsystem hemma är det möjligt att du valt att installera iCloud på den, eller att du loggat in på iCloud i webbläsaren vid något tillfälle. Har du gjort det kommer i princip allt övrigt arbete du lagt ned för att skydda dig vara tillintetgjort. En dator med Windows har förvisso relativt hög säkerhet mot att bli utsatt från intrång utifrån, men med fysiskt tillgång till datorn är det mycket enklare för en forensiker att få tillgång till information, exempelvis sparade lösenord och annat känsligt material. En god ide är därför att helt enkelt inte synka sitt iCloud med sin oskyddade Windows 11-dator, eller ens logga in på sitt Apple-konto i webbläsaren. Självklart kan du kraftigt förstärka skyddet genom kryptering, men det är ett helt kapitel för sig, och ligger utanför denna guide.

Säker radering av hårddiskar
Mekaniska hårddiskar blir mer och mer ovanliga idag. Dessa raderas säkert genom att skrivas över flera gånger. Dagens SSD/M.2 diskar är tyvärr inte lika enkla att radera säkert. Det du kan göra är att använda ett verktyg som finns i de flesta BIOS som brukar kallas något i stil med ”Secure Erase”. Något liknande finns mig veterligen inte på datorer från Apple. Det du kan göra är att fysiskt flytta över disken till din stationära dator (ej apple) och köra ”Secure Erase” på den från BIOS. Krypterar du en SSD/M.2 disk idag som du tidigare haft känslig data på är risken stor att polisen lyckas återskapa denna data även om du krypterar hårddisken under förutsättning att du inte raderar disken på ett säkert sätt innan du krypterar den.

DEL 3

ANNAT ATT TÄNKA PÅ

Uppdatera dina enheter
Så självklart att det inte borde behövas skrivas, men även om Apple-användare generellt är ganska duktiga på att hålla sina enheter uppdaterade saknas det inte exempel på motsatsen. Slå på automatiska uppdateringar i inställningar, men förlita dig inte blint på detta, utan använd 30 sekunder av din dyrbara tid per dag och kolla manuellt om det finns några uppdateringar och uppdatera i så fall dessa.

Lösenordsskydda anteckningar
Anteckningar du är rädd om bör lösenordsskydda. Denna funktion finns inbyggd i appen anteckningar.

Slå inte in lösenordet i kassan på Ica
Slå aldrig in ditt lösenord när det finns en hög risk att du blir övervakad. Detta gäller även om det inte är myndigheter som övervakar dig, exempelvis i butiker. Att slå in sitt lösenord två meter från en kamera innebär en teoretisk risk att polisen begär ut och granska övervakningsfilmen från butiken. Jag skriver teoretiskt risk, då jag faktiskt inte känner till något fall där detta har hänt, men det torde vara ett rimligt antagande att polisen använder denna möjlighet vid misstanke om allvarlig brottslighet.

För att underlätta att exempelvis betala med telefonen kan du låta Face-ID eller fingeravtryck låsa upp Apple Pay.

Klicka inte på misstänkta länkar
Också ganska självklart, men trots detta saknas det inte exempel på människor som fallit offer och blivit hackade efter att ha klickat på någon länk i ett meddelande. Har du fått en länk av någon du litar på kan du ringa personen för att säkerställa att det är vederbörande som skickat länken, och att den är legitim. Vill du vara extra säker kan du välja att öppna länken i en isolerad miljö på datorn, istället för i telefonen.

BFU/AFU
En annan sak att känna till är att forensiker har mycket svårare att låsa upp en mobiltelefon eller annan enhet om den är avslagen när de tar den. Läget på en avslagen enhet kallas för BFU och står för ”Before first use” och läget för en påslagen men låst telefon kallas för AFU som står för ”After first use”. Du måste dock ha öppnat telefonen minst en gång för den ska vara i AFU läge.

En telefon eller annan enhet som är påslagen med låst lagrar en del information i minnet, och denna information kan under vissa omständigheter extraheras och läsas av en forensisker. Se därför till att hålla dina enheter avslagna när du inte använder dem, och blir du föremål för exempelvis husrannsakan bör du försöka stänga av din mobiltelefon som första åtgärd.

Befogenheter för dina appar
Det är också extremt viktigt att stänga av befogenheter för appar att spåra och kartlägga dig i så stor utsträckning det är möjligt. Platstjänster bör vara avstängt eller endast tillåtas medan du använder en app som måste ha tillgång till din plats.

Webbsurfning
När du surfar på telefonen bör du göra det med en VPN-tjänst du litar på och besöker du sidor du inte vill någon ska känna till ska du se till att göra detta i privat flik, och då inte vara inloggad på ditt Google- eller Facebook konto samtidigt. Privat flik skyddar dig primärt inte mot att webbplatsen kartlägger dig, utan är snarare att se som ett visst skydd mot att den som har tillgång till din mobil kan se vilka platser du surfar på. Var också noga med att inte avslöja din IP-adress genom att exempelvis logga in på någon myndighet med bank-id samtidigt som du besöker sidor eller gör saker som du inte vill ska bli känt för utomstående. Detta gäller även om du använder VPN, och ska du göra något utan att myndigheterna ska kunna knyta IP-adressen till dig ska du byta VPN-server till en ny innan du klickar Hail Mary i Armitage mot den lokala ridklubben.

Krypterad kommunikation
När du kommunicerar med andra och delar med dig, eller tar del av känslig information ska detta självklart ske krypterat. Skickas meddelanden mellan två iPhones via den inbyggd meddelande-appen sker detta redan krypterat, men om du exempelvis skickar eller tar emot meddelande från en Androidmobil kommer dessa gå att läsa i klartext av polisen. Använd därför en app med end-to-end kryptering för all känslig kommunikation. Tänk dock på att den du kommunicerar med också utgör en säkerhetsrisk om vederbörande slarvar med säkerheten.

Värt att nämna att det inte rekommenderas att skapa sina egna lösenord i huvudet.

Lösenord behöver vara randomgenererade av en dator med stora datamängder.

Rekommenderar att man kollar upp Diceware om man vill skapa långa och säkra lösenord som enkelt kan kommas ihåg.

Byt från Fysiskt simkort till E-Sim
Om din iPhone stödjer det
Blir lite svårare för en tjuv då den inte bara kan ta ut sim-kortet så Hitta Min iPhone slutar fungera.

Tycker inte man ska stänga av FaceID eller Fingeravtrycks läsaren bara för att Polisen kan tvinga en att använda dom.
Bättre det än att en tjuv ser en knappa in upplåsnings koden innan han snor den.

MacOS är ok, då det är relativt öppet. iPhone bör man slänga om man bryr sig det minsta om säkerhet. Apple's säkerhet som bygger på att förvägra telefonägarna full access till telefonen, är så kallad "security by obscurity" där man försöker sopa saker under mattan snarare än att vara öppna och transparanta. Man tillåter t.ex inte access för 3e parts /ai baserade säkerhetsverktyg på iOS.

Apple toppar dessutom sin icke-transparens med en långsamhet och ignorans för att rulla ut patchar, som gör att Apple helt diskvalificerar sig för den säkerhetsmedvetne.

MacOS är knappast öppet. Visst du kan installera vilka program du vill i princip, men samtidigt finns det inget som tvingar dessa in i en sandbox såsom det är på ChromeOS eller mobiler.


Det enda vettiga alternativet för smartphonesäkerhet är ju GrapheneOS på en Pixel 8 eller nyare. Det är så gott som helst open source. Pixel 8 och nyare har ARMv9 och kör MTE på så gott som allt.

Sanna vägen mot säkerhet är hårdvarusäkerhet. Det är mycket svårare att komma förbi för mjukvara. Och MTE höjer ribban från "By med negrer i Afrika" till "Civiliserad stad" när det gäller hårdvarusäkerhet.