iPhone inviolabile: l’FBI bloccato dalla modalità Lockdown di Apple
L’FBI non è riuscita ad accedere all’iPhone sequestrato alla giornalista del Washington Post Hannah Natanson perché il dispositivo era protetto dal Lockdown Mode o Modalità isolamento, una modalità di sicurezza avanzata spesso sottovalutata che rafforza in modo significativo le difese di iPhone. Lo rivelano recenti documenti depositati in Tribunale, che offrono uno sguardo raro sull’efficacia reale della funzione, almeno nelle prime fasi di un’analisi forense, e mostrano quali dispositivi e dati gli investigatori sono riusciti a esaminare e quali invece sono rimasti inaccessibili.
Il caso nasce da un’indagine sulle fughe di informazioni classificate legate all’appaltatore governativo Aurelio Perez‑Lugones, accusato tra le altre cose di detenzione non autorizzata di informazioni sulla difesa nazionale. Secondo il governo, Perez‑Lugones sarebbe stato una fonte della giornalista, fornendole materiale riservato. Durante l’esecuzione di un mandato sul telefono dell’uomo, gli investigatori avevano già esaminato messaggi Signal scambiati tra lui e Natanson, come dichiarato in precedenza dal Dipartimento di Giustizia. Successivamente, le autorità hanno ottenuto mandati per perquisire abitazione, veicolo e persona della reporter con l’obiettivo di sequestrare i dispositivi elettronici, includendo anche la possibilità legale di sbloccarli tramite impronte digitali o riconoscimento facciale qualora fossero stati attivi i sistemi biometrici.
Durante la perquisizione nella casa della giornalista, gli agenti hanno trovato un MacBook Pro argentato spento, un iPhone 13, un registratore audio marchiato Handy e un hard disk portatile Seagate. L’iPhone, però, era acceso e in carica, e sul display compariva chiaramente l’indicazione che il dispositivo era in Modalità isolamento. Nei documenti ufficiali si legge che proprio per questo motivo il CART, l’unità di analisi forense digitale dell’FBI, non è riuscito a estrarre i dati dal telefono. Il fascicolo, depositato circa due settimane dopo il blitz, suggerisce che in quel periodo gli investigatori non siano stati in grado di accedere al dispositivo.
Apple promuove il Lockdown Mode principalmente come protezione contro spyware sofisticati, come quelli sviluppati da società come NSO Group e venduti a Governi e agenzie di intelligence “autoritari”. La modalità riduce drasticamente la superficie d’attacco limitando alcune funzioni di iOS: blocca la maggior parte degli allegati nei messaggi, modifica il caricamento delle pagine web e impedisce chiamate FaceTime da contatti non recenti. Un elemento meno noto riguarda le connessioni fisiche: per collegare iPhone o iPad ad accessori o computer, il dispositivo deve essere sbloccato e autorizzato esplicitamente. Proprio su questo meccanismo si basano strumenti forensi come Graykey e Cellebrite, utilizzati dalle forze dell’ordine per accedere ai telefoni tramite connessione fisica, un processo che il Lockdown Mode rende significativamente più difficile.
