Vendi il tuo iPhone? Ecco cosa il ripristino di fabbrica lascia indietro

TL;DR

Il ripristino di fabbrica su iPhone segna i blocchi di storage come disponibili ma non li sovrascrive. Foto, messaggi e file cancellati rimangono recuperabili dalla NAND flash finché il controller non recupera quei blocchi – un processo che i tool forensi possono forzare. iCloud Foto conserva una copia completa sui server Apple anche dopo aver cancellato il dispositivo. AppVault File Shredder sovrascrive i file nel vault con più passaggi di scrittura prima della cancellazione, e la checklist pre-vendita qui sotto copre ogni passo prima di cedere il telefono a un acquirente, un programma di permuta o un familiare.

Cosa fa realmente il ripristino di fabbrica

Tocca “Cancella contenuto e impostazioni” e iOS fa due cose: distrugge le chiavi di crittografia del filesystem e segna ogni blocco di storage come disponibile per il riutilizzo. I dati stessi – il testo cifrato nella NAND flash – restano lì fino a quando il controller di storage non scrive nuovi dati sopra.

Su iOS 15 e successivi, Apple ha riprogettato la gerarchia delle chiavi in modo che distruggere la chiave del filesystem renda il testo cifrato praticamente irrecuperabile senza quella chiave. È un miglioramento significativo. Ma “praticamente irrecuperabile” non è “fisicamente sparito”. I blocchi contengono ancora i vecchi dati. Un tool forense con accesso diretto alla NAND – come quelli usati da forze dell’ordine e laboratori di recupero dati – può leggere quei blocchi direttamente, bypassando completamente il filesystem.

Su iOS 14 e precedenti la situazione è peggiore. La gerarchia delle chiavi era meno granulare e scartare la chiave del filesystem lasciava accessibili più dati sottostanti. I dispositivi che hanno eseguito iOS 14 in qualsiasi momento della loro vita potrebbero avere dati residui in blocchi mai ricrittografati con lo schema più recente.

Il punto: il ripristino di fabbrica è una cancellazione logica, non fisica. Dice al sistema operativo che i blocchi sono vuoti. Non scrive zeri o dati casuali sopra il contenuto vecchio.

Cosa sopravvive nell’album Eliminati di recente

L’app Foto non elimina le immagini quando tocchi l’icona del cestino. Le sposta nell’album Eliminati di recente, dove restano per 30 giorni. Durante questa finestra, i file sono completamente intatti – stessa risoluzione, stessi metadati, stessi tag di posizione. L’utente può recuperarli con un tocco.

Il ripristino di fabbrica non cancella questo album. Il timer di 30 giorni è legato ai metadati del filesystem e, quando il ripristino distrugge le chiavi, il contenuto dell’album diventa inaccessibile all’app Foto – ma i dati sottostanti rimangono nei blocchi NAND. Se il dispositivo ha eseguito iOS 14 o precedenti, quei dati sono recuperabili con tool forensi.

Prima di vendere o permutare un iPhone, svuota manualmente l’album Eliminati di recente. Apri Foto, vai su Album, tocca Eliminati di recente, seleziona tutto ed elimina. Poi prosegui con il resto della checklist qui sotto.

iCloud Foto vive sui server Apple

Cancellare un iPhone rimuove la copia locale di ogni foto. Non fa nulla alla libreria iCloud Foto. Quella libreria vive sui server Apple, legata all’Apple ID, e si sincronizzerà su qualsiasi nuovo dispositivo con lo stesso account.

Questo crea due problemi per chi vende un iPhone.

Primo, se il venditore dimentica di disconnettersi da iCloud prima di cancellare, Activation Lock rimane attivo. Il nuovo proprietario non può impostare il telefono. Il venditore deve andare su appleid.apple.com, accedere e rimuovere manualmente il dispositivo dall’account. È un fastidio di supporto, non una fuga di dati – ma ritarda la vendita.

Secondo, se il venditore vuole eliminare la libreria iCloud Foto, è un’azione separata. Disconnettersi da iCloud blocca la sincronizzazione. Eliminare la libreria richiede di visitare iCloud.com o un altro dispositivo con lo stesso Apple ID e rimuovere le foto lì. Il passo “cancella tutto” sull’iPhone non fa nessuna di queste cose.

NAND flash e recupero forense

Ogni iPhone memorizza dati su chip NAND flash. La NAND flash lavora in pagine (tipicamente 4 KB) e blocchi (tipicamente 256 pagine). Le scritture avvengono a livello di pagina. Le cancellazioni a livello di blocco. Quando iOS cancella un file, segna le pagine come non valide ma non cancella il blocco. Il blocco resta sporco – pieno di vecchi dati – finché il processo di garbage collection del controller flash non lo recupera.

I tool forensi sfruttano questo. La forensica chip-off prevede di dissaldare il chip NAND e leggerlo direttamente con un programmatore. Questo bypassa completamente il filesystem iOS. Lo strumento legge ogni blocco, valido o no, e ricostruisce i file dai dati grezzi. Questa tecnica funziona su qualsiasi iPhone indipendentemente dalla versione iOS, purché i blocchi non siano stati sovrascritti.

I tool di estrazione logica come Cellebrite UFED e GrayKey operano a un livello superiore – comunicano con il filesystem iOS attraverso l’interfaccia di debug del dispositivo. Su iOS 14 e precedenti, questi tool possono recuperare foto, messaggi e dati di app cancellati da blocchi inutilizzati. Su iOS 15 e successivi, la gerarchia delle chiavi riprogettata rende la cosa più difficile, ma non impossibile se il dispositivo è sbloccato o lo strumento può sfruttare una vulnerabilità.

L’unica difesa sia contro l’estrazione chip-off che contro quella logica è la sovrascrittura fisica. Scrivi nuovi dati sopra i vecchi blocchi in modo che il contenuto originale sia sparito a livello hardware.

Cosa fa AppVault File Shredder

AppVault File Shredder sovrascrive i file del vault con più passaggi di scrittura prima di eliminarli. Il processo colpisce il testo cifrato archiviato nel sandbox dell’app – i file crittografati AES-256-GCM che AppVault memorizza per conto dell’utente.

Ecco la sequenza. L’utente seleziona i file da shreddare. AppVault apre ogni file e scrive dati casuali sulla sua intera lunghezza, ripetendo la scrittura su più passaggi. Poi elimina il file attraverso la normale chiamata al filesystem iOS. Il risultato: i blocchi NAND che contenevano il testo cifrato originale ora contengono dati casuali. Anche se un tool forense legge quei blocchi, trova i passaggi di sovrascrittura, non il contenuto crittografato originale.

Questo non protegge i file fuori dal sandbox dell’app. Le foto nel Rullino foto, i messaggi nell’app Messaggi, i dati di altre app – sono fuori dal controllo di AppVault. File Shredder è progettato per i file del vault: le foto e i documenti che l’utente ha importato in AppVault per l’archiviazione crittografata.

Per una sovrascrittura dell’intero dispositivo, l’utente deve comunque eseguire il ripristino di fabbrica. File Shredder chiude la falla per i file specifici che contano di più – quelli che l’utente ha spostato nel vault proprio perché non voleva che fossero recuperabili.

La checklist pre-vendita

Segui questa checklist in ordine prima di cedere l’iPhone a un acquirente, un programma di permuta o un familiare.

1. Svuota l’album Eliminati di recente. Apri Foto, vai su Album, tocca Eliminati di recente, seleziona tutto, elimina. Questo rimuove la finestra di recupero di 30 giorni per le foto nel Rullino foto.

2. Disconnettiti da iCloud. Impostazioni → [il tuo nome] → Disconnetti. Inserisci la password dell’Apple ID, scegli se conservare o rimuovere i dati locali (non importa – stai per cancellare tutto). Questo disattiva Activation Lock.

3. Disconnettiti da iMessage. Impostazioni → Messaggi → Invio e Ricezione → tocca l’Apple ID → Disconnetti. Questo impedisce al nuovo proprietario di ricevere messaggi indirizzati al tuo numero.

4. Rimuovi il dispositivo dal tuo Apple ID. Visita appleid.apple.com, accedi, vai su Dispositivi, seleziona l’iPhone e rimuovilo. È un passaggio di backup nel caso la disconnessione sul dispositivo non sia stata completata.

5. Esegui AppVault File Shredder. Apri AppVault, seleziona tutti i file del vault, esegui File Shredder. Questo sovrascrive i dati crittografati del vault con byte casuali prima della cancellazione. Se usi Decoy Vault, shredda anche i file decoy – il vault decoy è matematicamente indipendente e i suoi file occupano blocchi separati.

6. Cancella tutto il contenuto e le impostazioni. Impostazioni → Generali → Trasferisci o Reimposta iPhone → Cancella contenuto e impostazioni. Inserisci il codice, conferma la cancellazione. iOS distruggerà le chiavi del filesystem e si riavvierà alla schermata di configurazione.

7. Verifica la schermata di configurazione. Dopo la cancellazione, l’iPhone dovrebbe mostrare la schermata “Ciao” con opzioni linguistiche multiple. Se chiede un Apple ID e una password, Activation Lock è ancora attivo – torna al punto 2.

8. Rimuovi la SIM. Se l’iPhone usa una SIM fisica, espellila. Se usa eSIM, il processo di cancellazione dovrebbe rimuovere il profilo eSIM, ma verifica in Impostazioni → Cellulare che non rimangano piani.

Contro cosa questo non protegge

AppVault File Shredder sovrascrive i file all’interno del sandbox dell’app. Non sovrascrive il Rullino foto, il database di Messaggi, la cache di Mail o i dati di altre app. Per quelli, il ripristino di fabbrica è l’unico strumento – e come spiegato sopra, il ripristino di fabbrica è una cancellazione logica, non fisica.

Se l’iPhone ha eseguito iOS 14 o precedenti, dati residui del Rullino foto e di Messaggi potrebbero sopravvivere nei blocchi NAND anche dopo la cancellazione. Il rischio è più alto sui dispositivi che non sono mai stati aggiornati a iOS 15, o che hanno trascorso molto tempo su iOS 14 prima dell’aggiornamento.

I dati iCloud sono un modello di minaccia separato. Se le foto del venditore sono state sincronizzate su iCloud, quelle foto esistono sui server Apple indipendentemente da ciò che accade al dispositivo. Il venditore deve eliminare la libreria iCloud Foto separatamente, altrimenti le foto persisteranno nel cloud e si sincronizzeranno sul prossimo dispositivo con lo stesso Apple ID.

AppVault non effettua chiamate di rete per impostazione predefinita. Non ha sincronizzazione cloud, nessun account, nessuna telemetria. L’architettura zero-knowledge significa che AppVault non può vedere i file dell’utente e non può farli fuoriuscire. Ma questo significa anche che AppVault non può eliminare file da iCloud o da altre app sul dispositivo. L’ambito è il sandbox del vault.

Come questa pagina si differenzia dalla guida operativa

La guida correlata su /guides/wipe-photos-before-selling-iphone/ percorre gli stessi passi come un tutorial lineare – apri questo menu, tocca quel pulsante, conferma la cancellazione. È scritta per utenti che vogliono istruzioni da seguire sul telefono.

Questa pagina è scritta per utenti che vogliono capire il problema prima di agire. Perché il ripristino di fabbrica non è sufficiente. Cosa fa la NAND flash con i dati cancellati. Cosa iCloud mantiene sui suoi server. La checklist qui sopra è la stessa sequenza, ma il contesto qui è il modello di minaccia, non il percorso di tap.

Se sei pronto ad agire, la checklist è completa. Se vuoi capire perché ogni passo è importante, le sezioni sopra spiegano il meccanismo.

Perché AppVault per questo caso d’uso

AppVault archivia file con crittografia AES-256-GCM – nonce unico di 96 bit per file, derivazione della chiave PBKDF2-SHA256 a 600.000 iterazioni, vincolata all’hardware tramite il Secure Enclave dell’iPhone. Il catalogo del vault stesso è crittografato, quindi un attaccante con accesso alla NAND grezza non può nemmeno determinare quanti file esistono.

Il Calculator Launcher dà all’app un’interfaccia di calcolatrice iOS completamente funzionale con una scorciatoia a pressione prolungata del tasto ”=” per accedere al vault. Il Decoy Vault fornisce un secondo schema 5×5 che apre un catalogo separato e matematicamente indipendente. Entrambe le funzionalità sono progettate per gli scenari affrontati da questa pagina: cedere un dispositivo a qualcuno che potrebbe scorrere la libreria di app, o vendere un telefono a un acquirente che potrebbe esaminarne il contenuto.

File Shredder è la funzionalità che chiude la falla lasciata dal ripristino di fabbrica. Sovrascrivi i file del vault, poi cancella il dispositivo. L’acquirente riceve un iPhone pulito. Il venditore ha la certezza che il contenuto del vault sia sparito a livello hardware.

Per un confronto funzionalità per funzionalità con altre app vault, vedi AppVault vs Keepsafe e AppVault vs Vaultaire.

Fonti

• NIST SP 800-88 Rev. 1: Linee guida per la sanificazione dei supporti
• Guida alla sicurezza della piattaforma Apple: Panoramica della protezione dei dati
• Supporto Apple: Cosa fare prima di vendere, regalare o permutare il tuo iPhone
• NIST FIPS 197: Advanced Encryption Standard