امنیت و مقاوم‌سازی iOS

اگرچه سیستم‌عامل iOS به دلیل معماری «باغ محصور» (Walled Garden) و سیستم فایل رمزگذاری‌شده، به عنوان یک سیستم‌عامل امن شناخته می‌شود، اما نفوذناپذیر نیست. برای کاربران ایرانی، مدل تهدید شامل مواردی نظیر مصادره فیزیکی دستگاه توسط نیروهای امنیتی (بسیج/سپاه)، بازگشایی اجباری قفل با بیومتریک، جاسوس‌افزارهای هدفمند (مانند پگاسوس) و شنود در سطح شبکه است.

این راهنما بر کاهش «سطح حمله» (Attack Surface) در آیفون یا آیپد شما، جلوگیری از دسترسی غیرمجاز در زمان توقیف دستگاه، و به حداقل رساندن نشت داده‌ها به اپل یا اشخاص ثالث تمرکز دارد.

---

۱. امنیت هسته سیستم

به‌روزرسانی فوری

آسیب‌پذیری‌های iOS به طور مکرر کشف شده و برای استقرار جاسوس‌افزارها به بازیگران دولتی فروخته می‌شوند. به‌روز نبودن سیستم‌عامل، بزرگ‌ترین ریسک امنیتی است.

• اقدام: به مسیر Settings > General > Software Update بروید.
• پیکربندی: گزینه Automatic Updates را برای بخش "Security Responses & System Files" فعال کنید.
• دستگاه‌های قدیمی: اگر دستگاه شما دیگر به‌روزرسانی‌های امنیتی را دریافت نمی‌کند (مانند آیفون ۷ یا قدیمی‌تر)، استفاده از آن برای فعالیت‌های حساس ناامن است.

حالت قرنطینه یا Lockdown Mode (حیاتی برای کاربران پرخطر)

این قابلیت که در iOS 16 معرفی شد، مؤثرترین دفاع در برابر اکسپلویت‌های جاسوسی «بدون کلیک» (Zero-click) است که اغلب توسط شرکت‌هایی مانند NSO Group علیه فعالان استفاده می‌شود.

• عملکرد: مسدود کردن اکثر پیوست‌های پیام، غیرفعال کردن پیش‌نمایش لینک‌ها، مسدود کردن تماس‌های ورودی FaceTime از افراد ناشناس و غیرفعال کردن فناوری‌های پیچیده وب.
• نحوه فعال‌سازی: مسیر Settings > Privacy & Security > Lockdown Mode.
• توصیه: اگر فعال مدنی یا روزنامه‌نگار در ایران هستید، این حالت را همیشه روشن نگه دارید.

رمزهای عبور قوی‌تر (غیرفعال کردن ۴ یا ۶ رقم)

ابزارهای جرم‌شناسی دیجیتال که توسط نهادهای امنیتی استفاده می‌شوند (مانند GrayKey یا Cellebrite)، می‌توانند کدهای عددی ۴ یا ۶ رقمی را نسبتاً سریع با روش «جستجوی فراگیر» (Brute-force) پیدا کنند.

• اقدام: مسیر Settings > Face ID & Passcode > Change Passcode.
• انتخاب: گزینه Passcode Options > Custom Alphanumeric Code.
• راهنما: یک عبارت عبور (Passphrase) بسازید که حداقل ۱۰ کاراکتر داشته باشد و ترکیبی از حروف و اعداد باشد.
  • بد: 135790, tehran123
  • خوب: Blue-Sky-Azadi-99!

امنیت بیومتریک (FaceID/TouchID)

در ایران، نیروهای امنیتی اغلب بازداشت‌شدگان را مجبور می‌کنند تا با نگاه کردن به گوشی، قفل آن را باز کنند.

• توصیه: در شرایط پرخطر (اعتراضات، عبور از مرز)، بیومتریک را کاملاً غیرفعال کنید و تنها به رمز عبور حروف و اعداد خود متکی باشید.
• SOS اضطراری (دکمه وحشت): اگر پلیس به شما نزدیک می‌شود و فرصت تغییر تنظیمات را ندارید، به سرعت دکمه کناری (Power) و یکی از دکمه‌های صدا را نگه‌دارید (یا دکمه پاور را ۵ بار سریع فشار دهید) تا اسلایدر خاموش کردن ظاهر شود. این کار فوراً FaceID را غیرفعال کرده و برای بازگشایی، ورود رمز عبور را اجباری می‌کند.

محافظت از دستگاه سرقت‌شده (Stolen Device Protection)

این قابلیت لایه‌ای از امنیت را اضافه می‌کند برای زمانی که دستگاه شما در حالت باز دزدیده شده یا سارق رمز عبور شما را دیده است.

• اقدام: مسیر Settings > Face ID & Passcode > Stolen Device Protection.
• تنظیم روی: Always (توجه: پیش‌فرض روی "Away from Familiar Locations" است، اما اگر خانه شما مورد یورش قرار گیرد، گزینه "Always" امن‌تر است).

---

۲. اتصالات و مقاوم‌سازی شبکه

کاهش انتشار امواج رادیویی از ردیابی از طریق «گیرنده‌های IMSI» (Stingrays) جلوگیری کرده و مانع از ثبت ترافیک توسط هات‌اسپات‌های وای‌فای مخرب می‌شود.

غیرفعال‌سازی صحیح «اتصال خودکار»، وای‌فای و بلوتوث

مرکز کنترل (Control Center - کشیدن صفحه به پایین) وای‌فای یا بلوتوث را به طور کامل خاموش نمی‌کند؛ تنها اتصال فعلی را قطع می‌کند. رادیوها برای ردیابی فعال باقی می‌مانند.

• اقدام: هنگام حرکت در مناطق پرخطر، وای‌فای و بلوتوث را از طریق برنامه Settings خاموش کنید، نه از طریق کنترل سنتر.
• حریم خصوصی وای‌فای: مسیر Settings > Wi-Fi > [Information Icon] > Private Wi-Fi Address را روی Fixed یا Rotating تنظیم کنید. این کار از ردیابی از طریق آدرس MAC جلوگیری می‌کند.

ایردراپ (AirDrop) و نشت نام دستگاه

محققان نشان داده‌اند که AirDrop می‌تواند شماره تلفن و هَش‌هایی که هویت کاربر را مشخص می‌کنند نشت دهد؛ مقامات می‌توانند از این روش برای شناسایی معترضان در جمعیت استفاده کنند.

• اقدام: مسیر Settings > General > AirDrop > Receiving Off.
• نام دستگاه: نام دستگاه خود را به یک نام عمومی (مثلاً "iPhone") تغییر دهید: Settings > General > About > Name. از نام واقعی خود استفاده نکنید.

حالت محدودیت USB (USB Restricted Mode)

این قابلیت مانع از اتصال ابزارهای جرم‌شناسی به دستگاه از طریق پورت شارژ می‌شود، در صورتی که بیش از یک ساعت از قفل شدن دستگاه گذشته باشد.

• اقدام: مسیر Settings > Face ID & Passcode. به پایین اسکرول کنید تا به بخش "Allow Access When Locked" برسید و مطمئن شوید گزینه Accessories روی OFF باشد.

---

۳. آی‌کلاد و رمزنگاری داده‌ها

به‌صورت پیش‌فرض، اپل کلیدهای رمزنگاری نسخه پشتیبان آی‌کلاد شما را در اختیار دارد. در صورت ارائه حکم قضایی (یا هک شدن حساب)، اپل می‌تواند داده‌های شما را رمزگشایی کند. شما باید کنترل کلیدها را در دست بگیرید.

محافظت پیشرفته از داده‌ها (ADP)

این مهم‌ترین تنظیم ابری است. این قابلیت رمزنگاری سرتاسری (E2EE) را برای نسخه‌های پشتیبان آی‌کلاد، عکس‌ها، یادداشت‌ها و درایو پیاده‌سازی می‌کند. حتی اپل هم نمی‌تواند به داده‌های شما دسترسی داشته باشد.

• اقدام: مسیر Settings > [Your Name] > iCloud > Advanced Data Protection > Turn On.
• الزامات: شما نیاز به یک رابط بازیابی (Recovery Contact) یا یک کلید بازیابی (Recovery Key) خواهید داشت (این کلید را یادداشت کرده و در جای امنی مخفی کنید). اگر این کلید را گم کنید، داده‌های شما برای همیشه از دست خواهد رفت.

نسخه‌های پشتیبان رمزگذاری شده محلی

با توجه به اینترنت کند و سانسور شده در ایران و ریسک تحلیل متادیتای ابری:

• توصیه: پشتیبان‌گیری آی‌کلاد (iCloud Backup) را کاملاً غیرفعال کنید. در عوض، با استفاده از کابل از آیفون خود روی کامپیوتر (مک یا ویندوز) نسخه پشتیبان بگیرید.
• حیاتی: هنگام پشتیبان‌گیری، گزینه "Encrypt local backup" را انتخاب کرده و یک رمز عبور قوی تنظیم کنید. این کار فایل را روی کامپیوتر شما رمزگذاری می‌کند تا اگر کامپیوتر توقیف شد، نسخه پشتیبان غیرقابل خواندن باقی بماند.

ردیابی آیفون (Find My iPhone)

• مزایا: قفل فعال‌سازی (Activation Lock) مانع از آن می‌شود که سارق/مأمور گوشی را پاک‌سازی و مجدداً بفروشد.
• معایب: اگر گوشی شما مصادره شود، حتی در صورت خاموش بودن (در مدل‌های جدیدتر) موقعیت مکانی خود را پخش می‌کند.
• نتیجه‌گیری: برای محافظت در برابر سرقت فعال نگه دارید، اما آگاه باشید که گوشی مصادره شده در اداره پلیس، موقعیت خود را سیگنال می‌دهد.

---

۴. حریم خصوصی برنامه‌ها و مجوزها

خدمات موقعیت مکانی (Location Services)

دسترسی به موقعیت مکانی را به‌شدت محدود کنید.

• اقدام: مسیر Settings > Privacy & Security > Location Services.
• خدمات سیستم: به پایین صفحه بروید > System Services. موارد زیر را خاموش (OFF) کنید:
  • Significant Locations (مسیرهای روزانه شما را ردیابی می‌کند).
  • iPhone Analytics.
  • Routing & Traffic.
  • Location-Based Suggestions.

دسترسی به تصاویر

هرگز دسترسی کامل (Full Access) به برنامه‌هایی مانند اینستاگرام یا تلگرام ندهید، مگر اینکه کاملاً ضروری باشد.

• اقدام: مجوزها را روی "Limited Access" یا "None" تنظیم کنید.
• متادیتا: هنگام اشتراک‌گذاری عکس‌ها، روی "Options" در بالای منوی اشتراک‌گذاری ضربه بزنید و Location را خاموش کنید.

امنیت صفحه‌کلید

صفحه‌کلیدهای شخص ثالث (مانند Gboard و غیره) می‌توانند ضربات کلید را مخابره کنند.

• توصیه: از صفحه‌کلید استاندارد iOS استفاده کنید. اگر نیاز به کیبورد سفارشی دارید، مجوز "Full Access" آن را در تنظیمات لغو کنید، هرچند ممکن است برخی قابلیت‌ها از کار بیفتند.

---

۵. اینترنت و مرورگر (سافاری)

مقاوم‌سازی سافاری (Safari Hardening)

• مسیر Settings > Apps > Safari:
  • Search Engine Suggestions: خاموش.
  • Preload Top Hit: خاموش (جلوگیری از اتصالات پس‌زمینه).
  • Prevent Cross-Site Tracking: روشن.
  • Hide IP Address: روی From Trackers.
  • Fraudulent Website Warning: خاموش. (توجه: این قابلیت URLهای بازدید شده را برای بررسی به گوگل/اپل می‌فرستد. در زمینه حریم خصوصی، برای جلوگیری از نشت URL بهتر است غیرفعال شود).

هشدار نشت VPN

سیستم‌عامل iOS دارای یک نقص معماری شناخته شده است که در آن برخی ترافیک‌های اختصاصی اپل (مانند نوتیفیکیشن‌ها، نقشه‌ها و غیره) ممکن است تونل VPN فعال را دور بزنند.

• کاهش ریسک: در iOS جیلبریک نشده راه‌حل کاملی وجود ندارد. همیشه از یک VPN معتبر با قابلیت "Kill Switch" فعال استفاده کنید، اما فرض را بر این بگذارید که سرویس‌های اپل همچنان ممکن است IP واقعی شما را ببینند.

---

۶. امنیت عملیاتی (OpSec) برای اعتراضات

اگر در تظاهرات شرکت می‌کنید یا احتمال بازداشت می‌دهید:

وضعیت "BFU" (قبل از اولین بازگشایی)

امن‌ترین حالت برای آیفون، بلافاصله پس از ریستارت و قبل از وارد کردن رمز عبور است. در این حالت، کلیدهای رمزنگاری از حافظه تخلیه شده‌اند.

• اقدام: اگر در خطر بازداشت قریب‌الوقوع هستید، گوشی خود را خاموش کنید.
• دلیل: ابزارهای جرم‌شناسی برای استخراج داده از دستگاهی که در حالت BFU است، نسبت به حالت "بعد از اولین بازگشایی" (AFU) کار بسیار سخت‌تری دارند.

سیری (Siri) و کنترل صوتی

دستیارهای صوتی ممکن است به‌طور تصادفی یا توسط دشمن فعال شوند.

• اقدام: مسیر Settings > Siri & Search. گزینه‌های "Listen for..."، "Press Side Button for Siri" و "Allow Siri When Locked" را خاموش کنید.

پیش‌نمایش اعلان‌ها

جلوگیری از خواندن کدهای تأیید دو مرحله‌ای (2FA) یا پیام‌های سیگنال توسط مأموران از روی صفحه قفل.

• اقدام: مسیر Settings > Notifications > Show Previews را روی When Unlocked (یا Never) تنظیم کنید.

---

۷. بررسی جاسوس‌افزارها (جرم‌شناسی)

اگر شک دارید دستگاه شما توسط جاسوس‌افزارهای پیشرفته آلوده شده است (مثلاً روزنامه‌نگار شناخته‌شده‌ای هستید که لینک‌های SMS عجیب دریافت می‌کنید):

1. تهیه لاگ (Sysdiagnose): با نگه‌داشتن هم‌زمان دکمه‌های پاور + ولوم بالا + ولوم پایین تا زمانی که لرزشی احساس کنید (حدود ۰.۵ ثانیه) یک گزارش لاگ ایجاد کنید. ۱۰ دقیقه صبر کنید.
2. اسکن خارجی: با استفاده از کامپیوتر و ابزار MVT (Mobile Verification Toolkit) متعلق به عفو بین‌الملل یا نرم‌افزار iMazing (که از MVT استفاده می‌کند)، نسخه پشتیبان یا لاگ‌ها را برای یافتن «شاخص‌های نفوذ» (IOCs) اسکن کنید.
3. هشدار: این ابزارها کامل نیستند. اگر هدف جاسوس‌افزار دولتی هستید، امن‌ترین کار این است که فوراً استفاده از دستگاه را متوقف کنید و به سراغ گوشی و اپل آیدی جدید بروید.

---

چک‌لیست خلاصه

1. سیستم‌عامل به آخرین نسخه به‌روزرسانی شد.
2. حالت قرنطینه (Lockdown Mode) فعال شد.
3. رمز عبور به حروف و اعداد (۱۰+ کاراکتر) تغییر کرد.
4. فیس‌آیدی (FaceID) غیرفعال شد (یا تریگر SOS تمرین شد).
5. محافظت پیشرفته داده‌ها (ADP) برای آی‌کلاد فعال شد.
6. ایردراپ (AirDrop) روی "Receiving Off" تنظیم شد.
7. دسترسی لوازم جانبی (Accessories) در صفحه قفل غیرفعال شد.
8. اعلان‌ها در صفحه قفل مخفی شدند.