FBI ไม่สามารถปลดล็อก iPhone ของนักข่าว Washington Post ได้เพราะเปิดใช้งาน ‘Lockdown Mode’

 (404media.co)
1 คะแนน โดย GN⁺ 2026-02-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • iPhone ที่เปิดใช้งาน Lockdown Mode ทำให้ FBI ไม่สามารถทำการวิเคราะห์ทางนิติวิทยาศาสตร์ดิจิทัลกับอุปกรณ์ของนักข่าวที่ยึดมาได้ ตามที่เอกสารศาลเปิดเผย
  • iPhone ของนักข่าว Washington Post เปิดเครื่องอยู่ในตอนที่ถูกยึด แต่ไม่สามารถดึงข้อมูลได้เพราะ Lockdown Mode
  • เอกสารของรัฐบาลระบุชัดว่า Computer Analysis Response Team(CART) ของ FBI ไม่สามารถดึงข้อมูลจาก iPhone เครื่องดังกล่าวได้
  • เดิมที Lockdown Mode ถูกออกแบบมาเพื่อ ป้องกันสปายแวร์แบบเจาะจงเป้าหมายระดับสูง แต่ก็ยืนยันได้ว่ามันมีผลในการจำกัดการเข้าถึงทางนิติวิทยาศาสตร์แบบกายภาพด้วย
  • เป็นกรณีที่แสดงให้เห็นว่าฟีเจอร์ความปลอดภัยขั้นสูงของ Apple สามารถขัดขวางการเข้าถึงข้อมูลดิจิทัลของหน่วยงานสืบสวนได้ และสะท้อน การแข่งขันระหว่างการเสริมความปลอดภัยบนอุปกรณ์พกพากับงานนิติวิทยาศาสตร์ของหน่วยงานสืบสวน

ภาพรวมของเหตุการณ์

  • บ้านของ Hannah Natanson นักข่าว Washington Post ถูก FBI เข้าตรวจค้นและยึดอุปกรณ์ในเดือนมกราคม 2026 ในฐานะส่วนหนึ่งของ การสืบสวนคดีการรั่วไหลของข้อมูลลับ
  • การสืบสวนเชื่อมโยงกับข้อกล่าวหาว่าผู้รับเหมาของรัฐบาล Aurelio Perez-Lugones ครอบครองและส่งต่อข้อมูลลับ
  • รัฐบาลมองว่า Perez-Lugones เป็น แหล่งข่าวที่ให้ข้อมูลลับ แก่ Natanson

อุปกรณ์ที่ถูกยึดและผลการเข้าถึง

  • อุปกรณ์ที่ถูกยึดมี iPhone 13, MacBook Pro 2 เครื่อง, ฮาร์ดไดรฟ์ภายนอก, เครื่องบันทึกเสียง เป็นต้น
  • iPhone เปิดเครื่องอยู่และกำลังชาร์จ โดยบนหน้าจอมีข้อความ ‘Lockdown Mode’
  • เอกสารศาลระบุว่า “CART ไม่สามารถดึงข้อมูลจาก iPhone เครื่องดังกล่าวได้เพราะ Lockdown Mode”
  • หลังการยึด FBI ยังไม่สามารถเข้าถึง iPhone ได้เป็นเวลากว่า 2 สัปดาห์

ความหมายทางเทคนิคของ Lockdown Mode

  • Lockdown Mode จำกัดสิ่งต่าง ๆ เช่น ไฟล์แนบในข้อความ, การเรนเดอร์เว็บ, การเชื่อมต่อ FaceTime เพื่อ ลดพื้นผิวการโจมตีของ iOS ให้เหลือน้อยที่สุด
  • เมื่อต่อเชื่อมกับอุปกรณ์ภายนอก จะ ต้องปลดล็อกเครื่องก่อนเสมอ
  • จึงบล็อก ช่องทางการเข้าถึงหลักของเครื่องมือนิติวิทยาศาสตร์ที่อาศัยการเชื่อมต่อทางกายภาพ เช่น Graykey และ Cellebrite
  • CEO ของบริษัทดิจิทัลฟอเรนสิก Garrett Discovery กล่าวว่า “เทคนิคการสืบสวนขั้นสูงจำนวนมากถูก Lockdown Mode ขัดขวาง”

การยืนยันตัวตนด้วยชีวมิติและการบังคับปลดล็อกตามกฎหมาย

  • หมายค้นระบุ อำนาจในการบังคับใช้ลายนิ้วมือหรือการจดจำใบหน้าเพื่อปลดล็อก ไว้ด้วย
  • Natanson ไม่ได้ใช้การยืนยันตัวตนด้วยชีวมิติบน iPhone และ ในสถานะ Lockdown Mode ก็ไม่สามารถแม้แต่จะลองวิธีนี้ได้
  • อย่างไรก็ตาม MacBook Pro เครื่องที่สอง ปลดล็อกสำเร็จด้วยการสแกนลายนิ้วมือ

ข้อมูลที่เข้าถึงได้

  • FBI ได้ข้อมูล ภาพถ่ายและบันทึกเสียงของบทสนทนาในแอป Signal จาก MacBook Pro ที่ปลดล็อกได้
  • แต่แม้กับโน้ตบุ๊กเครื่องนั้น ก็ยัง ไม่สามารถทำ full physical image ได้ครบทั้งเครื่อง

การแข่งขันด้านความปลอดภัยระหว่างหน่วยงานสืบสวนกับแพลตฟอร์ม

  • มีรายงานว่าในปี 2024 Apple ได้เปลี่ยนแปลงให้ iPhone รีบูตอัตโนมัติเมื่อไม่ได้ใช้งานเป็นเวลานาน
  • สิ่งนี้ทำให้อุปกรณ์เข้าสู่สถานะ BFU(Before First Unlock) และเพิ่มความยากในการทำฟอเรนสิก
  • กรณีนี้จึงถูกบันทึกเป็น ตัวอย่างที่การยกระดับความปลอดภัยซอฟต์แวร์ส่งผลจริงในภาคสนามของการสืบสวน

จุดยืนอย่างเป็นทางการ

  • Apple และ Washington Post ไม่ได้ตอบคำขอให้แสดงความเห็น
  • FBI ปฏิเสธที่จะแสดงความเห็นอย่างเป็นทางการ ในกรณีนี้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-05
ความคิดเห็นจาก Hacker News
  • ลิงก์เก็บถาวรของบทความต้นฉบับ
  • ควรจำไว้ว่า Touch ID อาจถูกบังคับให้ใช้ได้ แต่ไม่สามารถบังคับให้เปิดเผย รหัสผ่าน ได้
    ตาม ทวีตที่เกี่ยวข้อง FBI ได้เข้าถึงข้อความ Signal บน MacBook สำหรับงานของนักข่าว Hannah Natanson โดยใช้ Touch ID เนื่องจากโน้ตบุ๊กอนุญาตการยืนยันตัวตนด้วย Touch ID จึงสามารถบังคับให้ปลดล็อกได้ตามกฎหมาย
    • มีการแชร์ ลิงก์มิเรอร์ของ Twitter ด้วย เพราะไม่ต้องการสนับสนุนแพลตฟอร์มที่มหาเศรษฐีบางคนเป็นเจ้าของโดยตรง
    • คำสั่งตั้งค่าโหมดพักของ MacBook ที่เคยมีคนแนะนำในประเด็นอื่นก่อนหน้านี้ก็ช่วยในกรณีนี้ได้เช่นกัน
      ดู ลิงก์คำอธิบาย โน้ตบุ๊กจะเขียน RAM ลงดิสก์และตัดไฟทั้งหมดเมื่อปิดฝาหรือเข้าสู่โหมดพัก แม้จะกลับมาใช้งานได้ช้าลง แต่จะไม่อนุญาตให้ยืนยันตัวตนด้วยลายนิ้วมือในการปลดล็อกครั้งแรก ทำให้คง ความปลอดภัยระดับ cold boot เอาไว้ได้
    • หากไม่ยอมให้รหัสผ่าน อาจถูกคุมขังในข้อหา ละเมิดอำนาจศาล (contempt) ได้นานสูงสุด 18 เดือน
      กรณีที่เกี่ยวข้อง
    • สิทธิ ของเราไม่ใช่กฎธรรมชาติ แต่เป็นสิ่งที่ต้องต่อสู้เพื่อให้รัฐบาลเคารพ
    • สงสัยว่า ความรู้ว่าใช้นิ้วไหน ได้รับการคุ้มครองมากพอๆ กับรหัสผ่านหรือไม่
      หน่วยงานบังคับใช้กฎหมายอาจบังคับให้เอานิ้วแตะได้ทางกายภาพ แต่เราน่าจะมีสิทธิ์ปฏิเสธการเปิดเผยว่านิ้วไหนถูกต้อง หากลองผิดหลายครั้งอุปกรณ์จะล็อกและต้องป้อนรหัสผ่าน ดังนั้นฉันเลยล้อเล่นว่าน่าจะใช้ จมูกสุนัข ของฉันแทนดีกว่า
  • Lockdown Mode ของ Apple ทำให้หงุดหงิดเพราะเป็นแบบ ‘ทั้งหมดหรือไม่เอาเลย’ มากเกินไป
    อยากเปิดแค่บางฟีเจอร์เท่านั้น เช่น บล็อก FaceTime จากคนแปลกหน้า ปิดตัวอย่างลิงก์ หรือบล็อกการเชื่อมต่ออุปกรณ์ภายนอกขณะล็อกเครื่อง แต่ไม่ต้องการข้อจำกัดที่เหลือ ถ้าสามารถสลับเปิดปิดตัวเลือกย่อยทีละอย่างได้ก็คงดี
    ตัวอย่างเช่น การปิด JavaScript JIT ส่งผลเสียต่อประสิทธิภาพเว็บและแบตเตอรี่ อีกทั้งยังบล็อกอัลบั้มที่แชร์และการติดตั้งฟอนต์แบบกำหนดเอง การไม่มี การตั้งค่าความปลอดภัยแบบละเอียด แบบนี้กลับทำให้ความปลอดภัยอ่อนแอลง
    • ฉันก็เห็นด้วยเรื่องข้อจำกัดของ อัลบั้มที่แชร์ เปิด Lockdown Mode ไว้แล้วเพิ่งมารู้ทีหลังว่าไม่สามารถดูอัลบั้มครอบครัวได้ ต้องปิดชั่วคราว แชร์รูป แล้วค่อยเปิดกลับ
      อีกอย่าง คำขอ Screen Time ก็ไม่ทำงาน มีการแจ้งเตือนขึ้นมาแต่ตอบสนองไม่ได้
      เข้าใจเหตุผลที่ Apple ออกแบบให้เป็นทั้งหมดหรือไม่เอาเลย — ถ้ายอมให้มีการตั้งค่าที่เสี่ยงแม้เพียงอย่างเดียว โมเดลความปลอดภัยทั้งหมดก็จะพัง
      แต่ความไม่สะดวกที่สุดคือเวลาเกิดปัญหา เราไม่รู้ว่าสาเหตุมาจาก Lockdown Mode หรือไม่ จึงต้องคอยปิดๆ เปิดๆ อยู่บ่อยครั้ง
    • หมายความว่าใน Lockdown Mode ก็ยัง เปลี่ยนโปรไฟล์ ไม่ได้ โปรไฟล์เดิมจะยังคงอยู่
    • อัลบั้มครอบครัว ใช้งานได้แม้อยู่ใน Lockdown Mode และยังสามารถยกเลิกข้อจำกัดเว็บเป็นรายแอปหรือรายเว็บไซต์ได้ด้วย
    • การ ปิด JavaScript JIT ในเบราว์เซอร์กลับเป็นฟีเจอร์ที่สอนว่า “การท่องเว็บบนสมาร์ตโฟนเดิมทีก็เป็นไอเดียที่ไม่ดีอยู่แล้ว”
  • น่าเสียดายที่ แอป Signal บนเดสก์ท็อป ของนักข่าวถูกเจาะ เดสก์ท็อปเวอร์ชันเปราะบางกว่ามากเมื่อโน้ตบุ๊กตกอยู่ในมือผู้โจมตี
    • มีคนขอให้อธิบายให้ชัดเจนว่าทำไม Signal บนเดสก์ท็อปถึงปลอดภัยน้อยกว่า
    • ถ้าไม่ได้ตั้งให้ข้อความสำคัญ ลบอัตโนมัติ ก็แทบไม่ต่างจาก SMS ธรรมดา
    • สำหรับนักข่าวระดับนี้ เดิมคิดว่าน่าจะรักษา สุขอนามัยด้านความปลอดภัย ขั้นพื้นฐานไว้อยู่แล้ว หวังว่าเหตุการณ์นี้จะเป็นสัญญาณเตือนให้นักข่าวคนอื่นๆ
    • ข้อสรุปในบทความดูน่าสงสัย ไม่แน่ใจว่าเปิด iPhone ไม่ได้จริง หรือว่ามีข้อมูลที่ต้องการครบแล้วจาก การซิงก์ iCloud หากได้โน้ตบุ๊กไปแล้ว ก็น่าจะมีทั้ง iMessage บันทึกการโทร และข้อมูล iCloud อยู่ครบ เลยสงสัยว่าทำไมยังต้องพุ่งเป้าไปที่โทรศัพท์อีก
    • ยังสงสัยด้วยว่า BitLocker หรือ FileVault ถูกเจาะหรือไม่ หรือเป็นการเข้าถึงในขณะที่เครื่องบูตอยู่แล้ว
  • ถ้า Lockdown Mode เป็นสิ่งที่ขวางไว้ได้ ก็ชวนสงสัยว่าหมายความว่าในค่าความปลอดภัยระดับต่ำกว่า รัฐบาลสามารถเจาะเข้าไปได้ หรือไม่
    เราสามารถใช้ Advanced Data Protection เพื่อปกป้องข้อมูล iCloud ด้วย E2EE ได้ และถึงจะบังคับให้ปลดล็อกด้วย Face ID ได้ แต่หาก กดปุ่มเปิด/ปิด 5 ครั้ง เพื่อสลับเป็นโหมด PIN ก็ไม่สามารถบังคับได้ตามกฎหมาย
    ถ้า Lockdown Mode เป็นตัวที่บล็อกไว้ แปลว่ารัฐบาลมี zero-day ที่ใช้ไม่ได้ในโหมด PIN อยู่หรือเปล่า?
    • สิ่งที่รัฐบาลใช้ส่วนใหญ่คือสปายแวร์อย่าง Pegasus ของ NSO Group
    • ใช่
  • นักข่าวบอกว่า “ไม่ใช้การสแกนลายนิ้วมือ” แต่พอเจ้าหน้าที่เอานิ้วไปแตะแล้วโน้ตบุ๊กกลับปลดล็อกได้ จุดนี้เลย น่าสงสัย
    • น่าจะเคยตั้งค่าไว้เมื่อนานมาแล้วแล้วลืมไป หรืออาจลงทะเบียนไว้ตอนตั้งค่าเครื่องครั้งแรก
    • ถ้าเป็นแบบนั้นจริง งั้นก็คงเคยลงทะเบียนไว้ในอดีต? ยังสงสัยว่ามันจำลายนิ้วมือได้อย่างไร
    • ก็มีคอมเมนต์ถามกลับเหมือนกันว่าทำไมถึงมองว่าน่าสงสัย
    • ถ้าไม่ได้ลงทะเบียนลายนิ้วมือไว้แต่แรก ก็ไม่มีทางสแกนติดได้ ต่อให้เซนเซอร์ผิดพลาด โดยพื้นฐานแล้วก็ไม่ควรปลดล็อก
  • ถ้อยคำที่ว่า “Lockdown Mode เป็นฟีเจอร์ที่ทำให้การแฮ็กยากขึ้น” ฟังดูน่าสนใจ
    เมื่อฟีเจอร์คือการปิดฟีเจอร์อื่น ก็เลยอดคิดไม่ได้ว่าน่าจะเรียกว่า การตั้งค่า (setting) มากกว่า
    ผู้ใช้ iPhone ส่วนใหญ่มักไม่เปลี่ยนค่าตั้งต้น และเหตุผลที่ Google จ่ายเงินหลายพันล้านดอลลาร์ให้ Apple ก็เพราะค่าค้นหาเริ่มต้นนี่เอง
    Lockdown Mode ไม่ได้เป็นค่าเริ่มต้น และแทบไม่มีใครใช้
    หากโหมดนี้ทำให้ iPhone ปลอดภัยขึ้นจริง ก็แปลว่าค่าตั้งต้นกลับเป็นสิ่งที่ ทำให้ถูกแฮ็กได้ง่ายขึ้น
    • Lockdown Mode เป็นฟีเจอร์ป้องกันสำหรับคนกลุ่มเล็ก เช่น นักข่าวหรือผู้เคลื่อนไหวด้านสิทธิมนุษยชน ที่อาจตกเป็นเป้าของการโจมตีแบบ Pegasus
      การบล็อกไฟล์แนบในข้อความ บล็อก FaceTime จากคนไม่รู้จัก และจำกัดความสามารถของ Safari นั้นสร้างความไม่สะดวกให้ผู้ใช้ทั่วไปมาก
      เพราะฉะนั้นการตั้งให้เป็นค่าเริ่มต้นจึงไม่สมจริง และก็ไม่ได้ช่วยเรื่องความปลอดภัยของผู้ใช้ทั่วไปมากนัก
    • การลดพื้นผิวการโจมตีอาจหมายถึงการ ลดการเก็บข้อมูลและการติดตามโฆษณา ไปพร้อมกัน ซึ่งอาจกระทบรายได้ของ Apple
      นี่อาจเป็นอีกเหตุผลที่มันไม่ได้ถูกตั้งเป็นค่าเริ่มต้น
  • ในบางภูมิภาค Face ID ปลอดภัยกว่าลายนิ้วมือ เพราะจะไม่ปลดล็อกเมื่อหลับตา
    ในบางประเทศของยุโรป อาจอนุญาตให้บังคับเอานิ้วแตะได้ แต่การบังคับให้ลืมตาถือว่าผิดกฎหมาย
    • แต่ก็มีคนแย้งว่าเคย เห็น Face ID ทำงานกับใบหน้าของคนนอนหลับจริงๆ
  • การต้องเปิด Lockdown Mode ทั้งหมดเพียงเพื่อป้องกันการเชื่อมต่ออุปกรณ์ภายนอกถือว่า ไม่มีประสิทธิภาพ
    ฉันไม่เคยเชื่อม iPhone เข้ากับอะไรนอกจากแหล่งจ่ายไฟ
    ถ้ามี “โหมดป้องกันอุปกรณ์เสริมภายนอก” แยกต่างหาก ฉันจะเปิดทันที แต่ Apple กลับเตือนว่า “อุปกรณ์จะทำงานไม่เหมือนปกติ”
    • ตั้งแต่ iOS 26 เป็นต้นไป สามารถตั้งค่าใน Privacy & Security > Wired Accessories ให้ถามทุกครั้งว่าจะอนุญาตการเข้าถึงเมื่อมีการเชื่อมต่ออุปกรณ์ใหม่หรือไม่
    • GrapheneOS โดยค่าเริ่มต้นจะอนุญาตเฉพาะการจ่ายไฟเมื่ออยู่ในสถานะล็อก และด้วยการตัดการทำงานระดับฮาร์ดแวร์จึงมีภูมิคุ้มกันต่อเครื่องมือโจมตีผ่าน USB อย่างสมบูรณ์
    • ที่จริงแล้วตั้งแต่ปี 2014 ใครๆ ก็ทำแบบนี้ได้ด้วยฟีเจอร์ Pair Lock/Supervise
      ดู บทความปี 2014 และ คู่มือล่าสุด
    • เส้นทางการตั้งค่าคือ Settings > Privacy & Security > Wired Accessories และสามารถกำหนดให้ถามทุกครั้งเมื่อเชื่อมต่ออุปกรณ์เสริมใหม่ได้
    • ปัญหาใหญ่ที่สุดคือการไม่มีการตั้งค่าความปลอดภัยแบบละเอียดทำให้ผู้ใช้ ยอมทิ้งความปลอดภัย ไปเลย