День ото дня специалисты Apple работают над тем, чтобы осложнить жизнь эксперта-криминалиста. Усложняется работа с облаком iCloud, вводятся новые условия и ограничения. С выходом iOS 13.4 и macOS 10.15.4 работа экспертов станет ещё немного труднее. Посмотрим, что нового появилось в последних версиях операционных систем от Apple (и как изменилась при этом работа продуктов Элкомсофт).

iOS 13

Трудно сказать, когда это произошло, но iOS перестала синхронизировать информацию о звонках с облаком. В настоящий момент информация о звонках не синхронизируется между устройствами и не попадает в облачный сервис iCloud. В чём суть этой синхронизации? Мы писали о ней три года назад:

• iOS Call Syncing: How It Works
• iPhone User? Your Calls Go to iCloud

Неожиданное появление синхронизации данных о звонках вызвало волнение общественности и неоднозначную реакцию специалистов по безопасности. В ответ от Apple мы получили лишь стандартную отговорку. Тем удивительнее выглядит решение Apple отказаться от синхронизации звонков (кстати, есть ещё Continuity).

Есть и другая неоднозначная новость. Пользуетесь приложением Apple Maps? Данные Карт теперь хранятся в защищённом хранилище, использующем (по терминологии Apple) «сквозное шифрование». Аналогичным образом хранятся данные Связки ключей (пароли пользователей), Облачные сообщения (SMS, iMessage), данные приложений Здоровья и Экранного времени. Теперь этот список пополнился и данными Apple Maps. Соответственно, для их извлечения нужно будет ввести код блокировки экрана от одного из устройств пользователя, зарегистрированных в учётной записи.

К слову, о приложении Экранное время. Наши пользователи обратили внимание, что в приложении Elcomsoft Phone Breaker извлекается лишь небольшая часть данных Экранного времени – пароль, информация о семейном доступе, ограничения и так далее. При этом не извлекаются статистические данные об использовании устройств. Причина в том, что эти данные, похоже, не попадают в «облако», а синхронизация происходит напрямую между устройствами. Это можно проверить самостоятельно, активировав в настройках Экранного времени функцию Share across devices и просмотрев статистику сначала на оригинальном устройстве, а потом на одном из тех, куда данные синхронизировались. Удивительно, но данные будут разительно отличаться. Более того, многие пользователи жалуются на непредсказуемое поведение этой настройки: данные временами синхронизируются, временами – нет, а иногда пропадают вовсе:

• Screen Time not ready for Prime Time
• Screen Time Devices
• Multiple Devices in Screen Time?
• Phantom Screen Time Devices
• Parent / Child Screen Time Bug — Incorrect Device Name

Всё это может означать, что синхронизация напрямую работает не лучшим образом. Трудно сказать, где ошибка – в iOS 12/13 или в iCloud, но мы решили не тратить время на попытки извлечь эту информацию из облака. К слову, в iOS 13 информация, относящаяся к Экранному времени, защищена лучше, чем остальные данные: для доступа к ней недостаточно одних привилегий суперпользователя.

На днях вышла свежая бета-версия iOS 13.4.5; мы будем разбираться, какие изменения Apple внедрили в новую версию iOS.

macOS

Файлы lockdown используются для упрощения доступа к доверенным (ранее подключенным) устройствам под управлением iOS. Если такой файл был создан на компьютере, то при подключении к нему доверенного iPhone или iPad система не будет запрашивать код блокировки. В последней версии macOS доступ к файлам lockdown был ограничен.

Точнее, ограничен доступ был ещё раньше – с выходом macOS 10.12. В этой версии macOS для доступа к файлам lockdown необходимо было выполнить в терминале следующую команду:

sudo chmod 755 /private/var/db/lockdown

В последней версии macOS 10.15.4 этот способ работать перестал:

Можно ли обойти новое ограничение? Да, для этого достаточно просто отключить SIP (System Integrity Protection), загрузившись в режим Recovery (⌘+R во время загрузки), запустить Terminal и выполнить следующую команду:

csrutil disable

После перезагрузки доступ к папке lockdown будет восстановлен, и вы сможете произвести логическое извлечение данных из iPhone посредством iOS Forensic Toolkit.

iCloud

В облаке iCloud в очередной раз изменился механизм аутентификации. Он стал работать надёжнее? Нет. Безопаснее? Нет. Просто изменился. Не буду вдаваться в детали, опишу лишь изменения в механизме работы маркеров аутентификации в Elcomsoft Phone Breaker. Для начала рекомендую ознакомиться со статьёй Accessing iCloud With and Without a Password in 2019; ниже – об актуальном положении дел.

На системах с Windows токены (маркеры аутентификации), извлекаемые из приложения iCloud  for Windows 7.0 и более новых версий, работают исключительно для учётных записей без двухфакторной аутентификации. Такие токены могут быть использованы для доступа к очень ограниченному набору данных. Доступны следующие категории: iCloud Photos и некоторые синхронизированные данные (контакты, календари, заметки, история браузера Safari и некоторые другие, за исключением данных, защищённых «сквозным шифрованием» — Связка ключей, Здоровье, Экранное время, Облачные сообщения и карты Apple Maps). Что же касается резервных копий в iCloud, они доступны лишь для старых версий iOS до 11.2.

На системах с macOS ситуация несколько лучше. На версиях macOS от 10.13 до 10.15 можно получить такой же ограниченный токен для учётных записей без 2FA. Токены для учётных записей с 2FA привязаны к устройству, на котором они были созданы. В результате использовать такой токен в Elcomsoft Phone Breaker можно только в том случае, если наш продукт запускается на том самом компьютере Mac, на котором был создан токен. Объём данных, которые можно извлечь из iCloud (независимо от типа токена и учётной записи) совпадает с тем, что можно извлечь в Windows: некоторые категории синхронизированных данных и резервные копии iCloud для устройств с iOS до 11.2. Полноценные «отвязанные» токены для учётных записей с 2FA доступны только в macOS 10.12 и более старых.

Достаточно запутанно? Изложу вкратце:

• Токен аутентификации для учётных записей без 2FA можно получить всегда, на любой системе
• Для учётных записей с 2FA, токены из большинства современных систем с Windows совершенно бесполезны. Аналогичные токены, извлечённые из современных систем macOS, можно использовать только на том же самом компьютере.
• Токены позволяют доступ к ограниченному числу категорий данных в iCloud.

И последнее. Apple пытается обезопасить и учётные записи без двухфакторной аутентификации. Теперь такие учётные записи могут быть заблокированы после ввода единственного неправильного пароля.

Заключение

Для того, чтобы извлечь всю доступную в iCloud информацию, вам потребуются Apple ID и пароль пользователя, доступ к дополнительному фактору аутентификации, а также код блокировки экрана или системный пароль от одного из устройств пользователя. Если у вас под рукой вся необходимая информация, вы сможете извлечь из облака практически всё содержимое, включая некоторые данные, которые отсутствуют на самом устройстве. Обратите внимание: Elcomsoft Phone Breaker остаётся единственным продуктом на рынке, который работает со облачными данными для всех версий iOS (включая и 13.4.5), поддерпживает все методы двухфакторной аутентификации, и может извлечь все доступные в учётной записи пользователя данные от резервных копий до категорий, защищённых сквозным шифрованием.