Мы неоднократно писали о паролях, защищающих резервные копии iPhone, об их важности и о том, что резервные копии — ключ к логическому анализу смартфона. Множество разрозненных публикаций не всегда удобны для чтения и восприятия. В этой статье мы собрали самую важную и самую актуальную информацию о том, что можно сделать с паролем в различных обстоятельствах. Мы также отобрали ряд практических советов и рекомендаций, которые позволят эффективно справляться с парольной защитой.

Возможные сценарии

Есть два типичных сценария, в которых неизвестный пароль от резервной копии iPhone может иметь значение.

Если вы — работник правоохранительных органов или независимый эксперт, то вы можете столкнуться с ситуацией, когда iPhone подозреваемого вроде бы доступен (код блокировки не установлен или известен), но установленный на резервную копию пароль мешает извлечению данных и проведению экспертизы. Если вы пользуетесь пакетом программ для анализа iPhone, то, возможно, вы уже увидели окно с предложением взломать пароль. Не спешите это делать: возможно, есть другие способы добраться до хранящейся в устройстве информации!

Если же вы — пользователь iPhone, то вам может потребоваться перенести данные с одного телефона на другой или восстановить старое устройство после сброса к заводским настройкам. Трудно придумать более неприятную ситуацию, чем неизвестный или забытый пароль на уже созданной резервной копии! Если вы установили пароль и успешно его забыли, то восстановить аппарат из такой резервной копии не получится. Возможно, вам будет доступно восстановление из облачной резервной копии в iCloud, но рассмотрение этого варианта выходит за рамки данной статьи.

Рекомендуем статью, опубликованную Apple — «Зашифрованные резервные копии на iPhone, iPad или iPod touch». Мы также можем порекомендовать наш собственный текст (увы, на английском) — The Most Unusual Things about iPhone Backups. Здесь же мы расскажем о некоторых практических аспектах того, о чём две упомянутые статьи рассказывают лишь в теории.

Как извлечь оригинальный пароль

Для извлечения данных нет ничего лучше того самого пароля, который когда-то был установлен на резервную копию. У нас есть хорошая новость: если вы пользователь Mac (или в вашем распоряжении есть компьютер пользователя под управлением macOS), то вероятность, что резервный пароль хранится в связке ключей macOS, очень и очень высока. Все, что вам нужно, это пароль от Mac. Windows? К сожалению, нет.

Требуемое ПО: Keychain Acccess (бесплатно; встроено в macOS)

Взломать!

Взлом пароля — наша основная специализация. Но даже мы признаём, что попытка взлома пароля к резервной копии iPhone, работающих под хотя бы относительно свежей сборкой iOS — занятие с крайне туманными перспективами. Начиная с iOS 10.2, защита паролей такова, что скорость перебора даже с использованием дорогостоящих аппаратных ускорителей и самых мощных видеокарт не превышает нескольких десятков (в лучшем случае — сотен) паролей в секунду. С такой скоростью можно взломать лишь самые слабые пароли, которые встречаются крайне редко. Ещё один вариант — использование словаря, составленного из известных паролей того же пользователя. А вот смысла в атаке методом полного перебора, увы, мало.

Требуемое ПО: hashcat (бесплатно) или Elcomsoft Phone Breaker

Сбросить!

С выходом iOS 11 появилась возможность сброса пароля резервного копирования непосредственно с устройства iPhone (разумеется, экран телефона при этом должен быть разблокирован). Эта опция по-прежнему доступна в iOS 13 и текущих бета-версиях iOS 14, поэтому, вероятно, она останется и в будущем. Последовательность действий предельно проста (как описано в Apple HT205220, упомянутом выше):

Просто игнорировать

Каким бы странным ни был этот совет, в некоторых случаях пароль на резервную копию можно действительно просто проигнорировать. В каких случаях стратегия «не делать ничего» является не только самое простой, но и самой эффективной?

Во-первых, если всё, что вам нужно от устройства — это архив фотографий и видеороликов, то пароль для резервного копирования вам не нужен. Для доступа к фотографиям используется совершенно независимый протокол, никак не связанный с протоколом создания резервных копий и паролем от них. Вы можете извлечь из телефон фото и и видео независимо от того, установлен пароль или нет. Мы часто получаем запросы о помощи в извлечении фотографий (разумеется, о резервном копировании важнейших и уникальных данных речь если и заходит, то в контексте «конечно-конечно, как-нибудь обязательно»). Довольно часто фотографии (с данными о местоположении) — это всё, что нужно экспертам-криминалистам.

Во-вторых, для некоторых моделей iPhone и версий iOS (в настоящее время до iOS 13.5 на iPhone Xr/Xs/11 и для всех версий iOS на старых моделях) вы можете извлечь значительно больше данных, чем попадает в резервные копии, и пароль резервного копирования вам для этого не потребуется. Данные извлекаются непосредственно из файловой системы устройства, а не в формате резервной копии. Да, эти данные нельзя будет использовать для восстановления другого устройства, но и делать это вам вряд ли потребуется. В данном случае — «шашечки или ехать?»

И последнее, но не менее важное: иногда вы сможете извлечь исходный пароль от резервной копии из самого устройства (а точнее — из его Связки ключей) в дополнение к образу файловой системы. Трудно сказать, есть ли в этом какая-то дополнительная ценность по сравнению с извлечением собственно файловой системы (в которой в любом случае содержится значительно больше данных). Иногда такой пароль можно попробовать использовать для извлечения данных из более старой резервной копии, которая может содержать некоторые удалённые файлы.

Требуемое ПО: Elcomsoft iOS Forensic Toolkit

Заключение

Как мы видим, даже если пароль неизвестен, существует несколько вариантов доступа к данным. Обязательно изучите все возможности и их последствия для того, чтобы взвесить риски и выбрать наиболее безопасный и эффективный метод для конкретного случая.