В прошлом году мы разработали новый способ извлечения данных из iPhone, не требующий взлома устройства через джейлбрейк. Обладающий массой достоинств метод не обошёлся без недостатка: для его работы требовалось зарегистрировать учётную запись Apple ID в платной программе Apple для разработчиков. Очередное обновление iOS Forensic Toolkit для Mac снимает это ограничение, позволяя использовать обычные учётные записи для установки агента-экстрактора и извлечения данных из iPhone.

Доступ к файловой системе и Связке ключей на iPhone невозможен без эскалации привилегий. В ранних версиях iOS Forensic Toolkit требовалось взломать телефон, установив на него джейлбрейк. Наша новая разработка, агент-экстрактор, стала отличной альтернативой: благодаря его использованию у экспертов появилась возможность извлекать данные из iPhone без джейлбрейка. Агент-экстрактор демонстрирует высокую скорость, надёжность и совместимость. В бочке мёда не обошлось и без ложки дёгтя: для установки агента эксперт должен был зарегистрировать Apple ID в платной программе Apple для разработчиков.

В обновлённой версии iOS Forensic Toolkit для Mac используется новый способ, позволяющий устанавливать агента-экстрактора на устройства под управлением iOS без обязательной регистрации в программе для разработчиков. Новый способ работает только с компьютеров под управлением macOS, и поддерживается исключительно в версии iOS Forensic Toolkit для Mac. Пользователям редакции для Windows по-прежнему доступна только работа с учётной записью для разработчиков; в качестве опции этот режим остался доступен и для пользователей редакции для Mac.

Учётная запись Apple ID для установки сторонних приложений

Компания Apple отличается цепким контролем над всей экосистемой iOS. Вся экосистема построена таким образом, что платить Apple должны все. Пользователи — покупкой устройств Apple и подписок. Разработчики — покупкой техники Apple, без которой невозможно запустить инструменты для разработки; оплатой самих инструментов для разработки, ежегодной оплатой участия в программе Apple для разработчиков и отдельно — оплатой подписки на право подавать заявки на публикацию приложений в App Store (отдельно отметим, что обязательства опубликовать поданное на рассмотрение приложение Apple на себя не берёт).

Идиллию нарушало сообщество пользователей джейлбрейков. Взлом iPhone и использование стороннего магазина приложений позволяло устанавливать программы, не одобренные модераторами Apple. Для тех, кто не хотел взламывать свой iPhone, существовала альтернатива: при помощи Cydia Impactor и подобных программ было возможно установить на телефон приложение и пользоваться им в течение семи дней. Необходимая для установки и запуска приложения цифровая подпись легитимно запрашивалась с сервера Apple; для запроса было достаточно использовать самую обычную учётную запись Apple ID.

С точки зрения Apple неделя без плотной опеки — это слишком много. В ноябре 2019 компания изменила политику одобрения цифровых подписей, в результате чего установка сторонних приложений при помощи Cydia Impactor стала невозможной. Saurik, разработчик Cydia Impactor, писал об этом в Twitter. С тех пор установка сторонних приложений стала возможна только при условии оплаты подписки на участие в программе Apple для разработчиков. Однако не всё так просто. Одновременно с блокировкой цифровых подписей «обычных» учётных записей у частных лиц начались проблемы и с регистрацией в программе для разработчиков. Установка сторонних приложений на iPhone без джейлбрейка стала сложным процессом, результат которого не гарантирован.

Извлечение данных и учётные записи для разработчиков

Подписка на участие в программе для разработчиков стоит недорого. Откровенно говоря, её стоимость — единицы процентов от стоимости программного обеспечения для анализа iPhone. Использование учётной записи разработчика для загрузки агента-экстрактора имеет ощутимые преимущества по сравнению с использованием обычного или анонимного (одноразового) идентификатора Apple ID. О преимуществах таких учётных записей говорится и в нашей статье. Только такие учётные записи позволяют обходить проверку сертификата цифровой подписи на iPhone, которая в противном случае потребовала бы выхода в глобальную сеть для связи с сервером Apple со всеми вытекающими из этого факта рисками и последствиями.

Несмотря на все преимущества, заметное число экспертов предпочитает не пользоваться учётными записями разработчика. Более того, регистрация в программе для разработчиков стала неоправданно сложной: Apple часто отказывает в регистрации без объяснения причин. В конце концов нам пришлось разработать решение, позволяющее использовать обычные или одноразовые Apple ID для подписи агента-экстрактора. К сожалению, наше решение работает только на компьютерах Mac. Обойти это ограничение на данном этапе технически невозможно.

Совместимость и ограничения метода

Для того, чтобы воспользоваться новым методом загрузки агента-экстрактора, вам необходима обычная (или одноразовая) учётная запись Apple ID с активированной двухфакторной аутентификацией (на данный момент все новые учётные записи создаются уже с ней). Вам также потребуется доступ к компьютеру под управлением macOS. Разумеется, нужен iPhone, из которого будут извлекаться данные, и кабель Lightning, посредством которого телефон будет подключён к компьютеру.

В список совместимых моделей входят iPhone iPhone 5s … 11 Pro Max под управлением iOS 9.0 … 13.5.

Вам также понадобится компьютер под управлением macOS 10.12 (Sierra) … 10.15 (Catalina). Необходима версия iOS Forensic Toolkit для Mac 6.50 или более новая.

В сравнении с использованием учётной записи для разработчика извлечение с обычным Apple ID имеет ряд ограничений.

1. Полученная цифровая подпись действительна в течение 7 дней. Постарайтесь завершить извлечение до того, как она истечёт.
2. Обычные Apple ID можно использовать для подписи ограниченного числа устройств (на данный момент — трёх). Использование одноразовых Apple ID поможет решить проблему.
3. Вам потребуется пройти двухфакторную аутентификацию. Код двухфакторной аутентификации будет отправлен непосредственно на доверенное устройство (получить код через SMS не представляется возможным), поэтому вам нужно будет иметь такое устройство под рукой. Впрочем, код не потребуется, если Mac уже является доверенным (привязанным к Apple ID, который вы собираетесь использовать).
4. Необходимо пройти проверку (верификацию) сертификата цифровой подписи на iPhone, из которого вы собираетесь извлечь данные. Для этого телефон придётся подключить к интернет. Ознакомьтесь с инструкцией, которая позволит уменьшить связанные с этим риски.

Последовательность шагов

Обратите внимание: при анализе iPhone с использованием обычного Apple ID настройте ограничения на доступ в сеть согласно инструкции Извлечение данных из iPhone: ограничение сетевых подключений.

• Скачайте последнюю сборку Elcomsoft iOS Forensic Toolkit.
• Установите инструментарий согласно инструкции How to Install and Run iOS Forensic Toolkit on a Mac.
• Запустите iOS Forensic Toolkit.
• Введите команду 1 для установки агента-экстрактора на телефон. Введите логин и пароль используемого Apple ID, после чего введите одноразовый код двухфакторной аутентификации (код доставляется на доверенное устройство — iPhone, iPad или Mac).
• Верифицируйте сертификат цифровой подписи на iPhone. Для этого устройству понадобится доступ к сети. После подтверждения сертификата запустите приложение-агента, коснувшись его иконки.
• Введите команду 2 для извлечения и расшифровки Связки ключей
• Введите команду 3 для извлечения образа файловой системы
• Введите команду 4 для удаления агента-экстрактора с телефона

Настоятельно рекомендуем извлечь как Связку ключей, так и файловую систему, так как содержимое Связки ключей может использоваться для расшифровки данных некоторых приложений (например, облачных резервных копий WhatsApp, данных Signal и т.д.). Образ файловой системы можно проанализировать в программе Elcomsoft Phone Viewer или аналогичном продукте.

Заключение

В ноябре 2019 года произошли изменения, введённые Apple для более плотного контроля за установкой приложений из сторонних источников. В результате этих изменений перестал работать вариант установки сторонних приложений на устройства под управлением iOS, в котором для подписи исполняемого файла использовался обычный, чаще всего – одноразовый идентификатор Apple ID. Единственным доступным способом установки агента-экстрактора стала регистрация в программе Apple для разработчиков, участие в которой не бесплатно, процесс регистрации – сложен, а результат – не гарантирован. Нам удалось обойти введённые компанией ограничения, но только в версии для компьютеров Mac. Пользователям редакции для Windows по-прежнему необходима регистрация в программе Apple для разработчиков.