При анализе iPhone и других устройств под управлением вариаций iOS используется несколько способов извлечения данных. Образ файловой системы — наиболее полный из них. Однако для извлечения файловой системы нужно получить низкоуровневый доступ к устройству, который чаще всего реализуется установкой джейлбрейка. В то же время использование джейлбрейка не всегда допустимо и может быть рискованным. Есть ли причины использовать джейлбрейк для извлечения данных с устройств Apple, и какие существуют альтернативы?

Во времена iPhone 4 в джейлбрейках не было необходимости. Всегда можно было снять идеально точный образ устройства, даже если оно было заблокировано. В большинстве случаев можно было легко взломать код блокировки и расшифровать большую часть данных, даже не зная пароль. Более того: в те времена сама компания Apple официально сотрудничала с органами охраны правопорядка.

Ситуация изменилась с выходом iPhone 5s, в котором добавился аппаратный сопроцессор безопасности Secure Enclave, и релизом iOS 8, в котором была серьезно усилена защиту данных. Начиная с iOS 8, большая часть данных шифруется, а Apple перестаёт сотрудничать с государственными органами.

Наша цель несколько проще, но её значение трудно переоценить: максимально полное извлечение файловой системы из разблокированных устройств. Когда мы только начали разрабатывать инструментарий Elcomsoft iOS Forensic Toolkit для 64-разрядных устройств, доступ к данным можно было получить исключительно через джейлбрейк:

• Physical Acquisition for 64-bit Devices, iOS 9 Support
• Breaking Deeper Into iPhone Secrets

Строго говоря, называть этот метод «физическим анализом» не вполне корректно, тем не менее на выходе — полная копия файловой системы и расшифрованное содержимое Связки ключей (в самой файловой системе она хранится в зашифрованном виде).

В статьях Извлечение данных из iPhone без джейлбрейка (iOS 11-12) и Извлечение данных без джейлбрейка: iOS 13 и iPhone 11 подробно описан механизм, позволяющий обойтись без установки джейлбрейка в большинстве версий iOS вплоть до версии 13.5. С учётом существования этого механизма остался ли смысл в установке джейлбрейка? Ответ чуть сложнее, чем может показаться на первый взгляд.

Старые устройства и версии iOS

На руках у пользователей огромное количество iPhone старых и очень старых моделей. На прошлой неделе мы получили запрос на разблокировку iPhone 4 (у нас есть полная поддержка для этой модели). Для iPhone 5 и 5c мы на сегодняшний день можем лишь взломать пароль, хотя код для извлечения данных без джейлбрейка уже написан. Вскоре будет добавлена поддержка и iPhone 4s, но в настоящее время получение файловой системы iPhone 4s/5/5c возможно только через джейлбрейк. Кроме того, мы решили не добавлять поддержку iOS 7 и 8 на iPhone 5s и 6, так что для этих моделей джейлбрейк будет необходим.

Извлечение в режиме BFU

Если на устройстве установлен неизвестный код блокировки, возможности извлечения данных из него ограничиваются тем, что доступно в режиме BFU (Before First Unlock, «до первой разблокировки»). В этой ситуации вам понадобится установить специфичный джейлбрейк, работающий через уязвимость в загрузчике, как описано в статье Извлечение данных iOS: особенности установки checkra1n. В этом режиме поддерживаются следующие устройства:

• iPhone 5s, iPhone 6: iOS 12.3 — 12.4.9
• iPhone 6s, iPhone SE (1^st gen), iPhone 7: iOS 12.3 — 14.2.1
• iPhone 8, iPhone X: iOS 12.3 — 13.7

Поддержка iOS 14

На сегодняшний день поддержка iOS 14 в нашем агенте-экстракторе отсутствует. Единственный способ доступа к файловой системе — установка checkra1n. Поддерживаются модели от iPhone 5s до iPhone X, версии iOS — от 12.3 до 14.2.1. Обратите внимание: джейлбрейк нужен только для iOS 14.x, т.к. для более старых версий ОС достигнуть того же результата можно с использованием более простого и безопасного агента-экстрактора.

Альтернативы checkra1n

В качестве альтернативы checkra1n некоторыми поставщиками криминалистических продуктов предлагается извлечение с использованием эксплойта checkm8. Как правило, список поддерживаемых устройств совпадает с таковым для checkra1n, а иногда и короче (поддержка только iOS 12.3 и выше). Многие поставщики утверждают, что их метод позволяет проводить чистый с криминалистической точки зрения анализ. Это не вполне так: при использовании эксплойта модифицируются некоторые системные файлы, а на устройство устанавливается дополнительное программное обеспечение. Тем не менее, этот способ всё же несколько безопаснее (но и дороже) по сравнению с использованием checkra1n.

Бюджет

Если у вас ограниченный бюджет, вам, вероятно, подойдут способы извлечения с использованием джейлбрейка. Установив джейлбрейк и обеспечив соединение через SSH, вы сможете извлечь образ файловой системы. Тем не менее, расшифровать содержимое Связки ключей без дополнительного коммерческого программного обеспечения не удастся. В Связке ключей могут содержаться учетные данные для входа в социальные сети, облачные сервисы, веб-сайты и т.д.

Заключение

Использовать или не использовать джейлбрейк — ваш выбор. В некоторых случаях альтернативы джейлбрейку просто не существует, и вам придётся взломать устройства для получения максимально полного доступа к данным.