Резервные копии iPhone: пароли по умолчанию

21 декабря, 2020, Vladimir Katalov
Рубрика: «Криптография и шифрование», «Полезные советы», «Программное обеспечение»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

При использовании криминалистических инструментов для логического анализа iPhone рекомендуется создавать резервные копии с паролем. Парадоксально, но факт: в таких резервных копиях доступен существенно больший объём информации по сравнению с резервными копиями без пароля. Разработчикам криминалистических программ этот факт известен, и в процессе создания резервной копии используется временный пароль. О том, для чего нужен пароль в процессе логического анализа и какие именно пароли по умолчанию устанавливают различные криминалистические пакеты — в этой статье.

Резервные копии и iTunes

Cуществует несколько методов извлечения данных из iPhone, но основным источником данных были и остаются резервные копии iOS. Извлечение резервной копии из устройства доступно практически всегда независимо от модели iPhone и версии iOS, но только если устройство разблокировано или может быть разблокировано. Мы много писали о резервных копиях, и в этой статье мы не будем повторять то, о чём уже говорилось. Если вы хотите ознакомиться с темой — прочтите статью Логический анализ iPhone: резервные копии iTunes | Блог Элкомсофт.

Какое отношение имеют резервные копии к приложению iTunes? Самое прямое: на компьютерах Windows именно это приложение отвечает за создание резервных копий. Так было и в macOS, но в свежих сборках macOS Catalina и macOS Big Sur от использования iTunes отказались. Теперь резервные копии создаются непосредственно из приложения Finder. Тем не менее, эксперты-криминалисты продолжают использовать термин «резервная копия в формате iTunes».

Впрочем, даже термин «резервная копия» выходит из моды. В различных криминалистических пакетах нам встречались названия «логический анализ», «логическое извлечение» и даже «метод 1» и «метод 2». Добавим к этом маркетинговые приставки «расширенный» и «продвинутый» — и получим малопонятные конструкции вроде «расширенное логическое извлечение по методу 1». Догадаться, что это обозначает, невозможно без чтения документации. Тем не менее, логическим анализом можно получить лишь следующие данные — именно они, как правило, и скрываются за «расширенными» и «продвинутыми» методами:

  • Информация об устройстве (модель, название, характеристики)
  • Резервная копия в формате iTunes
  • Медиа-файлы (фото, видео, музыка, метаданные)
  • Файлы приложений
  • Журналы диагностики

В целом, на этом — всё. Никакие другие данные из устройства получить методом логического анализа невозможно.

Пароль к резервной копии

О паролях к резервным копиям iOS мы также неоднократно писали. Напомним основные тезисы:

  • Если резервная копия защищена паролем, и пароль — неизвестен, у вас проблема.
  • Если резервная копия паролем не защищена — установите свой.

Поясним тезисы. Но для начала — немного истории:

  • iOS до версий iOS 9.x включительно: пароль к резервной копии можно быстро восстановить
  • iOS 10.0: исключительно слабая защита (ошибка в реализации), очень быстрые атаки
  • iOS 10.1: проблема исправлена, откат к защите iOS 9.x
  • iOS 10.2: защита усилена, скорость атаки стала очень медленной
  • iOS 11: возможен сброс пароля через настройки (с рядом последствий)
  • iOS 13: смена пароля на резервную копию требует ввода кода блокировки экрана на устройстве

А теперь — поясним тезисы. Особенность резервных копий iOS — в том, что зашифрованные копии содержат больше данных, чем незашифрованные. В частности, расшифровать Связку ключей можно исключительно в том случае, если был использован пароль — даже при том, что физически копия Связки ключей присутствует и в незашифрованных резервных копиях.

Иными словами, установите пароль на резервную копию перед тем, как приступать к извлечению данных.

Продолжение

В 2016 году мы решили автоматизировать установку паролей к резервным копиям. В процесс логического анализа наш продукт Elcomsoft iOS Forensic Toolkit устанавливал временный пароль, создавал резервную копию и удалял пароль, возвращая настройки устройства в оригинальное состояние.

Этот подход оправдался: с каждым новым релизом Apple сохраняет всё больше данных только в резервных копиях с паролем, и всё меньше — в незашифрованных. К таким данным относятся история браузера Safari, данные приложения Здоровья, Связка ключей и многие другие.

Резервные копии в macOS Big Sur

В macOS Big Sur настройки шифрования резервных копий выглядят… непонятно.

Если включить создание локальных резервных копий, появится следующее окно:

Рекомендуем вместо этого воспользоваться iOS Forensic Toolkit, который автоматически установит временный пароль и извлечёт максимально возможный объём информации.

Пароли по умолчанию

Вскоре вслед за нами и остальные поставщики криминалистического ПО начали устанавливать на резервные копии временные пароли. Однако не все из них корректно удаляют временный пароль, что может привести к тому, что вновь создаваемые устройством резервные копии будут зашифрованы, даже если криминалистическое ПО не используется. Ниже приводится список известных нам временных паролей от различных производителей, включая наш собственный продукт.

  • Elcomsoft iOS Forensic Toolkit: 123
  • Cellebrite UFED: 1234
  • MSAB XRY: 1234
  • Belkasoft Evidence Center: 12345
  • Oxygen Forensic Detective: oxygen
  • Magnet AXIOM: mag123

Помимо паролей из этого списка рекомендуем попробовать пароль, совпадающий с паролем от Apple ID пользователя, а также пароль, совпадающий с кодом блокировки экрана.

Взлом пароля к резервной копии

Если же пароль установлен и неизвестен, а ни один из паролей по умолчанию не сработал, вам придётся либо воспользоваться функцией сброса пароля, появившейся в iOS 11, либо запустить перебор паролей. Подробнее об этом можно узнать из нашей статьи Резервные копии iPhone: четыре способа разобраться с паролем. Если же вам придётся прибегнуть к перебору, поможет использование качественных словарей и новейших NVIDIA RTX 3080 или 3090. Тем не менее, рассчитывайте на очень медленный перебор — порядка 350 паролей в секунду на одной видеокарте. Для сравнения, в старых версиях iOS нам удавалось достичь скоростей порядка 220 тысяч паролей в секунду. Сейчас же подобрать получится лишь относительно простые пароли, в состав которых входит до 7 цифр, или 6 букв в одном регистре, или 5 символов в обоих регистрах.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (Связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »


Elcomsoft Phone Breaker

Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.

Официальная страница Elcomsoft Phone Breaker »


Elcomsoft Phone Viewer

Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.

Официальная страница Elcomsoft Phone Viewer »

НАШИ НОВОСТИ