Извлечение одной кнопкой — давняя и несбыточная мечта специалистов, работающих в области мобильной криминалистики. В наши дни не существует универсальных решений. Разнообразие мобильных устройств и повсеместное использование сквозного шифрования требуют использования всё более изощрённых методов для доступа к данным. Мир современной мобильной криминалистики сложен, и действия эксперта будут зависеть от множества факторов. Сегодня мы расскажем о новом способе аутентификации в iCloud, который ранее не использовался в продуктах для облачного анализа.
Многие производители, предлагающие решения в области мобильной криминалистики, поставляют своеобразные «чёрные ящики». Суть таких продуктов в том, что они работают «из коробки» для некоторого фиксированного ряда устройств, не декларируя при этом поддержку конкретных моделей или диапазона версий ПО. В реальных условиях подобные решения срабатывают автоматически лишь при совпадении ряда факторов, в узком диапазоне моделей, версий ПО и внешних условий. Для эффективного использования этих и других инструментов необходимо знать теорию и постоянно повышать свой уровень знаний. Понимание принципов работы ПО для криминалистического анализа особенно важно при извлечении данных из облака, когда данные пользователя находятся под внешним контролем.
Сегодня я расскажу о новом способе аутентификации в облако iCloud, использующем доверенное устройство вместо пароля или токена. Перед этим напомню о наших достижениях на ниве облачного анализа.
Для доступа в iCloud можно использовать как связку из логина и пароля, так и двоичный токен аутентификации. У обоих способов есть ограничения. В случае с авторизацией по логину и паролю возникает классический вопрос «где взять пароль?», а авторизация по токену становится всё более сложной и ограниченной. Несколько крупных обновлений назад (причём речь идёт и о версиях iOS, и о внутренних обновлениях iCloud) произошло следующее:
В чём преимущества облачного анализа по сравнению с исследованием данных, доступных в самом устройстве? Дело в том, что в в облаке могут быть доступны данные, которые не синхронизированы на устройство по одной из причин:
Во всех этих случаях телефон используется как ключ для доступа в облако, позволяя извлечь из него гораздо больше, чем доступно штатными средствами (то есть, синхронизацией на сам телефон).
«Доверенное» устройство — это не просто устройство, которое содержит ценную информацию; при правильном использовании оно имеет гораздо большую ценность.
Во-первых, напомню о нашей старой статье: iOS 11 Does Not Fix iCloud and 2FA Security Problems You’ve Probably Never Heard About. Речь в ней шла о iOS 11, а проблема была исправлена несколько релизов iOS назад. На текущий момент (по крайней мере, с iOS 14) при попытке изменить пароль iCloud всегда запрашивается код блокировки экрана. Тем не менее, при помощи доверенного устройства можно изменить пароль от облака iCloud без ввода старого пароля от iCloud; все, что нужно, это код блокировки устройства.
Может показаться, что в добавленной нами функции нет ничего нового. В конце концов, «доверенное» устройство потому и доверенное, что у него должен быть доступ ко всем данным в iCloud. При этом Apple сделала все возможное для защиты данных в iCloud: современные устройства (на базе A12 или более поздней версии SoC) с последней версией iOS не могут использоваться в качестве ключа для полного доступа к iCloud. Но благодаря эксплойту checkm8 и нескольким уязвимостям на уровне ядра довольно много устройств (как старых, так и тех, которые давно не обновлялись) подвержены риску не только прямого физического взлома, но и раскрытия всех данных из учётной записи iCloud, включая данные, которые поступили с других устройств с той же учётной записи (например, с компьютера Mac, зашифрованного FileVault2, т.к. ключ восстановления также хранится в облаке). Вы всё ещё пользуетесь старым устройством, подключённым к учётной записи iCloud? Подумайте, стоит ли продолжать!
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.