Извлечение одной кнопкой — давняя и несбыточная мечта специалистов, работающих в области мобильной криминалистики. В наши дни не существует универсальных решений. Разнообразие мобильных устройств и повсеместное использование сквозного шифрования требуют использования всё более изощрённых методов для доступа к данным. Мир современной мобильной криминалистики сложен, и действия эксперта будут зависеть от множества факторов. Сегодня мы расскажем о новом способе аутентификации в iCloud, который ранее не использовался в продуктах для облачного анализа.

Многие производители, предлагающие решения в области мобильной криминалистики, поставляют своеобразные «чёрные ящики». Суть таких продуктов в том, что они работают «из коробки» для некоторого фиксированного ряда устройств, не декларируя при этом поддержку конкретных моделей или диапазона версий ПО. В реальных условиях подобные решения срабатывают автоматически лишь при совпадении ряда факторов, в узком диапазоне моделей, версий ПО и внешних условий. Для эффективного использования этих и других инструментов необходимо знать теорию и постоянно повышать свой уровень знаний. Понимание принципов работы ПО для криминалистического анализа особенно важно при извлечении данных из облака, когда данные пользователя находятся под внешним контролем.

Сегодня я расскажу о новом способе аутентификации в облако iCloud, использующем доверенное устройство вместо пароля или токена. Перед этим напомню о наших достижениях на ниве облачного анализа.

• май 2012: мы научились скачивать резервные копии из iCloud
• июнь 2014: теперь это можно сделать и без пароля, по токену
• август 2017: впервые преодолён механизм защиты облачной связки ключей
• ноябрь 2018: преодолена защита методом сквозного шифрования. Извлекаются сообщения в iCloud, данные приложения Здоровье
• октябрь 2019: извлекаются пароль экранного времени и голосовые заметки
• сегодня: для входа в облако можно использовать доверенное устройство вместо пароля или токена

Для чего нужна аутентификация по устройству

Для доступа в iCloud можно использовать как связку из логина и пароля, так и двоичный токен аутентификации. У обоих способов есть ограничения. В случае с авторизацией по логину и паролю возникает классический вопрос «где взять пароль?», а авторизация по токену становится всё более сложной и ограниченной. Несколько крупных обновлений назад (причём речь идёт и о версиях iOS, и о внутренних обновлениях iCloud) произошло следующее:

• Пароль к iCloud перестал храниться в связке ключей. И до этого пароль от iCloud в связке ключей присутствовал не всегда, а после произошедших изменений не присутствует вовсе за исключением случаев, когда пользователь входил в сервисы Apple через браузер Safari, и пароль штатно сохранился. На практике такие случаи крайне редки.
• Облачные токены стали привязываться к устройству. Это касается и macOS, и iOS. Если в macOS авторизоваться с компьютера, то токен с этого компьютера можно использовать только и именно на нём же. С iOS сложнее: если раньше можно было извлечь токен из связки ключей или резервной копии, то сейчас извлечение стало бессмысленным: токен может быть использован только на том же самом физическом устройстве.
• Токен стал не просто ограничен по сроку действия (это было бы неудобно для штатной работы устройства), но стал недостаточным для скачивания данных. Даже если войти в облако, представившись тем самым устройством, на котором был создан токен, то облако будет периодически запрашивать некие динамические данные, которые периодически генерируются на данном устройстве. Доступ к этим данным есть только у суперпользователя.

В чём преимущества облачного анализа по сравнению с исследованием данных, доступных в самом устройстве? Дело в том, что в в облаке могут быть доступны данные, которые не синхронизированы на устройство по одной из причин:

• На устройстве недостаточно места (это особенно справедливо для старых устройств с 8 или 16ГБ. В облаке часто доступно больше данных, хотя бывает и наоборот.
• Это не нужно пользователю. Такое бывает, если одно из устройств (особенно это касается устаревших моделей) используется в качестве простого телефона, и iCloud Photos там выключены, хотя в облаке фотографии есть, попадая в него с другого аппарата, недоступного на момент анализа. Другой пример: сообщения синхронизируются между облаком и iPhone, а на iPad их синхронизация выключена, т.к. планшет используется для рисования или чтения книг.
• Фотографии могут синхронизироваться с опцией Optimize iPhone storage. В этом случае на телефон поступают сжатые версии, тогда как в облаке хранятся оригиналы.
• Некоторые категории данных, в частности Documents, Desktop с macOS (на iCloud Drive), не синхронизируются на телефон; то же относится к данным приложений, которые установлены на других устройствах, но не на исследуемом.

Во всех этих случаях телефон используется как ключ для доступа в облако, позволяя извлечь из него гораздо больше, чем доступно штатными средствами (то есть, синхронизацией на сам телефон).

Ценность доверенного устройства

«Доверенное» устройство — это не просто устройство, которое содержит ценную информацию; при правильном использовании оно имеет гораздо большую ценность.

Во-первых, напомню о нашей старой статье: iOS 11 Does Not Fix iCloud and 2FA Security Problems You’ve Probably Never Heard About. Речь в ней шла о iOS 11, а проблема была исправлена ​​несколько релизов iOS назад. На текущий момент (по крайней мере, с iOS 14) при попытке изменить пароль iCloud всегда запрашивается код блокировки экрана. Тем не менее, при помощи доверенного устройства можно изменить пароль от облака iCloud без ввода старого пароля от iCloud; все, что нужно, это код блокировки устройства.

Может показаться, что в добавленной нами функции нет ничего нового. В конце концов, «доверенное» устройство потому и доверенное, что у него должен быть доступ ко всем данным в iCloud. При этом Apple сделала все возможное для защиты данных в iCloud: современные устройства (на базе A12 или более поздней версии SoC) с последней версией iOS не могут использоваться в качестве ключа для полного доступа к iCloud. Но благодаря эксплойту checkm8 и нескольким уязвимостям на уровне ядра довольно много устройств (как старых, так и тех, которые давно не обновлялись) подвержены риску не только прямого физического взлома, но и раскрытия всех данных из учётной записи iCloud, включая данные, которые поступили с других устройств с той же учётной записи (например, с компьютера Mac, зашифрованного FileVault2, т.к. ключ восстановления также хранится в облаке). Вы всё ещё пользуетесь старым устройством, подключённым к учётной записи iCloud? Подумайте, стоит ли продолжать!