Для извлечения данных из iCloud, как правило, требуется действующий пароль пользователя, а также прохождение проверки двухфакторной аутентификации. Если же всё, что есть на руках — разблокированный iPhone, то шанс узнать пароль от iCloud невелик. Мы разработали новый способ входа в iCloud с использованием доверенного устройства пользователя, позволяющий получить неограниченный доступ ко всему, что хранится в облаке пользователя.
Альтернативные способы аутентификации используются при облачном извлечении, если пароль от учётной записи пользователя неизвестен. В Elcomsoft Phone Breaker поддерживается два альтернативных способа для входа в облако.
Первый способ использует особый маркер аутентификации, извлекаемый из компьютера пользователя. Использование двоичного маркера не требует ни логина с паролем, ни вторичной аутентификации. Извлечь маркер аутентификации можно непосредственно с компьютера пользователя (на сегодняшний день — только macOS) посредством встроенного инструмента. В то же время набор данных, доступный посредством маркера аутентификации, ограничен и зависит от ряда факторов, а использовать маркеры в современных условиях можно только при запуске EPB для macOS непосредственно на компьютере пользователя.
Второй способ не имеет ограничений по типам извлекаемых данных, открывая доступ ко всем без исключения доступным категориям вплоть до защищённых сквозным шифрованием данных. Этот способ использует доверенное устройство пользователя для входа в облачную учётную запись, не требуя ввода логина, пароля и прохождения двухфакторной аутентификации. Для входа в iCloud через доверенное устройство потребуется разблокированное устройство под управлением iOS (iPhone или iPad) с установленным джейлбрейком или агентом-экстрактором, который входит в состав продукта. На момент извлечения устройство должно быть привязано к учётной записи Apple ID пользователя.
Для использования нового способа входа в iCloud потребуется разблокированное устройство под управлением iOS (iPhone или iPad) с установленным джейлбрейком или агентом-экстрактором, который входит в состав продукта. На момент извлечения устройство должно быть привязано к учётной записи Apple ID пользователя; в процессе работы устройство должно быть подключено к интернет. Логин и пароль от iCloud для входа в облако не потребуются. Установить агент можно на 64-разрядное устройство под управлением iOS версий с 9.0 по 14.3 включительно. Для установки агента потребуется либо компьютер Mac и обычная учётная запись Apple ID, либо компьютер с Windows или macOS и Apple ID, зарегистрированный в программе Apple для разработчиков.
Наше решение было протестировано на примерно полутора десятках устройств от iPhone 5s до Xr включительно, работающих под управлением iOS от 9 до 14.8 (для iOS 15 на сегодняшний день нет ни одного джейлбрейка; нет и поддержки агента-экстрактора). iPhone 11/12 совместимы, если работают под управлением совместимой с агентом-экстрактором версией iOS. Требования к совместимости у нового агента совпадают с таковыми для агента-экстрактора из состава Elcomsoft iOS Forensic Toolkit. В то же время данные, сохранённые с устройств под управлением iOS 15 (включая резервные копии и синхронизированные данные) успешно извлекаются из облака, даже если для авторизации используется устройство, работающее под управлением более старой версии iOS.
Мы протестировали работу решения с джейлбрейками checkra1n, Electra и unc0ver.
Авторизация по доверенному устройству доступна в редакции EPB Forensic, и поддерживается только для учётных записей с двухфакторной аутентификацией. Для учётных записей без двухфакторной аутентификации можно использовать токен из связки ключей, что также поддерживается в EPB.
Для использования доверенного устройства в качестве метода входа в облако воспользуйтесь следующей инструкцией.
Следующие шаги необходимы только в тех случаях, когда на устройстве не установлен джейлбрейк. Приложение-агент входит в состав Elcomsoft Phone Breaker, и поддерживает 64-разрядные устройства под управлением iOS 9.0 — 14.3.
Доверенное устройство должно быть подключено к ПК и оставаться в сети в течение всего процесса извлечения. Если всё прошло успешно, EPB покажет список либо доступных резервных копий, либо доступных синхронизированных категорий, либо папки и файлы в iCloud Drive.
Процесс извлечения с использованием нового метода аутентификации практически не отличается от процесса на основе пароля за единственным исключением: в определённый момент на устройстве появится запрос ввода кода блокировки экрана. Введите код блокировки экрана; это необходимо, чтобы получить доступ к некоторым записям.
На устройстве в процессе работы будет отображаться следующая информация:
Извлечение через iCloud — часто единственный способ получить доступ к данным с других устройств пользователя, а также к данным, которые были удалены из самого устройства. В Elcomsoft Phone Breaker поддерживаются как синхронизированные данные, так и резервные копии в iCloud, созданные всеми привязанными к заданной учётной записи устройствами.
С использованием нового метода входа в iCloud Elcomsoft Phone Breaker позволяет извлечь максимальное количество данных как из резервных копий в iCloud, так и из области синхронизированных данных, не используя логин и пароль и без прохождения двухфакторной аутентификации. В список доступных данных входят такие категории, как история браузера Safari, календари, заметки, контакты, список звонков и многие другие. С использованием доверенного устройства доступны и данные, защищённые методом сквозного шифрования. В их число входят пароли пользователя (облачная связка ключей), данные приложения «Здоровье», сообщения SMS и iMessage, пароль Экранного времени и некоторые другие категории.
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.