Если вы — эксперт, который занимается извлечением и анализом данных из Apple Watch, у меня плохая новость: в новой версии часов Apple Watch Series 7 больше нет скрытого диагностического порта. Вместо него используется беспроводной модуль, работающий на нестандартной частоте 60.5ГГц. К нему можно подключиться с помощью эксклюзивной док-станции, купить которую невозможно. Кто виноват и что делать? Попробуем разобраться.
В чём ценность данных с часов Apple Watch? Помимо того, что часы Apple Watch спасли жизни довольно многих людей, данные с них активно используются в расследованиях, в том числе — в расследовании тяжких преступлений. Разумеется, у преступника могут оказаться и другие устройства, но извлечь из них данные будет ещё сложнее, а иногда — и невозможно. Помимо прочего, часы собирают информацию об активности пользователя — шаги, частоту сердечных сокращений, а также продвинутую медицинскую информацию. Многие из этих данных также могут использоваться при расследовании преступлений.
Извлечь данные из часов Apple Watch было сложно всегда. Ранее мы уже писали о некоторых доступных способах; эта статья продолжает публикакию об адаптерах для извлечения данных из Apple Watch, которая была в конце лета.
В двух словах, существует всего три способа добраться до данных, которые собирают часы.
Прямое извлечение — наиболее полный, но и самый сложный способ получить доступ к данным. Для того, чтобы подключиться к часам, необходим доступ к встроенному диагностическому порту — по крайней мере, в тех моделях, в которых он присутствует (до Series 6 включительно). Доступ к порту, в свою очередь, требует использования специального адаптера.
Какие именно данные можно получить из часов? У часов нет собственного механизма для создания резервных копий, как нет и соответствующего программного интерфейса. Однако протокол AFC, через который можно извлечь медиа-файлы, работает. Также доступны журналы, информация об устройстве и список установленных приложений, включая метаданные. Если часы защищены кодом блокировки, его необходимо будет указать для разблокировки часов; нам неизвестны способы обхода этого ограничения.
Что можно извлечь из iPhone? Из резервной копии можно получить лишь ограниченный набор данных, в основном — настройки. В то же время низкоуровневый анализ iPhone позволяет получить доступ к данным приложения «Здоровье», в которое и поступает основной массив информации с часов.
Другое дело — облачный анализ. В облаке iCloud хранятся данные приложения «Здоровье» (Apple Health), но доступ к ним защищён «сквозным шифрованием». Для доступа к этим данным необходимо указать код блокировки одного из доверенных устройств пользователя, привязанных к облаку, а также логин и пароль в облако. Также придётся пройти проверку двухфакторной аутентификации. Существует и обходной путь: для доступа к данным можно использовать привязанное устройство пользователя. О том, как это сделать, описано в статье Извлечение данных из iCloud с помощью доверенного устройства.
Наконец, мы вплотную подобрались к теме статьи: к адаптерам Apple Watch, позволяющим подключиться к часам и получить доступ к данным. Ещё раз напомним: адаптеры существуют для всех версий часов вплоть до Apple Watch 6. Из Apple Watch 7 пропал скрытый диагностический порт, который заменили проприетарным беспроводным модулем, для подключения к которому нужна специальная док-станция, найти которую в продаже нам не удалось.
В течение долгого времени адаптеры были доступны только для старых версий часов, моделей ряда S1/S2/S3. Первое поколение адаптеров iBUS красиво смотрелось в маркетинговых материалах, но работало из рук вон плохо: соединение было ненадёжным. Спустя короткое время мы обнаружили другие модели, описанные в ранее упомянутой статье. В ней же описаны адаптеры и для свежих серий часов, включая модели S4, S5, S6 и SE. Вот все имеющиеся у нас адаптеры, включая несколько старых моделей и оригинальную модель iBUS. Часы Apple Watch S2-S4 выложены для оценки размеров.
Не все адаптеры работают одинаково хорошо. Повышенным качеством выделяются две модели. Первая — оригинальный адаптер производства компании Apple (расположен по центру). К сожалению, найти этот адаптер в свободной продаже нелегко. Если вам это удастся, то фирменный адаптер обеспечивает стабильное соединение и отличную совместимость.
Из адаптеров производства сторонних компаний лучше всего зарекомендовала себя модель MagicAWRT (показана в правом верхнем углу), к которой можно подключить любые часы Apple Watch до Series 6 включительно. Док-станция S-DOCK (справа внизу) отличается отличным качеством сборки, а порт Lightning, похоже, совместим с последовательным кабелем, что внушает оптимизм при использовании в целях разработки. К сожалению, до подробного тестирования этого адаптера руки пока не дошли.
И последнее: программное обеспечение. Недостаточно просто подключить часы к компьютеру через адаптер; для доступа к данным потребуется специализированное программное обеспечение. Наш продукт Elcomsoft iOS Forensic Toolkit поможет извлечь из часов доступные данные, но не забудьте предварительно создать профиль диагностики! Этот профиль носит название sysdiagnose, а скачать его можно с сайта Apple. После его установки необходимо сгенерировать журналы диагностики на устройстве путём одновременного нажатия на обе кнопки часов на две секунды. Через несколько минут будет создан архив в формате .tar.gz, внутри которого будут сохранены данные самого разного плана. Если этого не сделать (то есть, не установить профиль вообще или установить профиль, но не нажимать кнопки), то EIFT сможет извлечь лишь небольшое количество малоинтересных диагностических данных.
Таким образом, для извлечения журналов диагностики нужно проделать следующие шаги:
Пока поддерживается только ограниченное логическое извлечение, но мы продолжаем работать над поддержкой checkm8 для моделей S2/S3. В то же время, вы можете использовать Elcomsoft Phone Breaker для извлечения данных часов из iCloud (категория «Health», для защиты которой используется «сквозное шифрование»).
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.