Использование checkm8 для извлечения данных из часов Apple Watch 3

10 февраля, 2022, Oleg Afonin
Рубрика: «Новость Элкомсофт», «Полезные советы»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В пятой бета-версии iOS Forensic Toolkit 8 для Mac появилась возможность извлекать данные из часов Apple Watch Series 3 посредством эксплойта checkm8. Как подключить часы к компьютеру, какие данные доступны и как применить эксплойт? Обо всём этом — в новой статье.

Адаптеры USB

Для подключения часов к компьютеру используется специальный адаптер — один из множества доступных на рынке. Существует несколько типов таких адаптеров, поддерживающих разные поколения часов Apple Watch. Некоторые из них мы опробовали:

На сей раз мы воспользовались адаптером S-Dock, который изображён на фотографии в левом нижнем углу.

О разных типах адаптеров и различиях между ними мы писали в статье Apple Watch Forensics: The Adapters. Обратите внимание: вам понадобится адаптер, поддерживающий модель Apple Watch 3. Подключённые к адаптеру часы выглядят следующим образом:

Совместимость

Поддерживаются все модели часов Apple Watch Series 3 под управлением всех версий watchOS.

Подготовка к работе

Checkm8 — достаточно сложный эксплойт. Убедитесь, что у вас есть всё необходимое для работы с ним.

  1. Компьютер Mac. Вам понадобится Mac, чтобы установить эксплойт и выполнить извлечение. Поддерживаются компьютеры Mac на базе процессоров Intel и M1. В настоящее время работа в Windows не поддерживается.
  2. iOS Forensic Toolkit 8.0 бета для Mac. Ещё раз напоминаем: потребуется редакция для Mac. Поддержка Apple Watch 3 была добавлена в пятой бета-версии продукта.
  3. Apple Watch Series 3. Часы должны быть достаточно работоспособны для перевода в режим DFU.
  4. Код блокировки от Apple Watch должен быть известен. В противном случае поддерживается ограниченное извлечение в режиме BFU.
  5. Совместимый USB-адаптер для подключения часов к компьютеру.
  6. Вы должны иметь возможность загрузить официальную прошивку Apple (ссылка для скачивания будет предоставлена во время извлечения), которая соответствует версии watchOS, установленной на устройстве.

Обратите внимание: разработчики Apple частично исправили уязвимость загрузчика в iOS 14 и 15, изменив порядок загрузки и разблокировки данных. Однако watchOS 7 и 8, основанные на этих версиях iOS, соответствующего патча не получили, в результате чего вам не нужно будет удалять код блокировки экрана часов.

Анализ данных

Про возможности анализа извлечённых из часов данных рассказано в статье Криминалистический анализ Apple Watch 3. Кроме того, рекомендуем следующие статьи из нашего блога:

Установка и использование iOS Forensic Toolkit 8.0

Подробные инструкции по установке и использованию iOS Forensic Toolkit описаны в статье Извлечение данных с использованием checkm8: iPhone 8, 8 Plus и iPhone X. Единственное различие — название каталога, в который устанавливается пятая бета-версия программы. Команды, которые нужно выполнить для работы с часами, приводятся ниже.

Apple Watch 3: извлечение данных через checkm8

Для извлечения данных из часов используйте следующую последовательность действий:

  1. Запустите iOS Forensic Toolkit 8.0 (Mac)
  2. Подключите часы Apple Watch 3 к компьютеру через адаптер USB (часы должны быть выключены)
  3. Переведите часы в режим DFU
  4. Выполните команду ./EIFT_cmd boot
  5. Выполните команду ./EIFT_cmd ramdisk unlockdata -s (по запросу введите код блокировки часов или нажмите ENTER, если он неизвестен)
  6. Выполните команду ./EIFT_cmd ramdisk keychain -o {filename} для извлечения связки ключей
  7. Выполните команду ./EIFT_cmd ramdisk tar -o {filename} для извлечения файловой системы
  8. Выполните команду ./EIFT_cmd ssh halt для выключения Apple Watch

Пошаговое руководство

Разберём указанные выше команды подробнее.

После запуска iOS Forensic Toolkit подключите Apple Watch к компьютеру через USB-адаптер. На момент подключения часы должны находиться в выключенном состоянии.

Перевод часов в режим DFU:

Нажмите и удерживайте колёсико часов и боковую кнопку в течение 10 секунд. Отпустите боковую кнопку, продолжая удерживать колёсико в зажатом положении в течение ещё 10 секунд.

При успешном входе в DFU экран часов останется чёрным. Если на часах появился логотип Apple, вы удерживали кнопки слишком долго; повторите попытку.

После того, как часы перешли в режим DFU, в iOS Forensic Toolkit выполните следующую команду:

./EIFT_cmd boot

Команда запускает эксплойт. Определяется версия iOS, установленная на устройстве, и предоставляется ссылка для скачивания. При наличии нескольких потенциальных совпадений будет выведено несколько ссылок для скачивания; рекомендуем использовать последнюю ссылку из списка. Загрузите файл по ссылке и перетащите его в окно консоли, после чего нажмите ENTER.

На экране часов отобразится сообщение “Booting”.

Наше решение не использует операционную систему, установленную на Apple Watch. Вместо этого в ОЗУ устройства загружается модифицированная версия оригинальной прошивки Apple. Этот процесс требует копию оригинального образа прошивки Apple, соответствующей версии watchOS устройства и номеру сборки.

Во многих случаях версия watchOS будет автоматически определена EIFT на первом этапе эксплойта на основе версии iBoot и информации об аппаратном обеспечении устройства. Однако в некоторых случаях версия iBoot может соответствовать нескольким сборкам watchOS или и вовсе не определяться. Если использовать неправильный образ прошивки, у вас будет возможность либо повторить эксплойт с другой версией прошивки, либо продолжить с текущим образом (что в большинстве случаев сработает).

Если эксплойт успешно загрузит прошивку, вы увидите следующую индикацию:

./EIFT_cmd ramdisk unlockdata -s

Команда разблокирует раздел данных и монтирует его в режиме «только для чтения».

Если установлен пароль блокировки экрана, он будет запрошен. Если код блокировки часов неизвестен, нажмите ENTER (будет доступно ограниченное извлечение в режиме BFU).

При вводе неправильного кода блокировки экрана отобразится сообщение об ошибке. Ввод правильного пароля разблокирует раздел данных, и вы сможете продолжить извлечение. Если пароль неизвестен, просто нажмите ENTER. В этом случае будет будет возможно ограниченное извлечение в режиме BFU (несмотря на ошибку, что устройство не может быть разблокировано); при этом будет доступен только очень ограниченный набор данных.

./EIFT_cmd ramdisk keychain -o {filename}

Извлекает и расшифровывает связку ключей. Если путь не указан, файл будет будет сохранён в текущую папку.

./EIFT_cmd ramdisk tar -o {filename}

Извлекает образ файловой системы с автоматическим подсчётом и сохранением контрольной суммы (посредством хэш-функции). Значение контрольной суммы сохраняется в той же папке, что и основной файл.

Контроллер SoC и USB в Apple Watch значительно медленнее, чем в версии для iPhone, что приводит к сравнительно низкой скорости извлечения — примерно 3 МБ/с.

Ограниченное извлечение BFU

Если вы не знаете пароль блокировки экрана, просто нажмите ENTER при появлении запроса. Несмотря на ошибку «Устройство невозможно разблокировать», вы все равно сможете выполнить ограниченное извлечение BFU (перед первой разблокировкой).

Анализ данных

Следующий шаг — анализ извлечённых данных, о котором рассказывается в статье Криминалистический анализ Apple Watch 3. После извлечения данных загрузите образ файловой системы и копию связки ключей в пакет для анализа данных. В настоящее время лишь немногие сторонние криминалистические пакеты оптимизированы для поддержки наборов данных, специфичных для часов. В скором времени выйдет обновление Elcomsoft Phone Viewer с поддержкой таких типов данных.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »

НАШИ НОВОСТИ