Облачные резервные копии — бесценный источник информации. Но почему сообщения iMessage иногда в резервной копии есть, а иногда их нет? В игру включилось сквозное шифрование, которое спутало все карты. Попробуем разобраться, куда попадают сообщения, если их нет в резервной копии.

Пути сообщений неисповедимы

В экосистеме Apple одна из лучших реализаций резервного копирования, а для мобильных устройств — лучшая с большим отрывом. Пользователям предоставляется широкий выбор: здесь и обычные резервные копии, и зашифрованные, и облачные. Помимо резервных копий данные могут быть защищены и с помощью механизма синхронизации, который снова может быть нескольких видов: обычным и использующим сквозное шифрование.

В процессе анализа резервных копий iPhone сообщения (SMS/iMessage) могут как присутствовать, так и отсутствовать в резервной копии. С чем это может быть связано? В первую очередь разберёмся с условиями, при которых сообщения попадают в состав резервных копий.

Локальные резервные копии

Локальные резервные копии (те, которые создаются на компьютере с помощью приложения iTunes или Finder) содержат всю базу данных iMessage включая сами сообщения и вложения. Если резервная копия не защищена паролем, то и сообщения не шифруются. Если же пароль установлен, то зашифрована будет и база данных iMessage.

Результат: сообщения iMessages всегда присутствуют в локальных резервных копиях, как с паролем, так и без него. Для извлечения используйте Elcomsoft iOS Forensic Toolkit, для просмотра — Elcomsoft Phone Viewer.

Облачные резервные копии в iCloud

Сообщения могут попадать, а могут и не попадать в облачные резервные копии, которые создаются в iCloud. Это контролируется настройкой Settings — <Apple_ID> — iCloud — Messages. Если этот переключатель активирован, то сообщения iMessages будут синхронизированы между устройствами пользователя, привязанными к одному и тому же Apple ID. Если сообщения синхронизируются, то в состав облачных резервных копий они уже не попадают.

Если синхронизация на устройстве не включена, то сообщения будут сохраняться в облачных резервных копиях в iCloud. Извлечь их из облако можно при помощи Elcomsoft Phone Breaker; просмотреть — Elcomsoft Phone Viewer. Гораздо больший интерес представляет ситуация, когда режим синхронизации включён; об этом — ниже.

Результат: сообщения iMessage попадают в состав облачных резервных копий в iCloud только в том случае, если синхронизация (настройка iCloud — Messages) не включена.

Дополнительная информация:

• Protecting iMessage Communications
• The Forensic View of iMessage Security

Синхронизация сообщений: сквозное шифрование

После того, как пользователь включит переключатель iCloud Messages, все отправленные и полученные сообщения попадут в учётную запись пользователя. Это позволяет синхронизировать сообщения iMessage между устройствами, включая как iPhone, так и лишённые SIM-карт планшеты iPad и компьютеры Mac. Если пользователь удаляет сообщение в приложении для iPhone, оно будет удалено и на iPad, и наоборот.

Как только пользователь активирует переключатель, произойдет еще одна вещь: сообщения больше не будут включаться в резервные копии iCloud. Это также относится ко многим (но не ко всем) другим типам данных, которые можно либо синхронизировать, либо создать резервную копию. В результате вы, скорее всего, не увидите сообщения iMessages при анализе резервных копий iCloud, загруженных из учетной записи пользователя.

Сообщения в облаке защищены с помощью сквозного шифрования. Данные зашифрованы двоичным ключом, который, в свою очередь, защищён другим ключом, полученным из пароля блокировки экрана пользователя. Вся схема разработана таким образом, что даже сама Apple не может (и явно не хочет, если верить официальным заявлениям компании) прочесть зашифрованные данные. Помимо сообщений, данную схему защиты используют и для таких данных, как данные приложений «Здоровье», «Сообщения», «Карты», «Связка ключей» и даже история Safari.

Apple официально заявляет, что у компании нет доступа к ключам, защищающим защищённые методом сквозного шифрования данные, поэтому она не в состоянии расшифровать iMessages, хранящиеся в iCloud. По этой же причине Apple не выдаёт сообщений пользователя из облака по запросу от правоохранительных органов (однако, не забываем: если синхронизация сообщений отключена, то сообщения попадут в резервные копии в iCloud, откуда их достаточно просто извлечь).

Как добраться до сообщений в iCloud

Чтобы извлечь и расшифровать сообщения iMessages из iCloud, вам потребуется актуальная версия Elcomsoft Phone Breaker. Рекомендуем скачать свежую сборку с нашего сайта: Apple регулярно меняет протоколы доступа к данным, поэтому пользоваться лучше самой свежей сборкой EPB.

Подготовка к работе

Чтобы извлечь iMessages из учётной записи пользователя, необходимо иметь возможность как возможность аутентифицироваться в учётной записи, так и расшифровать сообщения. Сквозное шифрование использует пароль блокировки пользователя, который можно взять с доверенного устройства, зарегистрированного в той же учётной записи (см. определение доверенного устройства). Это может быть iPhone, iPad или компьютер Mac (в этом случае будет использоваться системный пароль пользователя). Обратите внимание, что сквозное шифрование доступно только для учётных записей Apple с включенной двухфакторной аутентификацией, двухфакторную аутентификацию также потребуется пройти. Таким образом, для доступа к iMessage (а также к другим данным со сквозным шифрованием) нужны все перечисленные данные:

• Логин и пароль от Apple ID пользователя
• Доступ ко второму фактору аутентификации (доверенная SIM-карта, разблокированный iPhone или iPad и т.п.)
• Код блокировки экрана (iPhone/iPad) или системный пароль (Mac) доверенного устройства пользователя

Для извлечения сообщений из облака:

1. Запустите Elcomsoft Phone Breaker и выберите Apple > Download from iCloud > Synced Data
2. Укажите логин и пароль пользователя.
3. Пройдите двухфакторную аутентификацию.
4. Укажите данные, которые будут извлечены из облака. Для скачивания сообщений выберите “Messages”.
5. Elcomsoft Phone Breaker авторизуется в учётной записи. Выберите одно из доверенных устройств пользователя из списка; на следующем шаге будет запрошен код блокировки или пароль от этого устройства.
6. Данные будут скачаны из учётной записи.
7. После завершения скачивания нажмите Finish.
8. Используйте Elcomsoft Phone Viewer для просмотра скачанных сообщений.

Проблемы и решения

Время от времени мы получаем сообщения, в которых пользователи наших программ пишут о невозможности доступа к iMessage несмотря на то, что аутентификация корректно пройдена. Самой распространённой причиной проблемы является отсутствие синхронизации на одном или нескольких устройствах пользователя. Хотя механизм синхронизации сообщений в целом работает так же, как облачная связка ключей, эти службы взаимосвязаны. В облачной связке ключей хранится и синхронизируется ключ шифрования, который защищает сообщения iMessage. Отключение службы облачной связки ключей на устройстве пользователя предотвращает и синхронизацию сообщений — даже если переключатель находится в положении «включено». Кроме того, сообщения будут синхронизироваться только в том случае, если в учётной записи пользователя включена двухфакторная аутентификация.

Альтернативы Elcomsoft Phone Breaker

На сегодняшний день программных альтернатив Elcomsoft Phone Breaker не существует: доступ к данным, защищённым сквозным шифрованием, остаётся эксклюзивной возможностью нашего продукта. Единственная доступная альтернатива — настройка нового устройства Apple, его авторизация в Apple ID пользователя и включение в круг доверенных устройств. После этого сообщения будут синхронизированы с новым устройством, и их можно будет извлечь.

Дополнительная информация:

• Криминалистический анализ iCloud: типы данных, защита и способы извлечения
• iMessage Security, Encryption and Attachments
• How to Obtain iMessages from iCloud