В свежей версии инструментария iOS Forensic Toolkit 7.60 появилась поддержка низкоуровневого анализа iOS 15.2-15.3.1 для устройств на процессорах Apple A11-A15 и M1.

Методы низкоуровневого извлечения

Прежде, чем рассказать, что именно и как именно было сделано, напомним о том, какие способы извлечения информации из iPhone существуют. Прежде всего для извлечения данных используется логический анализ – простой и универсальный способ, выдающий довольно ограниченный набор данных.

Полный доступ к содержимому устройства доступен в результате низкоуровневого извлечения,  которое, в свою очередь, может работать с использованием джейлбрейка, аппаратной уязвимости загрузчика checkm8 или посредством агента-экстрактора. У всех этих способов есть свои особенности, преимущества и недостатки.

Наиболее совершенным с точки зрения криминалистики является способ извлечения через эксплойт загрузчика checkm8. Его использование не только не модифицирует данные на устройстве, но и гарантирует повторяемый и верифицируемый результат. К сожалению, этот способ работает только с достаточно старыми устройствами вплоть до моделей iPhone 8/8Plus/X.

Для извлечения образа файловой системы из более новых моделей iPhone нужно запустить процесс с привилегиями суперпользователя. Для этого можно использовать джейлбрейк (этот способ имеет ряд недостатков и в настоящее время не рекомендуется) либо специальное приложение-агент, устанавливаемое на телефон. При использовании этого способа джейлбрейк не нужен: агент-экстрактор автоматически подбирает эксплойт из числа доступных для данной версии iOS, что позволяет получить прямой доступ к файловой системе. По объёму и детализации полученных данных этот способ не отличается от других низкоуровневых методов анализа, но, в отличие от них, не модифицирует системный раздел устройства и не несёт рисков, которые могли бы привести к отказу устройства.

Особенности работы с iOS 15.20-15.3.1

С каждой новой версией iOS всё труднее получать повышенные привилегии.  Так, в версии iOS 15.2 разработчики Apple внедрили новый дополнительный уровень защиты памяти, заметно усложняющий работу подобных нашему инструментов. По этой причине для iOS 15.2 и более новых (до 15.3.1 включительно) нам пока удалось реализовать лишь извлечение файловой системы, но не связки ключей. Работа над последней ведётся; надеемся, что расшифровать связку ключей нам удастся в ближайшее время.

Другие поставщики криминалистического ПО также начали предлагать решения, основанные на аналогах нашего агента-экстрактора, однако у нас покрывается самый широкий диапазон версий iOS.

Apple активно противодействует этому методу. Так, в настоящий момент подпись агента надёжно работает только на macOS; мы активно работаем над преодолением этого ограничения.

Извлечение данных из iPhone с использованием агента-экстрактора

Код блокировки экрана должен быть известен или не установлен.

Для установки агента рекомендуем использовать Apple ID, зарегистрированный в Программе разработчика Apple.

Для извлечения данных в iOS Forensic Toolkit 7.60 используйте следующие шаги.

1 INSTALL - Install acquisition agent on device

2 KEYCHAIN - Acquire device keychain

3 FILE SYSTEM - Acquire device file system (as TAR archive)

4 FILE SYSTEM (USER) - Acquire user files only (as TAR archive)

5 UNINSTALL — Uninstall acquisition agent on device

Детальная инструкция:

1. Подключите iPhone к компьютеру. Установите доверенную связь (подтвердив запрос на iPhone и введя код блокировки экрана).
2. Запустите iOS Forensic Toolkit 7.60 или более новую версию
3. На компьютере: командой 1 установите приложение агента-экстрактора на iPhone.
4. На iPhone: запустите приложение агента, коснувшись его иконки.
5. Извлеките связку ключей (пункт 2 в меню), если это поддерживается (см. выше).
6. Извлеките образ файловой системы (пункты 3-4). Рекомендуем извлекать только пользовательский раздел (за исключением случаев, когда есть подозрение на зловредное ПО, установленное в системном разделе).
7. На iPhone: удалите агент с устройства (пункт 5 либо вручную, штатным способом, как для обычных приложений).
8. Отключите iPhone от компьютера. Теперь можно приступать к анализу данных.

Работа с агентом-экстрактором в iOS Forensic Toolkit 8.0 Beta

В iOS Forensic Toolkit 8.0 полностью переработан пользовательский интерфейс. Соответственно, используйте инструкцию ниже для извлечения данных посредством агента-экстрактора.

• Скачайте и установите последнюю сборку Elcomsoft iOS Forensic Toolkit.
• Запустите iOS Forensic Toolkit.
• Командой ./EIFT_cmd normal pair создайте привязку устройства к компьютеру.
• Введите команду ./EIFT_cmd agent install для установки агента-экстрактора на телефон. Введите логин и пароль используемого Apple ID, после чего введите одноразовый код двухфакторной аутентификации (код доставляется на доверенное устройство — iPhone, iPad или Mac).
• Если был использован обычный Apple ID, верифицируйте сертификат цифровой подписи на iPhone. Для этого устройству понадобится доступ к сети. После подтверждения сертификата запустите приложение-агента, коснувшись его иконки.
• Если был использован Apple ID разработчика, просто запустите приложение-агента, коснувшись его иконки.
• Введите команду ./EIFT_cmd agent keychain -o keychain.xml для извлечения и расшифровки связки ключей (только для поддерживаемых версий iOS).
• Введите команду ./EIFT_cmd agent tar -o data.tar для извлечения образа только пользовательского раздела (рекомендуется). Внимание: имя файла должно быть уникальным, иначе извлечение не будет выполнено.
• При подозрении на наличие шпионского или зловредного ПО, введите команду ./EIFT_cmd agent tar —system -o system.tar для извлечения образа системного раздела. Внимание: имя файла должно быть уникальным, иначе извлечение не будет выполнено.
• Введите команду ./EIFT_cmd agent uninstall для удаления агента-экстрактора с телефона либо просто либо удалите значок приложения с экрана стандартным способом.