Логический анализ — самый простой и самый совместимый способ извлечения данных из устройств Apple. Создаваемые в процессе работы резервные копии являются важнейшей частью подхода, а количество доступных для анализа данных будет больше, если резервная копия защищена паролем. По этой причине в программах для криминалистов на резервные копии автоматически устанавливаются временные пароли. По окончании работы временные пароли должны быть удалены, но это не всегда так. Почему в устройствах остаются временные пароли и как их обойти — в этой статье.

Парольная защита резервных копий iOS

Локальные резервные копии в формате iTunes — один из основных источников цифровых улик. В мобильных операционных системах iOS и iPadOS на резервные копии может быть установлен пароль, посредством которого содержимое резервной копии надёжно шифруется. В таких зашифрованных резервных копиях за рядом исключений хранится та же информация, что и в незашифрованных, но доступность её для исследователя отличается. Так, пароли из связки ключей, сохранённые в резервной копии без пароля, будут зашифрованы аппаратным ключом устройства. Такую резервную копию можно восстановить как на оригинальный аппарат, так и на другое устройство, но связку ключей удастся расшифровать только и исключительно на том же самом физическом устройстве, с которого была сделана резервная копия.

В исключения входят такие данные, как данные приложения «Здоровье», история браузера Safari и некоторые другие. Эти данные не попадают в незашифрованные резервные копии.

Если же резервная копия защищена паролем, то и связка ключей и некоторые другие данные будут зашифрованы тем же самым паролем, что и остальное содержимое резервной копии. Этот факт позволяет исследователям расшифровать и получить доступ к данным, которые недоступны для анализа незащищённых резервных копий.

Дополнительно о защите резервных копий — на странице Зашифрованные резервные копии на iPhone, iPad или iPod touch — Служба поддержки Apple (RU)

Как возникают «забытые» пароли

Итак, в процессе логического анализа на компьютере создаётся резервная копия устройства. Алгоритм работы многих программ для криминалистов таков, что при пустом пароле на резервную копию программой автоматически устанавливается временный пароль (при использовании iOS Forensic Toolkit такой пароль — 123). После окончания работы пароль необходимо сбросить в начальное (пустое) состояние, что обычно и проделывается программой.

В этом алгоритме есть тонкий момент: в современных версиях iOS для подтверждения как для установки, так и для снятия пароля к резервной копии устройство запрашивает код блокировки экрана, причём ввести этот код можно только вручную и только на самом устройстве. Более того, запрос на ввод кода блокировки отображается на экране в течение ограниченного времени. Если в течение этого времени пользователь не подтвердит операцию вводом кода блокировки экрана, то смены пароля к резервной копии не произойдёт. Процедура не зависит от того, какой инструмент используется для создания резервной копии, и происходит таким же образом при использовании iTunes или Finder.

Соответственно, если специалист не подтвердит код блокировки экрана перед тем, как будет создана резервная копия, то резервная копия создастся без пароля, что легко отследить при её последующем открытии. А вот если эксперт пропустит запрос на ввод кода блокировки после того, как резервная копия была сохранена (а пропустить достаточно просто, т.к. время создания резервной копии может быть достаточно велико в зависимости от объёма данных на устройстве), то ранее установленный временный пароль останется на устройстве. В результате этого все последующие резервные копии будут создаваться именно с этим временным паролем, что может создать проблемы при использовании нескольких разных инструментов криминалистического анализа.

• Обратите внимание, что ввода пасскода на устройстве требуют как установка, так и сброс пароля. Поскольку время, в течение которого на устройстве отображается запрос на ввод кода блокировки, ограничено, эксперты часто пропускают этот запрос по окончании копирования данных. Если это происходит, на резервные копии на устройстве остаётся установленным пароль, который часто неизвестен. При использовании iOS Forensic Toolkit рекомендуем проверить, не забыли ли вы удалить пароль на резервную копию после извлечения данных.

Что можно сделать с неизвестным паролем

Существует три основных подхода к таким паролям.

1. Во-первых, стоит проверить все пароли из списка, используемого основными криминалистическими пакетами.
2. Затем можно попытаться восстановить оригинальный пароль методом перебора с использованием Elcomsoft Phone Breaker или Elcomsoft Distributed Password Recovery. Этот способ достаточно медленный ещё со времён iOS 10.2, в которой была усилена защита резервных копий.
3. Наконец, неизвестный пароль можно сбросить в настройках устройства. Способ рабочинеоднозначный, т.к. при его использовании удаляется оригинальный код блокировки экрана, а вместе с ним — и часть данных.

Пароли, оставленные после использования криминалистического ПО

Если из устройства была попытка извлечения данных сторонним криминалистическим пакетом, на резервную копию может быть установлен неизвестный пароль. Если вы получили такое устройство, рекомендуем опробовать пароли из следующего списка:

• Elcomsoft iOS Forensic Toolkit: 123
• Cellebrite UFED: 1234
• MSAB XRY: 1234
• Belkasoft Evidence Center: 12345
• Мобильный Криминалист: 123456 (oxygen для старых версий продукта)
• Magnet AXIOM: mag123
• MOBILedit Forensic: 123

Восстановление пароля методом перебора

Если к резервной копии не подошёл ни один из перечисленных выше паролей, вы можете попробовать восстановить оригинальный пароль методом перебора или словарной атаки. Для этого создайте резервную копию с паролем, после чего откройте её в Elcomsoft Phone Breaker или Elcomsoft Distributed Password Recovery. К сожалению, скорость атаки будет невелика: с использованием графического ускорителя удастся опробовать несколько десятков паролей в секунду, а без него — лишь несколько паролей в минуту. С практической точки зрения восстановлению поддаются лишь самые простые пароли либо пароли, присутствующие в небольшом словаре.

Сброс пароля: решение на крайний случай

Если ни подобрать, ни восстановить пароль не удалось, всё же создайте резервную копию. После этого можно рассмотреть вариант со сбросом пароля в настройках устройства.

С выходом iOS 11 появилась возможность сброса пароля резервного копирования непосредственно с устройства iPhone; экран телефона при этом должен быть разблокирован, а код блокировки экрана – известен или пуст. Эта опция по-прежнему доступна в последних версиях iOS, и, вероятно, останется в будущем. В то же время на устройствах с iOS 10 или более ранней версией iOS сброс пароля невозможен.

Последовательность действий:

• На устройстве перейдите в меню «Настройки» > «Основные» > «Сбросить».
• Нажмите «Сбросить все настройки» и введите код блокировки устройства.
• Следуйте инструкциям по сбросу настроек. Это не затронет данные или пароли пользователей, но приведёт к сбросу таких настроек, как уровень яркости дисплея, позиции программ на экране «Домой» и обои. Пароль для шифрования резервных копий также будет удалён.

Обратите внимание: после сброса настроек отключается режим «В полёте», что позволит устройству подключиться к сети интернет с соответствующими рисками и последствиями. Рекомендуем проводить сброс, предварительно поместив устройство в клетку Фарадея.

Сброс пароля к резервной копии по описанному выше сценарию приводит также к удалению кода блокировки экрана устройства, что приведёт к уничтожению части данных:

• Транзакции Apple Pay
• Скачанные сообщения Exchange
• Некоторые другие данные, защищённые кодом блокировки экрана

Кроме того, сброс кода блокировки исключает iPhone из доверенного круга устройств, которые могут синхронизировать в iCloud облачную связку ключей, данные «Здоровья», сообщения и некоторые другие данные. Также утрачивается возможность сброса пароля к iCloud без знания старого, с использованием только кода блокировки устройства. Наконец, теряется большая часть данных, для хранения которой в принципе требуется наличия кода блокировки экрана – например, к данным банковских приложений.