Установка агента-экстрактора без учётной записи разработчика

27 декабря, 2022, Oleg Afonin
Рубрика: «Полезные советы»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Для полного извлечения файловой системы из устройств Apple крайне желательно иметь учётную запись разработчика, но с регистрацией в этой программе Apple уже давно существуют проблемы, а проблема с оплатой может стать нерешаемой. Мы разработали решение, позволяющее использовать обычные учётные записи — но только на компьютерах под управлением macOS. Использование учётной записи Apple ID, не принадлежащей разработчику, сопряжено с рисками и ограничениями. В этой статье мы расскажем, как установить агент-экстрактор и верифицировать подпись с обычного Apple ID относительно безопасным образом.

Для чего это нужно

При извлечении данных из мобильных устройств Apple Elcomsoft iOS Forensic Toolkit использует обходные пути для эскалации привилегий, чтобы получить доступ к файловой системе. Для всего перечисленного мы разработали специальное приложение — агента-экстрактора, который устанавливается на iPhone или iPad, чтобы получить доступ к файловой системе и организовать канал передачи данных на компьютер с запущенным iOS Forensic Toolkit.

Агент-экстрактор для iPhone и iPad: шпаргалка

Извлечение данных при помощи агента даёт многочисленные преимущества по сравнению с логическим извлечением, однако агент-экстрактор должен быть каким-то образом установлен на устройство. Использовать штатные средства для загрузки агента невозможно, однако есть лазейка: установка поддерживается при использовании идентификатора Apple ID, зарегистрированного в программе разработчика Apple.

Но что делать, если у вас нет возможности зарегистрировать учётную запись в программе Apple для разработчиков? В таком случае можно использовать обходной путь, но лишь при условии, что агент-экстрактор устанавливается с компьютера Mac (увы, установка с Windows возможна исключительно через программу Apple для разработчиков). Есть и более опасный подводный камень: процесс установки требует подтверждения цифрового сертификата, которым подписано устанавливаемое приложение, а для этого, в свою очередь, необходимо подключиться к серверу Apple.

Не будем подробно останавливаться на том, почему такое подключение в процессе расследования недопустимо. Упомянем лишь очевидные вещи — автоматическую синхронизацию данных на устройстве (нарушается неизменность улик) и ненулевой риск дистанционной блокировки и/или стирания устройства через приложение Find My (Локатор). Загрузка и подпись агента идентификатором Apple ID, зарегистрированным в программе Apple для разработчиков, полностью устраняет эту проблему, но и при использовании обычной учётной записи риск можно свести к допустимому минимуму, ограничив подключение на устройстве одним субдоменом apple.com, который требуется для проверки сертификата.

Как обезопасить подключение в процессе установки агента-экстрактора

Во-первых, скачайте скрипт по ссылке:

https://www.elcomsoft.com/download/firewall.zip

Важно: убедитесь в точности установки времени и даты на телефоне! Если на аппарате 1970 год, цифровая подпись не будет верифицирована!

Далее следуйте инструкции.

НЕ ГАРАНТИРУЕТСЯ, что Apple не изменит работу учётных записей и ваша учётная запись не будет заблокирована в дальнейшем. Скрипт блокирует только TCP пакеты. В любой момент разработчики Apple могут внести изменения, которые могут привести к любым отклонениям в работе скрипта. Мы настоятельно рекомендуем использовать Apple Developer Account как единственно безопасный способ!

Скрипт не поможет, если на телефоне включена функция Private Relay. Отключите её в настройках. Также убедитесь, что на телефоне не включены VPN-сервисы.

Если нет никакой возможности использовать учётную запись для разработчиков, проделайте следующие шаги:

Шаг 1. Вам понадобится тестовый телефон, не тот, с которого будут извлекаться данные. На тестовом телефоне отключите все сетевые интерфейсы (WiFi/Bluetooth/мобильные данные). Убедитесь, что есть iPhone USB, включите Internet Sharing.

Обратите внимание, что пока у вас включена опция Internet Sharing с использованием интерфейса iPhone USB, любой подключённый к этому компьютеру iPhone может получить доступ в Интернет, даже если на нём включён авиарежим.

Шаг 2. Запустите скрипт. Он запросит подключить тестовый телефон.

Шаг 3. Следуйте запросам скрипта, он установит необходимые настройки файрвола и предложит проверить, всё ли работает

Шаг 4. Отключите и снова подключите тестовый телефон к компьютеру (дождавшись характерного звукового сигнала от Mac). Проверьте, что https://ppq.apple.com открывается, а остальные сайты — нет. Кэш Safari рекомендуем очистить заранее, чтобы не произошла загрузка из кэша.

Не нужно проверять доступность на сайтах google.com, ebay.com и подобных крупных порталах. Эти сайты работают не так, как обычные. Это приложения, которые грузятся по протоколу, отличному от TCP! Проверьте, к примеру, на нашем сайте elcomsoft.ru.

Шаг 5. После проверки можно завершить исполнение скрипта. Далее можно подключать телефон, с которым вам придётся работать.

Файрвол на компьютере после этой операции будет работать либо до перезагрузки компьютера, либо до запуска скрипта uninstall_firewall.sh

 


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft iOS Forensic Toolkit

Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).

Официальная страница Elcomsoft iOS Forensic Toolkit »

НАШИ НОВОСТИ