В обновлённой версии iOS Forensic Toolkit появилась возможность расшифровки связки ключей из устройств под управлением всех версий iOS/iPadOS до 15.5 включительно. Что это означает для специалистов, работающих в области мобильной криминалистики?

Для чего это нужно?

Основная цель эксперта в области мобильной криминалистики — извлечь максимальное количество цифровых улик, и связка ключей — важнейший элемент. Все знают, что в связке ключей устройства Apple хранят пароли от веб-сайтов, почтовых учётных записей и точек доступа Wi-Fi. Но связка ключей — это далеко не только пароли. В ней хранятся и номера платёжных карт, и ключи шифрования. На последнем остановимся подробнее.

Ключи шифрования, хранящиеся в связке ключей, используются приложениями для дополнительной защиты информации. Так, ключи из связки используются защищёнными программами мгновенного обмена сообщениями для шифрования баз данных, в которых хранится история переписки. В этот список входят такие программы, как Signal, Wickr, SnapChat и Threema. Кроме того, данные из связки ключей используются и системным приложением Notes для шифрования заметок (если пользователь включил шифрование).

До связки ключей можно добраться несколькими способами. На сей раз мы обновили агент-экстрактор, добавив поддержку устройств Apple, для которых доступна iOS/iPadOS 15 и собранных на чипах от Apple A12 до A15 Bionic, а также модели на Apple Silicon (чип M1). Для моделей iPhone 8, 8 Plus и iPhone X, собранных на чипах A11, есть ограничение: для них извлечение как связки ключей, так и образа файловой системы доступно только до версии iOS 15.3.1. Впрочем, совсем уж плохой новостью это не назвать: для этого поколения устройств, работающих под управлением любой версии iOS 15, в нашем продукте предусмотрена поддержка через эксплойт загрузчика checkm8.

Что хранит связка ключей

В связке ключей содержатся ценные данные – пароли к веб-сайтам, почтовым учётным записям и точкам доступа Wi-Fi, социальным сетям и облачным сервисам. Кроме того, в связке ключей хранятся ключи шифрования, посредством которых защищена, к примеру, зашифрованная история переписки некоторых программ мгновенного обмена сообщения.

Отметим, что наш метод извлечение при помощи приложения-агентом уникален: мы были первыми, кто внедрил этот метод для устройств под управлением iOS, а список поддерживаемых устройств и версий ОС в нашем продукте самый широкий, включая в том числе и модели на процессорах M1: