В предыдущих статьях мы рассказали о том, как собрать адаптер для подключения колонки HomePod первого поколения к компьютеру и как извлечь из устройства образ файловой системы и связку ключей. В заключительной статье рассказывается о том, какие данные удалось обнаружить среди извлечённой из умной колонки информации.
В исследуемом HomePod обнаружилась копия связки ключей. После того, как мы открыли соответствующий файл в Elcomsoft Phone Viewer, мы обнаружили наличие двух типов записей: паролей к Wi-Fi и токенов (маркеров аутентификации).
Среди паролей Wi-Fi мы обнаружили все пароли к беспроводным сетям, которые использовались на iPhone, привязанном к соответствующей учётной записи Apple ID. Среди разнообразных токенов мы обнаружили маркеры аутентификации в Apple ID. Можно ли их как-то использовать — вопрос открытый.
При извлечении образа файловой системы был создан файл размером в 3.81 ГБ. При открытии файла в Elcomsoft Phone Viewer были обнаружены данные в трёх категориях: Calls (журнал звонков), Locations (записи о местоположении) и Media (всё, что относится к медиа-файлам).
Ещё в 2016 году мы обнаружили, что информация о входящих и исходящих вызовах, включая пропущенные и отклонённые звонки, автоматически отправляется в «облачный» сервис iCloud. На тот момент не существовало механизма, позволяющего отключить такую синхронизацию; возможно, на факт синхронизации оказывает влияние значение опции «Allow Calls on Other Devices», которая появилась в более поздних версиях системы. В любом случае, в исследуемой колонке HomePod было обнаружено 253 записи о звонках, совершённых в 2020 году. Ни более ранних, ни более поздних записей обнаружено не было.
HomePod — стационарное устройство, которое невозможно защитить кодом блокировки. По этой причине мы не ожидали обнаружить данных о местоположении, синхронизированных из облака. 102 записи, которые нашлись в устройстве, основаны на данных Wi-Fi и указывают на домашний адрес пользователя.
Мы не обнаружили ни одного медиа-файла, который был бы создан пользователем. На устройстве нашлись предустановленные звуки (например, запись белого шума) и некоторые системные изображения.
Mattia Epifani проанализировал содержимое файловой системы и сообщил о наличии следующих данных.
Загрузив извлечённый из устройства образ файловой системы в продукт с открытым исходным кодом iLEAPP, можно получить доступ ещё к некоторым категориям данных.
Подкасты:
Biome Now Playing:
Список подключённых устройств Bluetooth:
Наконец, журнал с историей обновлений iOS:
В процессе анализа содержимого колонки HomePod мы обнаружили ограниченное количество данных, которые могут представлять интерес для расследования. В связке ключей содержатся пароли от сетей Wi-Fi и некоторые токены, в том числе и токен от Apple ID. В файловой системе обнаружилась база данных с архивом звонков за 2020 год, нашлись данные с историей местоположения колонки, указывающие на домашний адрес пользователя. В базе данных Bluetooth нашлось огромное число записей как о привязанных устройствах Bluetooth, так и об устройствах, которые находились в пределах видимости колонки. Среди прочих данных обнаружилась история использования будильника и метаданные медиа-файлов. Ещё раз подчеркнём: в процессе расследования важно исследовать все электронные устройства, в которых могут содержаться цифровые улики.
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).
Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.