Пользователи iOS Forensic Toolkit регулярно сталкиваются с проблемами при установке и использовании агента-экстрактора, необходимого для низкоуровневого извлечения образа файловой системы устройств под управлением iOS. Мы накопили достаточную статистику обращений в службу поддержки, классифицировали проблемы и публикуем готовые решения.

О какого рода проблемах идёт речь?

Несмотря на то, что агент-экстрактор — технически сложный продукт, использующий недокументированные особенности и уязвимости для повышения уровня привилегий в мобильных ОС Apple, речь пойдёт не об используемых эксплойтах и поддерживаемых или не поддерживаемых версий iOS. Сегодня мы поговорим о том, что делать в случаях, когда эксперту не удаётся установить агент или агент не работает несмотря на то, что на устройстве установлена поддерживаемая версия ОС.

Большая часть возникающих проблем удаётся решить, ответив на следующие вопросы:

1. Корректно ли подготовлены устройства?
2. Удаётся ли запустить установку агента?
3. Удаётся ли запустить скрипт файрволла?
4. Если возникают ошибки при запуске скрипта файрволла, то какие?
5. Корректно ли настроен internet sharing?
6. Какой перечень действий совершает пользователь, и на каком именно этапе происходит сбой?

Процедурные ошибки

Типичны две основные ошибки:

1. Попытка установки и запуска агента без использования файрволла (программного или аппаратного), что подвергает данные на устройстве опасности удалённого уничтожения или блокировки устройства.
   • Решение: изучите особенности установки агента-экстрактора с использованием файрволла (в виде скрипта или программно-аппаратного решения на основе Raspberry Pi или Orange Pi)
   • Альтернатива: используйте старую учётную запись разработчика (зарегистрированную до 6 июля 2022). В этом случае валидации сертификата на устройстве не требуется.
2. Извлечение только образа файловой системы без извлечения связки ключей.
   • Решение: всегда проводите извлечение связки ключей с её последующим анализом. Рекомендуем делать это перед извлечением образа файловой системы, т.к. извлечение связки ключей, в отличие от полного образа устройства, происходит практически моментально.

Ошибки при подготовке устройства

Перед тем, как приступить к установке агента на устройство, критически важно сделать следующие проверки:

Проверить версию iOS

Агент-экстрактор поддерживает широкий, но не бесконечный ряд версий iOS. Перед началом работы убедитесь, что агент-экстрактор установленной на вашем компьютере версии iOS Forensic Toolkit поддерживает версию iOS, установленную на целевом устройстве.

Важно: мы постоянно работаем над расширением списка версий iOS, поддерживаемых агентом-экстрактором. Если установленная на устройстве версия iOS не поддерживается имеющейся в вашем распоряжении версией агента-экстрактора, возможно, вам потребуется установить обновление iOS Forensic Toolkit.

Проверить дату и время на целевом устройстве

Недостаточно проверить только текущее время; обязательно убедитесь, что не только время, но и день/месяц/год соответствуют текущему значению. Почему это важно: операционная система устройства должна корректно верифицировать сертификат цифровой подписи, который будет передан с сервера Apple; верификация включает проверку срока действия сертификата. Если время/дата не совпадают, то проверка не будет пройдена.

Решение: установить корректные дату и время в настройках устройства.

Убедитесь в корректном сопряжении устройства с компьютером

Чтобы убедиться, что сопряжение устройства с компьютером корректно установлено, последовательно выполните команды:

EIFT_cmd normal unpair

EIFT_cmd normal pair

Внимание: не забудьте отключить раздачу интернета после подписи агента!

Если вы забудете отключить раздачу интернета с компьютера после подписи агента на целевом устройстве, возможна потеря данных в результате получения команды на удалённую блокировку или удалённый сброс устройства в процессе работы.

Не используйте VPN или прокси-сервер в процессе подписи агента

В процессе цифровой подписи агента-экстрактора на компьютере не должно быть активных VPN соединений или прокси.

Используйте кабели USB Type-C — Lightning

В отличие от извлечения посредством checkm8, для которого нужен кабель USB-A — Lightning, извлечение посредством агента-экстрактора может работать быстрее и надёжнее при использовании сертифицированного кабеля USB-C — Lightning.

Ошибки с установкой агента или использованием EIFT

В этом разделе собраны решения типичных проблем, возникающих в процессе установки и использования агента-экстрактора.

При попытке запустить EIFT на компьютере возникают ошибки «недостаточно прав доступа»

Причин возникновения этой ошибки может быть несколько:

• не выполнена команда xattr, как это описано в документации
  • Решение:
  • зайти в терминал
  • перейти в папку со скриптом установленного файрволла
  • выполнить команду (точка в конце обязательна): sudo xattr -d com.apple.quarantine .
• исполняемый код находится на рабочем столе
  • Решение: перенести EIFT в другое место, например, в локальный applications
• не выданы права полного доступа shell к диску
  • Решение: выдать права доступа следующим образом:
    Выбрать System Preferences->Security & Privacy->Full Disk Access
    Кликнуть на иконку «замок», чтобы разблокировать возможность изменений
    Нажать ‘+’
    Нажать комбинацию кнопок ‘cmd + Shift + .’ для отображения скрытых файлов
    Выбрать путь /bin/sh

При попытка запустить скрипт файрволла возникают ошибки «не найдено» или «не хватает прав»

Алгоритм решения этой проблемы совпадает с ранее описанным:

• не выполнена команда xattr, как это описано в документации
  • Решение:
    • зайти в терминал
    • перейти в папку со скриптом установленного файрволла
    • выполнить команду (точка в конце обязательна): sudo xattr -d com.apple.quarantine .
• исполняемый код находится на рабочем столе
  • Решение: перенести EIFT в другое место, например, в локальный applications
• не выданы права полного доступа shell к диску
  • Решение: выдать права доступа следующим образом:
    • Выбрать System Preferences->Security & Privacy->Full Disk Access
    • Кликнуть на иконку «замок», чтобы разблокировать возможность изменений
    • Нажать ‘+’
    • Нажать комбинацию кнопок ‘cmd + Shift + .’ для отображения скрытых файлов
    • Выбрать путь /bin/sh

Не удаётся настроить раздачу (sharing) интернета

• ошибка настройки раздачи интернета для USB устройств
  • Как правило, проблема в неверно выбранном источнике интернета (см. скриншот)
• иногда в списке присутствует более одного iPhone/iPad
  • Искать необходимое соединение требуется заранее, опытным путём на тестовом (не целевом!) устройстве

Файрволл запустился, тесты проходят, но установить агент на целевом устройстве не удаётся

• На устройстве присутствует MDM профиль, который запрещает установку сторонних приложений
  • Решение: проведите оценку рисков и сделайте выбор между двумя возможными решениями: либо удалить профиль MDM, что чревато потерей данных, либо использовать другой метод извлечения

Файрволл запустился, тесты проходят, но на целевом устройстве не срабатывает подпись агента

• Некорректно установлены время/дата на устройстве
  • Решение: проверить и при необходимости изменить дату на текущую; начать всю процедуру заново, включая установку агента

Недостаточно места на целевом диске либо внешний носитель отформатирован в FAT32

В первом случае рекомендуем использовать внешний носитель. В то же время убедитесь, что внешний носитель отформатирован в файловой системе, отличной от FAT32 — в последней невозможно создание файлов размером более 4ГБ, а образ файловой системы практически любого устройства превышает этот размер.

Попытка извлечения, агент не запущен либо работает в фоновом режиме

Агент-экстрактор должен быть запущен и работать в активном режиме

Часто встречающаяся ошибка — попытка извлечения данных из устройства, на котором установлено, но не запущено приложение агента-экстрактора. Другая ошибка — попытка извлечения при работе агента-экстрактора в фоновом режиме.

Решение: агент-эсктрастор должен быть запущен в качестве активного приложения.

Не отключены все беспроводные сети

Первое, что следует сделать при работе с целевым устройством — активировать режим «в полёте». Однако этого недостаточно: после активации режима «в полёте» необходимо также проверить состояние переключателей Bluetooth и Wi-Fi, которые также необходимо отключить. Это связано с тем, что iOS запоминает положение этих переключателей с момента предыдущей активации «полётного» режима. Если пользователь использовал Wi-Fi или Bluetooth, то эти сети не будут деактивированы даже при включении авиарежима.

Неудачная попытка эксплойта с ошибкой «All exploits failed»

Одна из самых распространённых причин этой ошибки — недостаточная или слишком длинная пауза после загрузки или перезагрузки устройства.

Эксплойты, применяемы в агенте, чувствительны ко времени. Для некоторых версий версий iOS желательно после любой перезагрузки подождать не более 10 секунд прежде чем запустить агента и начать извлечение. В то же время для iOS 16 рекомендуется подождать около минуты, чтобы все низкоуровневые процессы успели стабилизироваться. Точно указать время ожидания для каждой версии iOS трудно, поэтому в случае возникновения проблем с эксплойтом имеет смысл пробовать как короткие, так и более длинные паузы.

Обратите внимание, что слишком долгие паузы также могут привести к неработоспособности эксплойтов. Если устройство проработало несколько дней, большинство эксплойтов не установится. В этом случае перегрузите устройство и повторите попытку. В отдельных случаях может потребоваться до 5 попыток, перемежающихся перезагрузками.

Решение: перегрузить устройство и подождать от 10 секунд до 1 минуты.

Алгоритм определения точки возникновения проблемы

Если не помогает ни одно из описанных выше решений, рекомендуем воспользоваться описанным ниже алгоритмом, который позволяет определить точку возникновения проблемы.

Внимание: для отработки описанных ниже шагов используйте тестовое, а не исследуемое (целевое) устройство!

1. Во-первых, добейтесь ситуации, в которой интернет при отключённых сетевых интерфейсах (WiFi/мобильный интернет) доступен на тестовом устройстве, которое подключено кабелем к компьютеру Mac (на этом шаге проверяется работоспособность раздачи интернета с компьютера). Если этого нет, см. ответы на тему «не работает раздача интернета».
2. Попытайтесь подписать агент на тестовом устройстве без запуска скрипта файрволла. Если это удалось, то проблема в настройке файрволла; в этом случае см. следующий пункт. Если же подпись не сработала даже без файрволла, то понадобится создать новую учётную запись Apple ID. В идеале требуется добиться ситуации, когда весь процесс корректно работает на тестовом устройстве на данном этапе. Если подпись не срабатывает даже с новой учётной записью, обратитесь в нашу техподдержку: вероятно, мог измениться алгоритм/протокол цифровой подписи на стороне Apple; для обхода этого может потребоваться обновить версию EIFT.
3. Если на предыдущем этапе удалось успешно подписать агент на тестовом устройстве, попытайтесь установить и подписать агент с запущенным скриптом файрволла. Если все прошло успешно, см. следующий пункт. В противном случае проблема с настройками файрволла. Иногда может потребоваться перезагрузить тестовое устройство, отключив его от компьютера, но не выключая скрипта файрволла, после чего попробовать пройти подпись заново. Если перезагрузка не помогла, обратитесь в нашу техподдержку.
4. Если все шаги прошли успешно на тестовом устройстве, а на целевом устройстве подпись с запущенным скриптом файрволла не проходит, проделайте следующие шаги:
   • Отключите устройство от кабеля и подключите заново, после чего повторите попытку подписи (скрипт файрволла должен быть запущен!)
   • Отключите и перезагрузите целевое устройство, затем подключите его снова (скрипт файрволла должен быть запущен!)