»

Пять способов извлечения данных из iPhone и iPad

10 января, 2025, Oleg Afonin
Рубрика: «Полезные советы»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Извлечение данных — одна из самых сложных задач в работе специалиста по мобильной криминалистике. Получить информацию из устройств iPhone или iPad можно несколькими разными способами. Какой из них использовать? Ответ зависит как от того, работаете ли вы с «динозавром» iPhone 5s или пытаетесь извлечь данные из свежего iPhone 16 Pro Max, так и от ряда сопутствующих условий, многие из которых неочевидны. У каждого способа свои достоинства и свои особенности, ограничения и подводные камни. В этой статье мы сравним основные методы извлечения данных из устройств Apple.

Данные можно извлечь. Но только если известен пароль

Извлечение данных — первый шаг исследования устройства, но именно он часто оказывается самым сложным. Практически все способы доступа к данным требуют либо уже разблокированного устройства, либо (гораздо чаще) известного кода блокировки экрана. Зная код блокировки, можно получить доступ к устройству, обойдя основную меру безопасности. Знание пасскода необходимо (но не всегда достаточно) для использования таких продвинутых способов, как эксплойт загрузчика или извлечение агентом-экстрактором.

Для современных iPhone и iPad извлечение с известным кодом блокировки — практически единственный способ работы с нашими инструментами, работающими с физическим устройством. В отдельных случаях даже без пасскода из устройства можно извлечь небольшое количество информации, однако данных в таких случаях будет очень и очень немного — в основном это информация о самом устройстве.

Эксплойт загрузчика

Этот метод нам нравится больше всего. Он надёжен, безопасен и эффективен. Однако время его, к сожалению, подходит к концу. Последнее устройство, которое полностью поддерживается этим методом — iPhone 7, выпущенный более восьми лет назад. Формально метод работает и с iPhone 8, 8 Plus и iPhone X, но только если на них установлена старая версия iOS. В частности, iOS 11-13 поддерживаются безусловно, для iOS 14-15 перед извлечением необходимо сбросить пароль, а извлечение из iOS 16 практически недоступно: оно сработает только в том случае, если код блокировки никогда не был установлен.

Если устройство подвержено эксплойту загрузчика, обязательно используйте этот способ.

Что это?

  • Низкоуровневый, неинвазивный метод извлечения данных.
  • Эксплуатирует уязвимости в загрузчиках устройств (например, checkm8).
  • Подходит для нескольких поколений устройств Apple.

Плюсы

  • Надежный и воспроизводимый метод, идеален с криминалистической точки зрения.
  • Возможен частичный доступ к данным даже в режиме BFU (Before First Unlock) при неизвестном коде блокировки.
  • Данные на устройство не подвергаются ни малейшим изменениям.
  • Полный доступ к файловой системе и связке ключей.
  • Поддержка Apple TV (вплоть до первой модели 4K), Apple Watch (до S3) и HomePod первого поколения.

Минусы

  • Работает только со старыми устройствами.
  • Требуется компьютер с macOS или Linux.

Добавим, что для некоторых устаревших устройств на основе процессора Apple A6 доступна разблокировка с перебором пасскода. Мы работаем над решением для более свежих моделей на основе процессоров A7-A10.

Агент-экстрактор

Этот метод позволяет получить такой же объем данных, как и через эксплойт загрузчика, но работает в том числе и с гораздо более свежими устройствами. Диапазон совместимых начинается с линейки iPhone 8/X, которые могут как поддерживать, так и не поддерживать извлечение через эксплойт загрузчика (это зависит от установленной на устройство версии iOS), а заканчивается iPhone 15 Pro Max. Совместимость зависит от версии iOS, установленной на устройстве: агент-экстрактор эксплуатирует известные уязвимости ядра операционной системы для получения привилегий, необходимых для доступа к данным.

Что это?

  • Низкоуровневый метод извлечения с минимально возможным вмешательством в работу устройства.
  • Эксплуатация цепочек уязвимостей в iOS или iPadOS.
  • Поддержка устройств iPhone и iPad.

Плюсы

  • Работает с современными моделями устройств.
  • Полный доступ к файловой системе и связке ключей.

Минусы

  • Ограниченная поддержка версий iOS.
  • Для установки агента на устройство и его запуска требуются дополнительные меры безопасности.
  • Может не работать с некоторыми устройствами (например, с MDM).

Этот метод нельзя назвать абсолютно надежным, так как есть факторы, которые могут привести к сбоям даже на полностью совместимых устройствах. Например, политики MDM или настройки ScreenTime могут сделать установку агента на устройство невозможной. Тем не менее, этот метод — прекрасный вариант, и мы настоятельно рекомендуем его использовать на всех поддерживаемых устройствах.

Расширенное логическое извлечение

Если устройство не совместимо ни с эксплойтом загрузчика, ни с методом, использующим агент-экстрактор, у вас остаётся возможность воспользоваться логическим извлечением.

Что это?

  • Высокоуровневый метод извлечения, через который доступны только разрешённые данные через официальные протоколы Apple.

Плюсы

  • Широкая совместимость, простота и минимальный риск при правильном использовании.
  • Также работает с Apple TV и Apple Watch (хотя объём данных будет меньше).
  • Полная совместимость со всеми моделями устройств и версиями ОС.

Минусы

  • Извлечение связки ключей — частичное.
  • Невозможно получить доступ к важным системным данным.
  • Невозможно извлечь данные из многих приложений.
  • Извлекаются только те данные, которые явно разрешены разработчиками приложений и Apple.
  • Множество препятствий, таких как пароль к резервной копии или функция защиты «Stolen Device Protection», которая требует биометрии пользователя в дополнение к коду блокировки.

Логическое извлечение — не самый совершенный метод, но он весьма полезен, когда другие способы недоступны.

Осмотр вручную

Когда невозможно даже логическое извлечение данных, не говоря уже о низкоуровневых методах, на помощь приходит техника осмотра вручную. Этот подход может быть использован даже в самых сложных ситуациях, но и у него есть свои ограничения.

Что это?

  • Доступ к отдельным файлам и их передача через AirDrop или облачные сервисы.
  • Создание скриншотов, фото- и видеофиксация данных, отображаемых на экране устройства.

Плюсы

  • Быстро и просто.
  • Можно проделать с любыми устройствами (если они разблокированы).

Минусы

  • Не является криминалистически чистым (а часто — даже допустымым).
  • Множество изменений в данных.
  • Достоверность полученных таким образом цифровых улик сомнительна, а возможность их представления в качестве цифровых доказательств — сомнительна вдвойне.
  • Доступен лишь ограниченный объем данных.

Ручной осмотр лучше использовать лишь в крайних случаях, когда того требует обстановка, а другие подходы недоступны. Однако следует учитывать его ограничения, особенно если требуется юридическая чистота процесса.

Извлечение из облака

Извлечение данных из облачных сервисов — это универсальный метод, который можно использовать как сам по себе, так и в сочетании с другими подходами. Облачное извлечение может помочь заполнить пробелы в собранной информации. Этот метод может оказаться единственным доступным, если физический доступ к устройству невозможен, но и требования к его применению могут быть достаточно высокими.

Что это?

  • Загрузка данных из облачных сервисов (для устройств Apple — из iCloud).

Плюсы

  • Устройство не требуется.
  • Позволяет извлечь все данные из облачной учетной записи пользователя, включая информацию с других устройств.

Минусы

  • Требуются полные учётные данные для аутентификации в облаке.
  • Для работы с данными с сквозным шифрованием потребуется пароль от доверенного устройства.
  • Данные в iCloud могут быть недоступны (например, из-за недостатка места в учётной записи, отключённой синхронизации или отсутствия резервных копий).
  • В облаке могут храниться устаревшие данные.
  • Возможны юридические ограничения.

Извлечение данных из облака особенно эффективно в сочетании с другими методами, так как оно помогает собрать данные, которые не удалось получить из самого устройства. Тем не менее, при использовании облачного извлечения следует обязательно учитывать юридические и технические аспекты.

В итоге

Ниже представлено краткое сравнение методов:

Метод SoC iOS Данные
Эксплойт загрузчика A4-A11* Все* Полная файловая система, связка ключей
Агент A11-A17 12.0 — 16.6.1 Полная файловая система, связка ключей
Логическое Все Все Резервные копии, логи, медиафайлы
Ручной осмотр Все Все Ограниченный объем данных
Облачное Все Все Резервные копии, синхронизированные данные

*Обратите внимание, что поддержка извлечение через эксплойт загрузчика из устройств на A11 (iPhone 8/X) имеет ограничения, см. выше.

Полезные советы

  1. Изучите доступные варианты. Начните с того, чтобы понять, какие методы совместимы с исследуемым устройством хотя бы в теории.
  2. Изучите сильные и слабые стороны каждого метода. У каждого метода есть свои особенности, ограничения и последствия.
  3. Постарайтесь извлечь образ файловой системы. Если это возможно, вы получите максимально полный набор данных.
  4. Будьте осторожны и аккуратны. Используйте любой метод аккуратно, чтобы не повредить устройство, не изменить его данные и не повлиять на возможность их использования в судебном процессе.

Необходимые инструменты

Чтобы извлечь данные, вам понадобятся соответствующие инструменты: Elcomsoft iOS Forensic Toolkit для работы с физическим устройством и Elcomsoft Phone Breaker для извлечения данных из iCloud.

Извлечение — это только начало

Когда данные собраны, работа на этом не заканчивается. Вам потребуется разобрать данные и расшифровать их, если потребуется; проанализировать и подготовить отчет. При этом важно соблюдать правило: не полагайтесь на единственный инструмент. Во-первых, разные инструменты поддерживают разный спектр данных, включая системные артефакты, данные приложений и их версии; универсального решения просто не существует. Во-вторых, даже самые надёжные программы подвержены ошибкам, особенно в новых версиях, где часты ситуации, когда то, что раньше работало, может перестать или работать некорректно.

Кроме того, крайне важно исследовать не только телефоны и планшеты, но и другие устройства, о которых часто забывают: iPod, Apple Watch, Apple TV, HomePod. Эти гаджеты могут содержать уникальные данные, которых нет в других источниках, либо данные, доступ к которым заблокирован из-за сложных паролей. Более того, такие устройства иногда помогают обойти защиту: например, пароль, найденный на старом устройстве, может подойти для нового. Именно поэтому полезно анализировать и старые устройства; такие случаи довольно часты на практике.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
НАШИ НОВОСТИ
  »