В обновлении iOS Forensic Toolkit появилась поддержка логического извлечения данных с часов Apple Watch Series 6 (с помощью проводного стороннего адаптера), а также Apple Watch Series 7–10, SE2, Ultra и Ultra 2 (с использованием специального беспроводного адаптера). С этим обновлением Toolkit охватывает весь модельный ряд Apple Watch без каких-либо исключений.

Предыстория

Ранее iOS Forensic Toolkit поддерживал два способа извлечения данных из часов Apple Watch:

1. Полное извлечение файловой системы и связки ключей с помощью эксплойта checkm8 для Apple Watch S0-S3 (мы об этом писали). Наше решение до сих пор остаётся единственным, в котором есть такая возможность.
2. Логическое извлечение (медиафайлы и журналы диагностики) для моделей Apple Watch S0-S5 и первого поколения часов Apple Watch SE.
   (Отметим, что в Apple Watch нет классических резервных копий, как у iPhone, поэтому такой — ограниченный — вариант логического извлечения остаётся единственным способом получить данные.)

С выходом модели Series 6 ситуация изменилась.

Apple Watch Series 6

Добавить поддержку новых моделей Apple Watch оказалась сложнее ожидаемого. Начиная с Series 6, Apple внесла серьёзные изменения в низкоуровневые протоколы коммуникации, поверх которых работают такие высокоуровневые протоколы, как AFC (для доступа к фотографиям). Несмотря на то, что физический порт диагностики в этой модели ещё присутствует,  программный интерфейс претерпел сильные изменения; в результате для взаимодействия с устройством нам пришлось разрабатывать новый драйвер.

Реализовать поддержку на Linux было относительно несложно, чуть больше времени заняла реализация для macOS, а разработка драйвера для Windows мы признали нецелесообразной из-за системных ограничений и высокой сложности.

Для Series 6 и более ранних моделей отлично подходит недорогой адаптер MaAnt 8 в 1 IBUS Adapter, доступный напрямую из Китая. Более подробно о различных адаптерах — в нашей статье Анализ Apple Watch: и снова адаптеры.

Apple Watch Series 7 и более новые модели

С выходом Series 7 ситуация изменилась ещё более радикально. До этого поколения все модели Apple Watch имели скрытый диагностический порт, через который можно было подключаться с использованием адаптера для Lightning. Мы перепробовали все доступные на рынке варианты, подробно протестировали каждую модель и даже разработали собственные адаптеры для российского рынка — процесс, занявший массу времени и ресурсов, и, как выяснилось впоследствии, оказавшийся крайне трудоёмким и затратным.

Начиная с Series 7, Apple полностью убрала из часов физический порт диагностики. Теперь для связи с устройством используется проприетарный беспроводной протокол, что на долгое время закрыло возможность подключения часов к компьютеру за пределами авторизованных сервисов Apple: официальные адаптеры компания не продавала, а совместимых сторонних моделей не существовало. Новый протокол обмена данными, появившийся в Series 6, стал вишенкой на торте.

Лишь недавно на рынке появились первые сторонние беспроводные адаптеры. После тщательных испытаний мы определили два рабочих варианта: адаптер IBUS X AWRT Adapter стоимостью порядка $250 и MFC IBUS X Tool AWRT Adapter за вдвое большую цену.

Несмотря на различия в корпусах и качестве сборки, в основе обеих моделей лежит одна и та же плата — вероятно, оригинальный компонент, поступивший прямо с завода Apple (с подлинными идентификаторами и серийными номерами).

Более дешёвая модель работает, но имеет кустарную сборку и нестабильное качество соединения; нам так и не удалось подключить к ней часы больших размеров (например, Ultra, Ultra 2). Более дорогая версия выполнена в компактном металлическом корпусе, демонстрирует более стабильную работу и в целом выглядит гораздо надёжнее. В результате мы рекомендуем использовать именно этот адаптер, который можно приобрести у различных поставщиков (например, напрямую из Китая или с сайта mfcbox.com).

Благодаря появлению этих адаптеров (и, разумеется, поддержке нового протокола коммуникации) iOS Forensic Toolkit может подключаться к современным моделям часов и выполнять логическое извлечение данных. Поддерживаются все модели от Apple Watch Series 7 до 10, SE2, Ultra и Ultra 2. Низкоуровневое извлечение файловой системы остаётся невозможным (нет соответствующих эксплойтов ), но даже логический доступ к медиафайлам, системным журналам и метаданным позволяет извлечь ценные данные.

Технические особенности

При извлечении данных из часов Apple Watch Series 6 и более новых нужно учитывать ряд технических особенностей.

Прежде всего, поддержка Windows отсутствует. Для работы потребуется компьютер под macOS или Linux.

На macOS перед подключением часов нужно открыть отдельное окно терминала, выполнить специальную команду и оставить это окно открытым до завершения всей процедуры. В терминале нужно ввести:

sudo ./tools/usbmuxd -t

Важно: после завершения работы с часами рекомендуем перезагрузить Mac, иначе могут возникнуть проблемы с подключением других устройств (iPhone или iPad).

На Linux запуск этой команды не требуется — можно сразу переходить к подключению.

Если часы не определяются, попробуйте снять их с адаптера и на macOS перезапустить команду usbmuxd: прервать выполнение (Ctrl+C) и снова запустить. Иногда процедуру приходится повторить несколько раз, пока часы не будут обнаружены.

До того, как приступить к извлечению, убедитесь, что часы разблокированы. С заблокированными часами извлечение не сработает.

После того как устройство будет распознано и соединение установлено, не поддавайтесь соблазну поправить часы на адаптере: контакт должен оставаться стабильным на всём протяжении работы. Особенно сложно бывает точно зафиксировать часы последних поколений с крупными корпусами (например, Ultra или Series 9/10).

Доступные данные

Обновлённая версия iOS Forensic Toolkit позволяет извлекать данные из часов Apple Watch Series 6–10, SE2, Ultra и Ultra 2 с использованием логического извлечения. Этим способом доступны следующие данные:

• Медиафайлы (в основном — уменьшенные версии фотографий)
• Системные и диагностические журналы
• Метаданные (информация об устройстве, история установки приложений и другие)

Хотя для новых моделей полноценное извлечение файловой системы остаётся невозможным, даже ограниченный доступ к данным во многих ситуациях может стать критически важным.

Дополнительные материалы

Если вас заинтересовала тема беспроводного подключения часов к компьютеру, мы подобрали несколько полезных ссылок:

• The Apple Watch Series 7 officially ditches the hidden diagnostic port | The Verge
• Proprietary Dock Apple Uses to Wirelessly Troubleshoot Apple Watch Series 7 Surfaces in Regulatory Database — MacRumors