Последнее обновление iOS Forensic Toolkit решает давнюю проблему, связанную с установкой и использованием агента-экстрактора для низкоуровневого извлечения данных. В версии 8.70 мы внедрили ключевое улучшение: теперь можно установить и запустить агент-экстрактор в режиме офлайн, используя любой аккаунт Apple Developer независимо от даты его создания. Подробнее о проблеме и её решении — в этой статье.

Предыстория

Сформулируем суть проблемы, но перед этим вспомним, что такое агент-экстрактор. Агент-экстрактор извлечения данных — компактное приложение, разработанное нашей компанией для устройств под управлением iOS и iPadOS, которое играет ключевую роль в процессе низкоуровневого доступа к данным. В этом приложении мы собрали все известные нам эксплойты, позволяющие совершить «побег из песочницы» и получить доступ к корню файловой системы и ключам шифрования, необходимым для расшифровки связки ключей (в ней хранятся ключи и пароли пользователя как к приложениям, так и к учётным записям). После загрузки на совместимое устройство iOS или iPadOS происходит следующее.

• После запуска агента-экстрактора приложение применяет цепочку эксплойтов для повышения уровня привилегий. Если всё прошло успешно, приложению становится доступен корень файловой системы; получается доступ к ключам шифрования.
• Устанавливается канал связи между устройством и компьютером.
• Теперь инструментарий iOS Forensic Toolkit, запущенный на компьютере, получает полный доступ к файловой системе и возможность расшифровать связку ключей. Происходит процесс извлечения данных.

Напомним, что посредством низкоуровневого доступа можно извлечь намного больше данных, чем другими способами (такими, как расширенное логическое извлечение).

Для чего нужна учётная запись, а для чего — учётная запись разработчика

Итак, посредством агента-экстрактора можно получить низкоуровневый доступ к файловой системе iPhone и извлечь из него все файлы и связку ключей. Для чего нужна учётная запись? Ответ — в процедуре установке агента-экстрактора на устройства с iOS, о которой мы подробно рассказали в статье Ещё раз об учётных записях разработчика. Чтобы стороннее приложение можно было установить на устройстве, iOS потребует проверки сертификата. В iOS сертификат удостоверяет не только разработчика приложения, но и идентифицирует устройство или устройства, на которые может быть установлено приложение. Для подписания пакета используется учётная запись Apple ID.

Если для подписи агента использовать обычную учётную запись (одноразовый Apple ID), то для его установки потребуется выпустить устройство в интернет для проверки сертификата и при первом запуске. Выход в сеть связан с потенциальными рисками — начиная от нежелательной синхронизации устройства и заканчивая удалённой блокировкой или командой на уничтожение данных. Учётная запись разработчика позволяет установить агент-экстрактор в режиме офлайн, без связи с Интернет. Это — важнейшее преимущество данного типа учётных записей с точки зрения криминалистики.

Что случилось?

Так было до 6 июня 2021. В этот день Apple внесли изменения в правила программы для разработчиков. Теперь при помощи учётной записи, которая была зарегистрирована после 6 июня 2021, можно по-прежнему установить приложение в режиме офлайн без проверки сертификата, однако при первом запуске устройству требовался выход в сеть.

Иными словами, полностью офлайновая работа обеспечивалась теперь только теми учётными записями, которые были зарегистрированы в программе для разработчиков до 6 июня 2021 года. С точки зрения эксперта-криминалиста ценность «новых» учётных записей разработчика резко снизилась — вплоть до того, что мы перестали рекомендовать их использование вообще, т.к. различия между такими (платными) учётными записями и одноразовыми обычными Apple ID для наших целей стали несущественными.

Решение проблемы

В обновлении iOS Forensic Toolkit 8.70 мы разработали способ, позволяющий использовать агент-экстрактор в режиме офлайн с использованием любой учётной записи, зарегистрированной в программе Apple для разработчиков. Больше не имеет значения, была ли учётная запись зарегистрирована до или после 6 июня 2021. Иными словами:

• Работают все учётные записи, зарегистрированные в программе Apple для разработчиков.
• Больше не требуется подключение устройства к интернету ни на этапе загрузки, ни при первом запуске.
• Извлечение данных стало безопасным и автономным.
• Если у вас есть учётная запись разработчика, для установки агента использование файрвола не требуется независимо от даты регистрации аккаунта.

Мы вновь рекомендуем использовать учётные записи, зарегистрированные в программе Apple для разработчиков. Использование таких учётных записей позволяет заметно упростить установку агента-экстрактора и сделать весь процесс более безопасным. Вы по-прежнему можете использовать и обычные учётные записи, однако для них мы усиленно рекомендуем использовать файрволл.

Ограничения

Наше решение поддерживается во всех редакциях iOS Forensic Toolkit для Windows, macOS и Linux. Основных ограничений два:

1. Срок действия сертификата составляет 7 дней. Если последующее извлечение данных проводится спустя более чем 7 дней после первоначальной установки агента, агент-экстрактор нужно будет переустановить.
2. Количество устройств, которые можно подписать с помощью одной учётной записи разработчика, ограничено 100 устройствами каждого типа в год (100 iPhone и 100 iPad). При большем количестве устройств потребуется регистрация дополнительных учётных записей.
3. Теперь инструментарий будет запрашивать тип учётной записи (обычная или учётная запись разработчика); важно ответить правильно, иначе подпись не сработает.

Заключение

Обновление iOS Forensic Toolkit заметно упрощает самый сложный шаг в процессе установки агента-экстрактора и делает его более безопасной.