Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Экосистема Apple: неочевидные источники

Помимо iPhone и iPad, в экосистеме Apple хватает других устройств, способных хранить цифровые следы — от iPod Touch до Apple Watch, Apple TV и HomePod. Каждое из них может содержать полезные артефакты, но степень защищённости и способы доступа к данным (например, с использованием iOS Forensic Toolkit) сильно различаются. К каким-то устройствам можно использовать те же подходы, которые работали во времена старых iPhone, а где-то единственный вариант — извлечь журналы событий, которые ещё нужно предварительно создать. Критически важно заранее понимать, какие усилия придётся затратить на получение доступа к данным, что именно можно потенциально извлечь из устройства, насколько важны и нужны ли вообще эти данные в ходе расследования. Рассмотрим каждый тип устройств.

Apple iPod Touch

Формально — плеер, по факту — почти полноценный iPhone без SIM-карты. Последние модели, выпущенные в 2019 на чипе А10, как у iPhone 7, и официально переведённые производителем в статус устаревших в 2022 году, поддерживают iOS до 15-й версии, а значит, и значительную часть актуальных данных, которые могут синхронизироваться и с других устройств пользователя: сообщения, ключи, историю Safari, заметки. Устройства достаточно старые, что играет на руку: все модели поддаются эксплойту загрузчика. В реальной практике эти устройства встречаются нечасто, но если такой попался — овчина стоит выделки. Потенциал извлечения данных высокий, а трудозатраты относительно невелики — не выше, чем для любого старого iPhone.

Какие данные можно получить:

• Сообщения (iMessage/SMS)
• Контакты, календари, заметки
• История Safari
• Keychain (включая пароли)
• Фотографии и видео
• История вызовов (если были звонки через Wi-Fi)
• Облачные бэкапы (если доступен Apple ID)

Сложность доступа:

• Защита — как у iPhone: код блокировки экрана, датчик отпечатков пальцев
• Поддерживается извлечение через эксплойт загрузчика
• Поддерживают локальные и облачные резервные копии, синхронизацию с iCloud (на сегодняшний день — уже в ограниченных объёмах)
• Устройство необходимо разблокировать; требуется код блокировки (если установлен)

Apple Watch

Моделей часов много, поведение — разное. Старшие версии могут хранить удивительно много: связку ключей, причём целиком, и некоторые данные, синхронизированные с привязанным к часам iPhone, к примеру — фотографии уменьшенного размера, историю звонков. В часах ведётся свой собственный журналы активности (перед извлечением его необходимо предварительно создать, установив на часы специальный профиль Sysdiagnose for watchOS). Но главный вопрос — доступ. Без разблокированного спаренного iPhone часы будут почти бесполезны, если не удастся подобрать их код блокировки. Защита — почти на уровне iOS: цифровой четырёхзначный PIN-код, перебор не поддерживается. Если часы изъяты совместно с привязанным к ним iPhone, то шанс получить из них что-то новое, что-то, чего нет на привязанном iPhone — минимальный. Разумеется, при условии, что iPhone удалось разблокировать. Усилия оправданы, если есть шанс обойти защиту или часы изъяты отдельно.

Как извлекать данные? Зависит от поколения. Для самых первых часов — «нулевое» поколение S0 — доступна полноценная физика (снятие и расшифровка образа), и даже есть перебор кодов блокировки. Для моделей S1-S3 снятие данных возможно через уязвимость загрузчика в виде образа файловой системы и связки ключей (данные возвращаются в том же объёме, что и для предыдущей модели). Наконец, для всех более новых поколений, от S4 и выше, доступно только логическое извлечение (включая метаданные) и журналы.

Какие данные можно получить:

• Полную связку ключей (при извлечении из самих часов)
• Журналы активности, движения, пульса
• Миниатюры фотографий (иногда)
• Параметры подключения, сетевые настройки
• Логи системы sysdiagnose (если активировать профиль)

Сложность доступа:

• Четырёхзначный PIN (перебор не поддерживается)
• Нет биометрии, но есть вероятность разблокировать экран часов при спаренном и разблокированном iPhone (для извлечения данных этого недостаточно)
• Для доступа к логам нужно установить диагностический профиль
• Модели до S3 включительно поддерживаются через эксплойт загрузчика; более новые — только через логический анализ

Apple TV

Телеприставка, но тоже часть экосистемы. Данные — скромные, но иногда полезные: пароли от Wi-Fi, списки подключений, системные журналы, в ряде случаев — синхронизированные фото. PIN-кода нет (и установить его невозможно), защита как таковая отсутствует, некоторые старые модели уязвимы к checkm8. Главная ценность — в логах: по ним можно понять, когда устройство было активно, а значит — когда кто-то был дома. Приставки Apple TV довольно популярны; исследовать их содержимое имеет смысл в случаях, когда потенциально доступные цифровых улики (в том ограниченном объёме, в каком они есть в приставках) оправдывают затраченные время и усилия.

Практическая ценность Apple TV как источника данных варьируется в зависимости от модели. Все приставки вплоть до Apple TV 4K первого поколения (включительно) уязвимы к эксплойту загрузчика, что позволяет извлекать образ файловой системы и дополнительные артефакты. Для ранних моделей подключение осуществляется через microUSB (1–3 поколения) или USB‑C (в Apple TV HD, ранее — 4 поколение). Для Apple TV 4K потребуется специальный адаптер, так как штатный порт отсутствует. Начиная со второго поколения Apple TV 4K и выше возможен только логический анализ: резервных копий устройство не создаёт, а доступ доступ ограничивается медиафайлами (с полными метаданными) и логами. Третье поколение 4K пока вообще не поддаётся подключению — в одной версии нет Ethernet, в другой есть, но разъём Lightning под ним не прячется и не поддаётся подключению. Самая первая модель Apple TV официально не поддерживается и не рассматривается как источник данных.

Какие данные можно получить:

• Пароли Wi-Fi
• Логи активности (включение/выключение, доступ к сервисам)
• История воспроизведения медиаконтента
• Потенциально — фотографии (если включена синхронизация через iCloud)
• Данные приложений (при низкоуровневом извлечении)

Сложность доступа:

• PIN-код отсутствует
• Старые модели уязвимы к checkm8
• Новые — логический анализ, ограниченный доступ
• Для подключения современных моделей потребуется специальный адаптер (в более старых устройствах был диагностический порт USB-C)

Apple HomePod

Колонки Apple HomePod первого поколения — самый неоднозначный источник данных. Защиты как таковой нет, а чипсет колонки подвержен уязвимости checkm8, что позволяет снять данные достаточно быстро (если самостоятельно создать специальный адаптер, для чего потребуются определённые материалы и навыки работы с 3D-принтером), но и данных там немного — даже меньше, чем на приставках Apple TV. Иногда удаётся извлечь старые журналы звонков (в нашем эксперименте последний зарегистрированный звонок был двухлетней давности), пароли Wi-Fi, некоторые записи в системных журналах (воспроизведение музыки, обращение к Siri); возможно, это поможет установить, когда дома кто-то был. В логах можно найти временные метки и системные события. Работать с этим устройством стоит только в строго определённых случаях, где и такая информация может оказаться критически важной.

Отметим, что если колонка используется в качестве хаба для Apple Home, то в ней могут содержаться достаточно интересные записи, вплоть до прихода-ухода из дома, включения света и других событий, связанных с концепцией «умного дома».

Какие данные можно получить:

• Журналы активности устройства
• История воспроизведения музыки
• Запросы к Siri (точнее, можно установить время обращения к ассистенту, но не содержание запроса)
• Сетевые настройки и пароли Wi-Fi, синхронизированные из iCloud
• Данные учётной записи

Сложность доступа:

• PIN-кода или биометрии нет; защита фактически отсутствует
• Первая версия HomePod поддаётся checkm8; последующие модели имунны к этой атаке
• Логический доступ чрезвычайно ограничен; службы резервного копирования нет
• Требуется специальный адаптер (в продаже отсутствует, нужно изготавливать самостоятельно)
• Данные достаточно скудные

Что в итоге: стоит ли игра свеч

Экосистема Apple достаточно развита. В ней — множество различных устройств, как стационарных, так и носимых. Некоторые из них хранят массу полезных данных, другие — только метки активности, а в ряде случаев полученная из них информация дублирует данные, уже извлечённые из iPhone. Но это не значит, что ими нужно пренебрегать. Вопрос в другом: нужно хорошо понимать, что именно нужно найти, что именно можно найти в том или ином устройстве, и сколько времени вы готовы на это потратить.