Мы обновили Elcomsoft Phone Breaker до версии 11. Главной причиной масштабного обновления стали недавние фундаментальные изменения протоколов доступа к iCloud со стороны Apple, которые «сломали» доступ в облако для всех предыдущих версий программы. Для решения этой проблемы мы полностью переработали механизмы аутентификации и загрузки данных из iCloud, восстановив работоспособность облачного функционала. Впрочем, полностью решить проблему нам пока не удалось. В этой статье — о том, что случилось с облаком, как мы решили проблему, какие остались нюансы и ограничения и как их можно обойти.

Цифровые улики в облаке

Почему мы подчёркиваем критическую важность извлечения именно облачных данных? Дело в том, что доступ к облаку часто становится единственным выходом, когда само устройство физически недоступно, утеряно, повреждено, заблокировано неизвестным паролем или находится в режиме защиты украденного устройства без возможности подтвердить биометрию. В таких случаях данные в облаке, доступ к которым можно получить и без физического устройства, становятся важнейшим, зачастую — единственным источником цифровых улик.

Огромным преимуществом облака является то, что синхронизированные данные собираются со всех устройств пользователя, привязанных к учётной записи. Мы неоднократно писали о том, как работает синхронизация через iCloud. Информация о звонках с iPhone, полученные и отправленные сообщения практически без задержки попадают на iPad или компьютер Macbook того же пользователя, фотографии — синхронизируются в облачную галерею, открытые в браузере вкладки, календари и контакты также синхронизируются через облако.

Кроме синхронизированных данных в облако попадают и резервные копии iPhone и iPad, в которых могут храниться важные данные, не попадающие в список синхронизированных. Доступ к облачным резервным копиям в iCloud никогда не был простым. Apple не даёт инструментов для доступа к резервным копиям в iCloud и не раскрывает деталей механизмов аутентификации и шифрования данных или протоколов коммуникации. В результате единственным штатным способом получить данные из резервной копии является настройка нового устройства Apple, из которого эти данные нужно впоследствии извлекать. Наш продукт являлся первым и долгое время единственным программным решением, с помощью которого можно было скачать резервные копии iPhone и iPad из облака.

Что сломалось

Начиная с iOS 18 ситуация стала усложняться. Разработчики Apple начали менять механизмы работы iCloud, сохраняя при этом временную совместимость со старыми протоколами. Однако в январе-феврале текущего года старые методы доступа были заблокированы окончательно, а процесс входа в облако полностью изменился. Все сторонние инструменты, включая Elcomsoft Phone Breaker, в просто перестали работать.

Мы начали исследовать изменения, и обнаружили, что изменилось практически всё: механизмы аутентификации, протокол коммуникации для скачивания данных и даже способ, которым пополнялся «внутренний круг» доверенных устройств — а это необходимо для доступа к данным, защищённым сквозным шифрованием. Всего лишь один пример: если раньше для добавления в список «доверенных» достаточно было указать PIN-код или системный пароль одного из уже доверенных устройств, то сейчас в дело вступила аппаратная привязка с защитой на уровне Secure Enclave.

Нам удалось разобраться в деталях реализации нового механизма, но побороть аппаратную привязку для доступа к сквозному шифрованию мы пока не смогли; работа продолжается. Однако список тех данных, которые мы уже сейчас можем извлечь, достаточно широк.

Что починили

Вот лишь краткий список того, что сейчас гарантированно извлекается для всех учётных записей. Во-первых, мы успешно наладили загрузку синхронизированных данных без сквозного шифрования и восстановили доступ к iCloud Drive. Облачный диск iCloud Drive представляет собой крайне полезный источник: туда автоматически отправляются папки рабочего стола и загрузок с компьютеров Mac, а многие мобильные приложения хранят там свои рабочие файлы и резервные копии.

Отлично работает извлечение фотографий со всеми метаданными, включая геолокацию, причём вытягиваются даже те снимки, которые были удалены из корзины. Заметки скачиваются с сохранением структуры папок и вложениями, и для них также актуально восстановление недавно стёртых записей.

«Экранное время» даёт понимание об установленных программах на всех устройствах пользователя и показывает состав семьи. Также стабильно загружаются контакты, календари, голосовые заметки, карты лояльности из Wallet, закладки браузера и общая информация об аккаунте, включая токены FileVault и полный список привязанных устройств. Отдельно отметим, что токены FileVault позволяют получить доступ к зашифрованным разделам — но только на компьютерах Mac с процессорами Intel; на машинах с процессорами Apple Silicon защита работает иначе.

Что починили не до конца

Начнём с того, что никакие данные, защищённые сквозным шифрованием, на данный момент не извлекаются. Это касается облачной связки ключей, истории поисков в картах, истории посещений Safari, данных приложения Здоровье и сообщений SMS/iMessage.

Ситуация с резервными копиями пока неоднозначна: небольшие резервные копии скачиваются нормально, но при попытке скачать большие архивы процесс может прерываться. Похоже, что специально для резервных копий Apple внедрила дополнительные меры безопасности, алгоритм работы которых мы пытаемся выяснить. Для обхода этой проблемы можно использовать следующий метод: при скачивании резервной копии нужно включить опцию восстановления оригинальных имён файлов и активировать выборочную загрузку, отметив галочками все доступные категории. Этот формат позволяет выгрузить объёмный бэкап практически полностью без каких-либо проблем.

Заключение

В заключение отметим, что мы постарались выпустить этот релиз как можно скорее, чтобы дать вам, нашим пользователям, рабочий доступ к облачному функционалу. Параллельно идёт работа над починкой сквозного шифрования и скачивания резервных копий.