Извлечение резервных копий из iCloud — одна из самых технически сложных задач в облачной криминалистике. В iCloud резервные копии не создаются в виде единого файла в фиксированном формате; они собираются из множества отдельных фрагментов, которые нужно сначала извлечь, а затем собрать из них цельную резервную копию в стандартном формате, который можно будет открыть и проанализировать стандартными средствами. Какое-то время назад разработчики Apple изменили протоколы обмена данными, и старые методы извлечения перестали работать у всех, кроме самой Apple. Нам пришлось адаптировать внутренние механизмы; подробно об этом мы писали в материале Elcomsoft Phone Breaker 11: возвращение iCloud.

Первая версия Elcomsoft Phone Breaker 11 имела ряд особенностей: загрузка резервных копий могла прерываться после первых нескольких гигабайт. Версия 11.1 решает эту проблему. Резервные копии теперь скачиваются стабильно и полностью — но только при условии, что она создана устройством, на котором установлена iOS/iPadOS 18 и ниже. Резервные копии, созданные в облаке iOS или iPadOS 26 на данный момент не поддерживаются; мы работаем над решением этой проблемы.

Что и почему изменилось в EPB 11

Масштабные изменения Apple в протоколах авторизации и коммуникации привели к тому, что методы, на которые Elcomsoft Phone Breaker опирался раньше, перестали работать. В EPB 11.0 извлечение из iCloud было переработано практически с чистого листа. В этой версии мы вернули загрузку файлов iCloud Drive и синхронизированных данных, но отметили и проблему: скачивание резервных копий оказалось нестабильным. Мы всё равно выпустили эту версию, чтобы дать специалистам возможность доступа к облачным данным как можно скорее, и продолжили работу. Наконец, в новой сборке 11.1 нам удалось добраться до сути проблемы и устранить её.

В чём польза резервных копий iCloud для криминалиста

Часто облачная копия — единственный реальный путь к важным уликам. Если устройство подозреваемого пропало, заблокировано, стёрто, украдено или физически повреждено, если разблокировать его не удалось, то учётная запись iCloud может оказаться единственным, с чем можно работать. Облачным данным безразлично, в каком состоянии сам телефон (с важной оговоркой про двухфакторную аутентификацию — её нужно каким-то образом пройти, и хорошо, если в телефоне есть SIM-карта, номер которой привязан к учётной записи).

В облаке часто хранится больше одной резервной копии. К одному Apple ID нередко привязаны копии сразу нескольких устройств — старый iPhone, текущий iPhone, iPad, — и все они доступны из одной учётной записи. Более того, для каждого устройства iCloud, как правило, хранит две копии: самую свежую и предыдущую. О старой копии легко забыть, и напрасно — иногда она оказывается более полезной, чем актуальная. Она может быть создана до удаления какого-либо приложения или до того, как подозреваемый «почистил» устройство — то есть содержать данные, которых в свежей копии уже нет. Считать актуальную копию единственной — распространённая ошибка, ведущая к потере улик.

Наконец, облачное извлечение остаётся открытым даже при блокировке устройства. Если телефон защищён функцией Stolen Device Protection, учётная запись iCloud по-прежнему остаётся возможностью получить доступ: имея учётные данные, резервную копию можно скачать из облака. В ней не будет всех данных, которые можно получить из самого устройства, но даже частичная копия лучше, чем полное отсутствие.

Локальные и облачные резервные копии

В экосистеме Apple существует несколько видов резервных копий, и они не взаимозаменяемы. Мы свели разные варианты в таблице. Условные обозначения: ✓ — данные из этой категории присутствуют; ✗ — соответственно, отсутствуют. В ряде случаев в ячейке перечислены особенности — например, когда мы замечаем противоречия между тем, как возможность должна работать согласно документации Apple и тем, как она работает на практике. Локальные копии с паролем и без него заметно различаются и по содержимому, и по доступности разных типов данных. Содержимое же копии iCloud зависит от ряда параметров; они указаны в сносках и комментариях под таблицей.

Если коротко: за исключением извлечения файловой системы, зашифрованная локальная копия с известным паролем — самый обширный источник данных; резервная копия из iCloud — запасной вариант, когда из устройства невозможно извлечь локальную резервную копию; при включённой расширенной защите данных извлечение из облака невозможно. Стоит помнить и о том, что резервная копия в iCloud дополняет синхронизацию iCloud, а не дублирует всё устройство: всё, что активно синхронизируется (Фото, Drive, «Сообщения в iCloud» и так далее), за единичными исключениями обычно хранится в отдельном контейнере, и извлекается отдельно от резервной копии. В локальных копиях решение о том, какие данные попадут в резервную копию и попадут ли вообще, принимает разработчик через isExcludedFromBackup, а пользователь может исключить отдельные приложения из резервных копий iCloud в настройках.

И ещё о данных местоположения. Сводная таблица — это своеобразный агрегатор, в котором сведены воедино данные для нескольких последних поколений iOS. Отдельные детали могут отличаться в зависимости от ряда параметров — как версии системы, так и многочисленных доступных пользователю настроек, платных или бесплатных учётных записей. Кстати, о фотографиях: даже при включении облачной библиотеки «Фото iCloud», когда сами фотографии хранятся в отдельном контейнере, а не в резервной копии, в облачную резервную копию всё равно могут попадать метаданные фотографий. В одной из наших тестовых учётных записей относительно небольшая облачная резервная копия объёмом около 500 МБ содержала всего около 80 реальных снимков — но при этом почти 20 000 записей о местоположении, практически все привязанные к фотографиям и с временными метками. Метаданные синхронизируются, даже когда полных копий изображений по большей части нет. Поэтому относитесь к резервной копии iCloud как к источнику, который потенциально может содержать данные местоположения, а не как к источнику, где их точно нет или они точно есть: даже при отсутствии полноразмерных снимков в копии могут уцелеть их миниатюры.

Работа со скачанными резервными копиями

Когда резервная копия уже на вашем диске, его происхождение почти не имеет значения. Локальные резервные копии, с паролем или без него (разумеется, если он известен) и облачные резервные копии будут сохранены в одном и том же формате, и подход к ним тоже одинаковый.

Проще всего использовать функцию Decrypt backup в Elcomsoft Phone Breaker. Нужно выбрать резервную копию, отметить галочку конвертации имён файлов в читаемый вид — и запустить процесс. За несколько минут вы получите доступ к медиафайлам и базам данных (в основном SQLite) как системных, так и сторонних приложений: контакты, журнал звонков, СМС, переписку WhatsApp и так далее. Всё происходит настолько быстро, что этот подход можно считать триажем: беглая оценка занимает минуты, позволяя решить, в каком направлении проводить углублённый анализ.

Для полноценного же анализа понадобится специализированное ПО. Здесь можно порекомендовать Magnet AXIOM, который сочетает высокую скорость, достаточно глубокий анализ и удобный интерфейс. Конечно, полноценный анализ займёт заметно больше времени, но и глубина исследования будет максимальной.

Итог

Извлечение резервных копий доведено до ума — пока только для версий ОС, предшествующих iOS/iPadOS 26. Прерывания, из-за которых загрузка останавливалась раньше времени, устранены, резервные копии из облака снова скачиваются целиком и полностью и корректно реконструируются. Обновите Elcomsoft Phone Breaker до последней версии!