Облачная криминалистика iOS: резервные копии в iCloud, синхронизированные и зашифрованные данные

17 ноября, 2022, Oleg Afonin
Рубрика: «Полезные советы», «Программное обеспечение»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В экосистеме Apple присутствует полный набор средств для резервного копирования, восстановления и синхронизации данных через облако. Те же механизмы могут использоваться и в целях криминалистического анализа, чем и занимаются эксперты в области облачной криминалистики. В этой статье мы расскажем о том, какие типы данных хранятся в облаке, чем отличаются резервные копии от синхронизированных данных, о сквозном шифровании и трёх разных механизмах хранения фотографий в облаке.

Какие данные хранятся в облаке

В Apple iCloud хранятся данные из нескольких различных категорий. Для доступа к разным категориям данных используются различные механизмы и способы аутентификации.

Облачные резервные копии. Резервные копии в iCloud стали первым механизмом, представленным Apple вместе с самим облаком в 2011 году. В облачных резервных копиях содержится набор данных, похожий на тот, что попадает в локальные резервные копии без паролей, за некоторыми исключениями, касающимися синхронизируемых данных. Так, если пользователь включит синхронизацию фото и видео (служба iCloud Photos), то фотографии могут не попадать в облачные резервные копии.

Apple не предоставляет инструментов для скачивания резервных копий за исключением возможности их восстановления на фирменное устройство в процессе его начальной настройки. В остальных случаях пользователь может лишь просмотреть список резервных копий и удалить ненужные.

Elcomsoft Phone Breaker стал первым сторонним инструментом, способным извлечь из облака резервную копию без её обязательного восстановления на фирменное устройство Apple. На сегодняшний день наш продукт остаётся единственным, полностью совместимым с резервными копиями, созданными устройствами под управлением последних версий iOS включая iOS 16.x. Для скачивания из iCloud облачной резервной копии вам потребуются следующие данные:

  • Идентификатор Apple ID и пароль пользователя
  • Одноразовый код двухфакторной аутентификации, если в учётной записи пользователя она включена

Маркеры аутентификации для скачивания резервных копий использовать нельзя. Скачивание первой резервной копии может занять значительное время, зато последующие инкрементные копии будут скачиваться значительно быстрее. Мы не рекомендуем при скачивании резервных копий пользоваться VPN, т.к. это может замедлить процесс.

  • Чем просматривать: если вы не включали опцию «restore original file names» в процессе скачивания резервной копии, то наш продукт сохранит облачную резервную копию в стандартном формате iTunes. Такие резервные копии можно открыть как в Elcomsoft Phone Viewer, так и во множестве сторонних криминалистических программ.

Примечание 1: единожды авторизовавшись в учётной записи, вы получите доступ к резервным копиям всех устройств пользователя, зарегистрированных в той же учётной записи. В силу инкрементной природы облачных резервных копий для каждого устройства может быть доступно до двух снапшотов (основная и инкрементная резервная копии). Elcomsoft Phone Breaker скачивает все снапшоты, приводя их к полноценным резервным копиям.

Примечание 2: существует возможность частичного скачивания резервной копии, выбрав только интересующие эксперта категории данных. Это может ускорить процесс расследования.

Примечание 3: Apple предпринимает меры по противодействию скачиванию резервных копий сторонними инструментами. В прошлом компания Apple налагала временные блокировки на учётные записи, из которых извлекались резервные копии; в настоящий момент блокировки не практикуются.

Примечание 4: Apple only provides 5GB of free cloud space, which practically rules out the backup functionality of iCloud (with the exception of temporary iCloud backups). An iCloud+ subscription provides 50GB of cloud space, which might be enough to store cloud backups.

Временные резервные копии в iCloud. В iOS 15 появился новый тип резервных копий, призванный решить проблему недостатка свободного места в облаке при переносе данных на новое устройство или восстановлении их при необходимости сбросить устройство к заводским настройкам. Временные резервные копии не влияют на доступное в облаке место независимо от их размера, однако хранятся в течение 21 дня, после чего автоматически удаляются из облака. Наш инструмент поддерживает такие резервные копии.

Для доступа к временным резервным копиям потребуются те же учётные данные, что и для доступа к постоянным.

Синхронизированные данные. В отличие от резервных копий, которые создаются ежедневно и предназначены для восстановления на новое устройство в процессе начальной настройки, синхронизированные автоматически обновляются и синхронизируются между всеми устройствами в данной учётной записи. В их состав входят календари, контакты, заметки, данные приложений Apple и многие другие.

Для скачивания синхронизированных данных нужны:

  • Идентификатор Apple ID и пароль пользователя
  • Одноразовый код двухфакторной аутентификации, если в учётной записи пользователя она включена

Альтернатива — использование маркеров аутентификации.

  • Чем просмотреть: синхронизированные данные скачиваются в «сыром» виде и сохраняются в виде баз данных SQLite. Просмотреть эти данные можно только программой Elcomsoft Phone Viewer, которая, впрочем, поддерживает экспорт и отчёты.

Файлы. В облаке iCloud можно хранить и файлы. По умолчанию все файлы, которые пользователь скачивает в браузере Safari, сохраняются в «облачной» папке. Кроме того, в эту категорию входят файлы из компьютеров macOS, книги, документы PDF и многое другое. Файлы в iCloud доступны с любых устройств, использующих общий Apple ID.

Для доступа к файлам в облаке вам потребуются:

  • Идентификатор Apple ID и пароль пользователя
  • Одноразовый код двухфакторной аутентификации, если в учётной записи пользователя она включена

Альтернатива — использование маркеров аутентификации.

iCloud Photos. Этот сервис используется для хранения и синхронизации медиа-файлов (фото и видео) в облаке. С технической точки зрения iCloud Photos принадлежат к синхронизированным данным, но их стоит отметить отдельно, т.к. фотографии могут попадать и в другие места в iCloud.

Для доступа к сервису понадобятся:

  • Идентификатор Apple ID и пароль пользователя
  • Одноразовый код двухфакторной аутентификации, если в учётной записи пользователя она включена

iCloud Photos — часть синхронизированных данных. Их можно извлечь и с использованием маркеров аутентификации.

My Photo Stream. Это — устаревшая система, существовавшая (и всё ещё существующая) до появления сервиса iCloud Photos. Apple понемногу отказывается от этого сервиса; он уже недоступен для недавно открытых учётных записей, но обладатели старых Apple ID могут продолжать им пользоваться. Сервисы My Photo Stream и iCloud Photos независимы и могут быть включены или выключены по отдельности, что может привести к тому, что в облаке будет храниться две копии одной и той же фотографии.

Поскольку сервис My Photo Stream уходит в прошлое, в Elcomsoft Phone Breaker он не поддерживается.

Данные, защищённые сквозным шифрованием. Такие данные являются частью синхронизированных данных. Отличие в том, что защищённые записи шифруются ключом, который зависит от кода блокировки экрана (или системного пароля) доверенных устройств пользователя. Эти данные не выдаются Apple по запросам от правоохранительных органов; компания утверждает, что не занимается их расшифровкой. В данные, защищённые сквозным шифрованием, входят облачная связка ключей (в ней содержатся ключи и пароли пользователя), данные приложений Здоровье, браузера Safari, история звонков, сообщения iMessage и некоторые другие.

Для скачивания зашифрованных данных понадобятся:

  • Идентификатор Apple ID и пароль пользователя
  • Одноразовый код двухфакторной аутентификации, если в учётной записи пользователя она включена
  • Код блокировки экрана или системный пароль одного из доверенных устройств пользователя, привязанных к данной учётной записи

Использовать для доступа к зашифрованным данным маркер аутентификации не удастся.

Маркеры аутентификации

Маркеры (или токены) аутентификации хранятся на устройствах пользователей для того, чтобы избежать постоянных запросов логина и пароля при доступе к облачным данным. В прошлом токены можно было использовать для доступа к любым доступным в то время данным, включая резервные копии, а сами токены можно было извлекать из компьютеров с Windows и macOS, используя на любом другом компьютере. На сегодняшний день роль маркеров аутентификации ограничена: они привязываются к аппаратному обеспечению, и воспользоваться ими можно лишь на компьютерах с macOS, причём Ecomsoft Phone Breaker нужно запускать на том самом компьютере, на котором был создан токен.

Все ранее созданные маркеры становятся недействительны при смене пароля от Apple ID. Кроме того, маркеры со временем истекают, а точное время их работы неизвестно.

Поддерживаемые маркеры можно использовать для извлечения следующих данных:

  1. Синхронизированные данные (кроме зашифрованных сквозным шифрованием)
  2. iCloud Photos
  3. Файлы в iCloud

Извлечение из облака iCloud: последовательность шагов

Для извлечения данных из iCloud вам понадобятся:

  1. Elcomsoft Phone Breaker (последняя версия)
  2. Данные для входа в учётную запись: логин, пароль и способ получить одноразовый код двухфакторной аутентификации
  3. Для доступа к данным, защищённым сквозным шифрованием, дополнительно потребуется код блокировки экрана или системный пароль от одного из доверенных устройств пользователя (их список выводится в процессе извлечения)

Запустите Elcomsoft Phone Breaker и выберите скачивание резервных копий или синхронизированных данных. Для экономии времени рекомендуем начать с синхронизированных данных.

При выборе данных для скачивания ряд категорий будет отмечен оранжевым цветом. Таким образом помечаются данные, защищённые сквозным шифрованием; для их скачивания будет нужен код блокировки экрана или системный пароль от доверенного устройства. Если код блокировки или пароль вам неизвестен, снимите выделение со всех таких типов данных.

Если останется отмеченной хотя бы один тип зашифрованных данных, Elcomsoft Phone Breaker выведет список доверенных устройств, пароль от одного из которых вам потребуется указать. Выберите одно из доверенных устройств:

Будет запрошен пароль от выбранного доверенного устройства.

Далее программа скачает синхронизированные данные. Если в облаке много синхронизированных фотографий, то скачивание может занять существенное время.

Скачивание резервных копий

Для скачивания из iCloud резервных копий, выберите пункт Download Backups.

Для аутентификации в учётной записи укажите идентификатор Apple ID и пароль пользователя.

Большинство учётных записей Apple защищены двухфакторной аутентификацией.

Укажите тип двухфакторной аутентификации. Наиболее распространенными типами являются «доверенное устройство» (отправляет push-сообщение на все доверенные устройства пользователя, которые находятся в сети и подключены к Интернету), «текстовое сообщение» (SMS-сообщение на доверенную SIM-карту) и «генератор кодов» (одноразовый пароль с ограниченным сроком действия, сгенерированный в приложении «Настройки» на доверенном устройстве, которое может оставаться в автономном режиме). Процесс аутентификации не требует пояснений.

После прохождения двухфакторной аутентификации выводится список доступных резервных копий. Некоторые устройства могут иметь несколько моментальных снимков (снапшотов), которые представляют собой инкрементные резервные копии. В настоящее время Apple хранит до двух снимков на устройство. Нажмите «Подробнее», чтобы просмотреть данные моментального снимка. Elcomsoft Phone Breaker загрузит все доступные снапшоты и создаст из них полные резервные копии. Доступные варианты:

Restore original file names: сохраняет файлы с теми же именами, которые они носили на устройстве. При выборе этой опции вы не сможете открыть скачанную резервную копию в сторонних криминалистических программах, но исследование в ручном режиме облегчается.

Download only specific data: частичное скачивание выбранных категорий данных. Так же, как и при выборе предыдущей опции, при её использовании вы не сможете открыть скачанную резервную копию в сторонних криминалистических программах.

Скачивание начнётся после нажатия кнопки «Download»; процесс может занять некоторое время.

По окончании скачивания вы можете открыть резервную копию в программе Elcomsoft Phone Viewer, для чего достаточно кликнуть на ссылку «Open in EPV». Если нажать на иконку с глазом, будет открыта папка с резервной копией в Проводнике Windows или macOS. Сторонние инструменты смогут открыть резервную копию, если вы не использовали опции «Restore original file names» или «Download only specific data».


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft Phone Breaker

Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.

Официальная страница Elcomsoft Phone Breaker »


Elcomsoft Phone Viewer

Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.

Официальная страница Elcomsoft Phone Viewer »

НАШИ НОВОСТИ