Извлечение данных из часов Apple Watch S3 через эксплойт загрузчика checkm8 позволяет получить доступ к цифровым уликам, к которым невозможно подобраться никаким другим способом. В этой публикации мы подробно расскажем о том, как подключить часы Apple Watch S3 к компьютеру, как перевести часы в режим DFU и какие команды в инструментарии iOS Forensic Toolkit 8.0 использовать для доступа к данным.

Часы Apple Watch Series 3 поставили своеобразный рекорд как самая долгоживущая модель умных часов Apple. Изначально представленная в сентябре 2017 года, эта модель оставалась доступной в официальном магазине компании в течение пяти лет — вплоть до 2022 года. Эта модель, до сих пор получающая обновления watchOS, стала последней в линейке часов, к которой применим эксплойт checkm8. Обратите внимание: последовательность шагов, которая используется в официальном релизе iOS Forensic Toolkit 8, в некоторых деталях отличается от той, которая была описана в ранее опубликованной статье Использование checkm8 для извлечения данных из часов Apple Watch 3, опубликованной в момент выхода пятой бета-версии iOS Forensic Toolkit. Несмотря на то, что описанная процедура из старой статьи продолжает работать, мы рекомендуем использовать актуальную инструкцию.

Подготовка к работе

Важно: для подключения часов к компьютеру вам потребуется специальный адаптер. Перед тем, как приступить к извлечению данных, убедитесь, что под рукой есть всё необходимое.

1. Компьютер Mac. Вам понадобится Mac, чтобы установить эксплойт и выполнить извлечение. Поддерживаются компьютеры Mac на базе процессоров Intel и M1. В настоящее время работа в Windows не поддерживается.
2. iOS Forensic Toolkit 8.0 для Mac. На момент публикации EIFT 8.0 доступен только в версии для Mac.
3. Apple Watch Series 3. Часы должны быть достаточно работоспособны для перевода в режим DFU.
4. Код блокировки экрана от Apple Watch должен быть известен. В противном случае поддерживается ограниченное извлечение в режиме BFU.
5. Совместимый USB-адаптер для подключения часов к компьютеру.
6. Вы должны иметь возможность загрузить официальную прошивку Apple (ссылка для скачивания будет предоставлена во время извлечения), которая соответствует версии watchOS, установленной на часах.

Выбор адаптера

В часах Apple Watch S3 нет встроенного порта USB, но присутствуют контакты для подключения проводного адаптера USB. Подобных адаптеров на рынке несколько. Ранее в нашем блоге мы уже публиковали фотографии протестированных нами адаптеров. Мы использовали адаптер S-Dock, совместимый с часами поколений от S1 до S6/SE включительно. Он изображён на следующей фотографии:

Обратите внимание: не все доступные на рынке адаптеры поддерживают режим DFU. Успешно прошли тестирование адаптеры S-BUS, MagicAWRT и iBUS; см. статьи Адаптеры для извлечения данных из Apple Watch и Анализ Apple Watch: и снова адаптеры.

Шпаргалка: извлечение данных через checkm8 для Apple Watch 3

Для извлечения данных из часов используйте следующую последовательность действий:

1. Запустите iOS Forensic Toolkit 8.0 (Mac)
2. Подключите часы Apple Watch 3 к компьютеру через адаптер USB (часы должны быть выключены)
3. Выполните команду ./EIFT_cmd boot -w
4. Переведите часы в режим DFU
5. EIFT автоматически обнаружит подключённые часы и применит эксплойт
6. Выполните команду ./EIFT_cmd unlockdata
7. При ошибке Seshat последовательно выполните команды ./EIFT_cmd ramdisk loadnfcd и ./EIFT_cmd unlockdata -s
8. Выполните команду ./EIFT_cmd ramdisk keychain -o {filename} для извлечения связки ключей
9. Выполните команду ./EIFT_cmd ramdisk tar -o {filename} для извлечения файловой системы
10. Выполните команду ./EIFT_cmd ssh halt для выключения Apple Watch

Подробные инструкции

Разберём указанные выше команды подробнее.

После запуска iOS Forensic Toolkit подключите Apple Watch к компьютеру через USB-адаптер. На момент подключения часы должны находиться в выключенном состоянии.

Запустите iOS Forensic Toolkit в режиме ожидания:

./EIFT_cmd boot -w

Переведите часы в режим DFU. Для этого нажмите и удерживайте колёсико часов и боковую кнопку в течение 10 секунд. Отпустите боковую кнопку, продолжая удерживать колёсико в зажатом положении в течение ещё 10 секунд.

При успешном входе в DFU экран часов останется чёрным. Если на часах появился логотип Apple, вы удерживали кнопки слишком долго; повторите попытку. Если вам не удалось перевести часы в DFU с первого раза, просто повторите попытку.

После того, как часы перешли в режим DFU, в iOS Forensic Toolkit автоматически применит эксплойт. Определяется версия iOS, установленная на устройстве, и предоставляется ссылка для скачивания. При наличии нескольких потенциальных совпадений будет выведено несколько ссылок для скачивания; рекомендуем использовать последнюю ссылку из списка. Загрузите файл по ссылке и перетащите его в окно консоли либо скопируйте URL прошивки (рекомендуется, если компьютер подключён к сети интернет), после чего нажмите ENTER.

В отличие от прошивок для iPhone и iPad, которые доступны в виде полных образов в формате IPSW, прошивки для часов Apple Watch труднодоступны и публикуются в виде OTA-обновлений. Для целей извлечения данных достаточно таких образов.

На экране часов отобразится сообщение “Booting”.

Во многих случаях версия watchOS будет автоматически определена EIFT на первом этапе эксплойта на основе версии iBoot и информации об аппаратном обеспечении устройства. Однако в некоторых случаях версия iBoot может соответствовать нескольким сборкам watchOS или и вовсе не определяться. Если использовать неправильный образ прошивки, у вас будет возможность либо повторить эксплойт с другой версией прошивки, либо продолжить с текущим образом (что в большинстве случаев сработает).

Выполните следующую команду:

./EIFT_cmd ramdisk unlockdata

Команда разблокирует раздел данных и монтирует его в режиме «только для чтения».

Если на часах установлен код-пароль, он будет запрошен. Если код блокировки часов неизвестен, нажмите ENTER (в этом случае будет доступно ограниченное извлечение в режиме BFU).

При вводе неправильного кода блокировки экрана отобразится сообщение об ошибке. Ввод правильного пароля разблокирует раздел данных, и вы сможете продолжить извлечение. Если пароль неизвестен, просто нажмите ENTER. В этом случае будет возможно ограниченное извлечение в режиме BFU (несмотря на ошибку, что устройство не может быть разблокировано); при этом будет доступен только очень ограниченный набор данных.

В том и только в том случае, если в результате предыдущей команды выводится ошибка Seshat, последовательно выполните следующие две команды:

./EIFT_cmd ramdisk loadnfcd
./EIFT_cmd ramdisk unlockdata -s

Следующая команда извлекает и расшифровывает связку ключей. Если путь не указан, файл будет сохранён в текущую папку.

./EIFT_cmd ramdisk keychain -o {filename}

Следующая команда извлекает образ файловой системы с автоматическим подсчётом и сохранением контрольной суммы (посредством хэш-функции). Значение контрольной суммы сохраняется в той же папке, что и основной файл.

./EIFT_cmd ramdisk tar -o {filename}

Аппаратная платформа часов Apple Watch значительно медленнее, чем в версии для iPhone, что приводит к сравнительно низкой скорости извлечения — примерно 3 МБ/с.

Ограниченное извлечение с неизвестным кодом блокировки

Если вы не знаете пароль блокировки экрана, просто нажмите ENTER при появлении запроса. Несмотря на ошибку «Устройство невозможно разблокировать», вы все равно сможете выполнить ограниченное извлечение BFU (до первой разблокировки).

Анализ данных

Следующий шаг — анализ извлечённых данных, о котором рассказывается в статье Криминалистический анализ Apple Watch 3 . После извлечения данных загрузите образ файловой системы и копию связки ключей в пакет для анализа данных. В настоящее время лишь немногие сторонние криминалистические пакеты оптимизированы для поддержки наборов данных, специфичных для часов; в их число входит Elcomsoft Phone Viewer.

В памяти часов Apple Watch доступно достаточно большое количество данных, которые не попадают ни в резервные копии, ни в облако iCloud. Сюда входят данные о местоположении, сообщения, уведомления и некоторые другие данные.