Эксперт получает на исследование смартфон — относительно свежий iPhone, разумеется, зашифрованный, с Secure Enclave, неизвестным кодом блокировки и заблокированным доступом через USB. Никакие универсальные средства не помогают, checkm8 давно неприменим. Всё — тупик? Совсем нет. Не существует «сферических iPhone в вакууме». Смартфон — часть экосистемы, и если копать вглубь, можно отыскать лазейку. О слабых звеньях в экосистеме Apple — в этой статье.

Стратегия «низко висящего фрукта»

Об этой стратегии мы неоднократно писали и рассказывали во время тренингов. Её смысл в том, чтобы в первую очередь собрать легкодоступные данные, и уже затем ломиться в закрытую дверь. При парольных атаках в рамках этой стратегии в первую очередь извлекаются такие пароли, которые не нужно взламывать (например, пароли из хранилища браузера); во вторую — проводятся атаки на файлы со слабой защитой (например, документы Microsoft Office в старых форматах). Далее составляются списки паролей, которые удалось извлечь, на их основе создаются словари, маски и правила, по которым пользователь составляет свои пароли, и уже с этими данными осуществляется атака на хорошо защищённые данные.

В контексте анализа заблокированных смартфонов первоочередная задача — не пытаться ломать то, что не ломается, а посмотреть вокруг. У злоумышленников редко бывает только одно устройство. Чаще — целое семейство: какие-то старые телефоны, планшет, ноутбук, часы, возможно — Apple TV, голосовые ассистенты, иногда даже авто с CarPlay. И почти всегда — слабые места.

Иногда пароль, которым защищено современное устройство, совпадает с паролем к голосовой почте, находится в заметках, или приписан в конце какого-то другого пароля (а «другие пароли» можно извлечь, например, из хранилища браузера, установленного на настольном компьютере — в них системные диски пока шифруют нечасто). Часто используются пароли, совпадающие с годом или датой рождения; иногда используют часть телефонного номера — своего или одного из ближайших контактов. Нам рассказывали о случае, когда на компьютере подозреваемого нашли пароль , условно, Abrakadabra109214, попробовали ввести цифровую часть (109214) на смартфоне — и экран был разблокирован.

Другой типичный случай: основное устройство — последний iPhone с полной защитой. Но рядом — его предшественник, забытый в ящике, со старой версией iOS (а то и чипсетом, уязвимым для атаки через загрузчик) и с 4-значным кодом блокировки. И этот код, возможно, совпадает с кодом на новом устройстве или является его частью. Разумеется, если речь идёт об iPhone, то восстановить код блокировки можно только на таких старых устройствах, которые до сегодняшних дней не дожили, но защита в старых смартфонах Android (да и во многих современных) — на несколько уровней ниже. Достаточно сказать, что для многих чипсетов, использующихся в смартфонах Android, существуют эксплойты, позволяющие запустить перебор пасскодов или и вовсе обойти парольную защиту, получив доступ к данным напрямую.

В одном расследовании у подозреваемого был изъят современный iPhone и старый iPod Touch, на котором удалось запустить перебор кодов блокировки. После того, как устройство было разблокировано, специалист извлёк и проанализировал пароли из связки ключей, в результате чего удалось подобрать пароль к основному смартфону.

Не только Apple

Разумеется, описанное в статье не ограничивается одной лишь экосистемой Apple. В доисторические времена нам удалось найти ключ к BlackBerry (помните, когда-то были такие смартфоны, которые в те времена считались безопасными?) на… зашифрованной SD-карте. При  включении шифрования устройство сохраняло на карте хэш кода блокировки экрана (по тем временам код блокировки от BlackBerry считался стойким и не подверженным взлому), который можно было быстро перебирать на компьютере. Это было чисто программное решение, не требовавшее паяльника и извлечения чипа.

Во время одной из экспертиз специалист столкнулся с интересной ситуацией: у подозреваемого изъяли два современных смартфона Samsung, ноутбук MacBook и iPhone. Экраны всех трёх смартфонов были заблокированы; на смартфонах Samsung был установлен графический ключ. В другой локации был обнаружен принадлежащий подозреваемому планшет Samsung — очень старый и уже неработающий. Планшет, тем не менее, удалось загрузить в режиме fastboot, из которого через эксплойт загрузчика удалось получить доступ к файлу с графическим ключом. После расшифровки файла удалось разблокировать сначала сам планшет, а затем и смартфоны Samsung, в которых, как оказалось, использовался тот же графический ключ. При анализе телефонов были обнаружены логин и пароль от MacBook и другие пароли, один из которых совпал с кодом блокировки iPhone.

Нередки и случаи «цепной реакции», когда из устройства Apple извлекаются логин и пароль от учётным записям Google и Microsoft, в которых также доступны массивы информации (например, в учётные записи Microsoft можно использовать для входа в Windows; также в них сохраняются ключи от дисков, зашифрованных BitLocker).

Резервные копии: не стоит сбрасывать со счетов

Ещё один способ добраться до информации — старые резервные копии от iPhone, которые можно обнаружить на компьютере пользователя. С резервными копиями, однако, есть сложности. Во-первых, локальные резервные копии, за исключением профессиональных исследователей безопасности, создаёт относительно небольшой процент пользователей; вероятность их обнаружения невысока. Во-вторых, резервные копии могут быть или обычными без пароля (и тогда в них могут найтись интересные данные, но точно не будет связки ключей с паролями), или зашифрованными с паролем (в таких резервных копиях пароли есть, но и защита очень стойкая: пароли к зашифрованным резервным копиям перебираются со скоростью единиц паролей в секунду, что позволяет восстановить только самые короткие — например, цифровые, — пароли). Впрочем, даже резервные копии без паролей небесполезны: в них есть заметки, а в заметках может найтись интересная информация (в том числе — другие пароли), а пароль к зашифрованной резервной копии может отыскаться в связке ключей macOS или, опять же, совпадать с каким-нибудь другим паролем.

Стоит получить доступ к единственному слабому звену, как становится доступным многое: метаданные, фотографии, иногда — старые резервные копии, история подключений, настройки доверенных устройств; в удачных обстоятельствах можно получить доступ и к связке ключей, а это — все пароли пользователя, ключи и токены. Даже если данные не доступны напрямую — пробравшись внутрь экосистемы хотя бы с одной стороны, можно попытаться проникнуть глубже. Хороший пример — ситуации, которые иногда возникают благодаря банальной невнимательности самого подозреваемого. Телефон сброшен? Сброшен. А часы Apple Watch перед этим отвязать забыл, и там остались данные — от сообщений до системных журналов, не говоря о том, что код блокировки от часов часто совпадает, полностью или частично, с паролем от iPhone. Или используется Apple TV, на котором невозможно установить код блокировки, но на котором, тем не менее, автоматически подгружаются фотографии из облака — с геометками, EXIF-данными и прочими метаданными. Или HomePod, анализ которого поможет определить, когда подозреваемый точно был дома — по логам запросов или журналам проигрывания музыки.

Заключение

Самые защищённые смартфоны редко существуют в вакууме. Со временем пользователь обрастает элементами экосистемы — всевозможными часами, трекерами, телеприставками, умными колонками; учётная запись используется на компьютерах, приложениях электронной почты и других местах. Компании Apple удалось создать сбалансированную экосистему, которая работает как единый организм. В её состав входят как устройства (смартфоны, планшеты, компьютеры, часы, приставки и колонки), так и облачный сервис iCloud, причём доступ к одной части экосистемы часто позволяет открыть доступ к остальным её звеньям. Так, диск, зашифрованный FileVault2, можно расшифровать ключом, хранящимся в iCloud, а ключи BitLocker (это уже инфраструктура Microsoft/Windows) попадают в облако Microsoft Account. Чтобы попасть в систему, достаточно единственного слабого звена — привязанного устройства, облачного сервиса или забытой карты памяти.

Не стоит всецело полагаться на возможности программ для криминалистов. Они нужны, и на определённом этапе без них не обойтись, но гораздо важнее — опыт, квалификация, способность мыслить нестандартно, комбинировать источники, находить обходные пути.