Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.
Резервные копии в iCloud
В протокол доступа к резервным копиям и в алгоритмы шифрования был внесён ряд изменений, которых оказалось достаточно для выхода из строя не адаптированных к iOS 13 продуктов мобильной криминалистики. Мы исследовали эти нововведения и внесли необходимые изменения в Elcomsoft Phone Breaker, который позволяет скачивать и расшифровывать «облачные» резервные копии устройств, работающих под управлением iOS 13. Дальнейшие изменения протокола резервного копирования возможны, но маловероятны; мы продолжаем внимательно следить за новыми сборками iOS.
Интерес представляют и изменения, коснувшиеся содержания облачных резервных копий. Содержимое резервных копий в iCloud стало ещё более похожим на содержимое локальных резервных копий без пароля. В частности, из резервных копий в iCloud исчез журнал звонков и история браузера Safari. Логика в этом решении есть: журнал звонков и история браузера уже давно синхронизируются между устройствами. Соответственно, Apple нет смысла сохранять их отдельно в резервные копии, занимая место в облаке. Напомним, доступ к синхронизированным данным осуществляется проще и безопаснее, чем доступ к резервным копиям. Для скачивания синхронизированных данных может быть использована как комбинация из логина, пароля и второго фактора аутентификации, так и маркер аутентификации, извлечённый из компьютера пользователя. Никаких изменений в структуре хранения и протоколах доступа к синхронизированным данным в iOS 13 мы не обнаружили.
О содержимом резервных копий в iCloud подробно написано на сайте Apple в статье Содержимое резервных копий iCloud. Процитируем статью:
В резервную копию в iCloud входит следующее.
В резервную копию iPhone, iPad или iPod touch входит только информация и настройки, хранящиеся на вашем устройстве. В нее не включаются данные, уже хранящиеся в iCloud, такие как контакты, календари, закладки, сообщения электронной почты, заметки, голосовые записи3, общие фотографии, Фото iCloud, медданные, история вызовов4 и файлы, хранящиеся в iCloud Drive.
В содержимом облачных резервных копий iOS 13 отсутствуют следующие типы данных:
* Строго говоря, Связка ключей всё ещё присутствует в «облачных» резервных копиях, однако расшифровать её может исключительно то устройство, с которого была сделана резервная копия. Для шифрования используется аппаратный ключ.
** Фотографии и сообщения (SMS/iMessage) не включаются в состав резервной копии только в том случае, если пользователь активировал синхронизацию соответствующих категорий с iCloud в настройках устройства.
Elcomsoft Phone Breaker стал первым сторонним продуктом на рынке с поддержкой скачивания и расшифровки облачных резервных копий iOS 13.
Маркеры аутентификации (токены безопасности) в iOS 13
О маркерах аутентификации (в терминах Apple — «токенов безопасности») написано в Обзоре системы безопасности iCloud.
При доступе к службам iCloud из встроенных программ Apple (например, «Почта», «Контакты» и «Календарь» в ОС iOS или macOS) для аутентификации используются токены безопасности. Использование токенов безопасности исключает необходимость хранения пароля iCloud на устройствах и компьютерах.
Наша компания была первой, представившей на рынке продукты с поддержкой аутентификации по токенам безопасности. Об этом можно прочесть в статьях Breaking Into iCloud: No Password Required и iCloud Authentication Tokens Inside Out.
Функционал токенов безопасности в iOS 13 ограничен. Уже сегодня их невозможно использовать для доступа к следующим категориям данных:
Apple постепенно усиливает безопасность маркеров аутентификации. Так, прошлогоднее обновление программного обеспечения iCloud for Windows и операционной системы macOS стало использовать новый вид токенов, привязанных к конкретному компьютеру. Просто скопировать файл и использовать его на другом устройстве (или виртуальной машине) для доступа в учётную запись теперь невозможно.
Мы разработали решение, позволяющее извлекать и переносить токены безопасности. В настоящий момент решение существует только для компьютеров под управлением macOS. Для извлечения и использования токенов безопасности потребуется Elcomsoft Phone Breaker последней версии в редакции Forensic.
Синхронизированные данные
Мы уже упоминали синхронизированные данные и тот факт, что в iOS 13 явных изменений в этой категории данных не обнаружено. (Напомним, что в iOS 12 такие изменения были; в частности, данные Здоровья стали храниться в зашифрованном виде, а незашифрованные контейнеры из iOS 11 постепенно удалялись). Пользователям Elcomsoft Phone Breaker по-прежнему доступны следующие категории данных:
Изменения в локальных резервных копиях и отказ от iTunes
С выходом iOS 13 и обновлением macOS Apple откажется от использования приложения iTunes для синхронизации устройств iOS с компьютером и создания резервных копий. Как этот шаг будет оформлен в Windows — пока не ясно; в бета-версии macOS функционал iTunes уже мигрировал в разные части системы. В частности, создание резервных копий теперь осуществляется напрямую из проводника Finder.
В самих резервных копиях iOS 13 также появится несколько изменений.
Программное обеспечение Elcomsoft и iOS 13
Мы подготавливаем наши продукты к работе с iOS 13. В Elcomsoft Phone Breaker уже внесены необходимые изменения. Продукт получил возможность скачивания и расшифровки резервных копий из облака iCloud, созданных устройствами, работающими на предварительных версиях iOS 13 и iPad OS. Кроме того, в EPB появилась возможность извлекать из компьютеров под управлением macOS полноценные токены безопасности для аутентификации в облако iCloud (только для скачивания синхронизированных данных). Elcomsoft Phone Viewer получил поддержку локальных и облачных резервных копий iOS 13 / iPad OS.
Если вы пользуетесь для работы компьютером Mac, то вы сможете запустить Phone Viewer и Phone Breaker на новой версии macOS 11.15 Catalina. Поддержка новой версии ОС находится в предварительной стадии — так же, как и сама macOS Catalina.