Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.

Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

Большинство наших статей рассказывает о том, как взломать защиту и получить доступ к данным. Сегодня мы попробуем сыграть за другую команду, рассказав о том, как защитить свои данные.

Производители программ для криминалистов не забывают подчеркнуть, что именно их продукт является не только самым продвинутым на рынке, но и самым простым в использовании. Тем не менее, несмотря на уверения в простоте и интуитивности использования собственной продукции, все крупные производители предлагают и обучающие курсы и тренинги, стоимость которых заметно превышает цену самих продуктов. Зачем нужны тренинги, если программы легко использовать? Что это – маркетинговое лукавство или насущная необходимость? Попробуем разобраться, для чего нужны тренинги в мобильной и компьютерной криминалистике.

Пользователи программ для восстановления паролей хорошо представляют сложности, связанные со скоростью перебора. И дело не в том, что скорости всегда не хватает, а в том, что в одних форматах данных может использоваться достаточно посредственная защита, в то время как в других сложность атаки возрастает даже не в разы — на порядки. Как следствие, скорость перебора, как и вероятность успешного восстановления, существенно падают. К таким форматам относятся и резервные копии iPhone и iPad, создаваемые приложением iTunes или любой сторонней программой. Даже с учётом того, что в наших продуктах поддерживается более 300 форматов данных, мы продолжаем считать защиту резервных копий iOS уникальным решением.

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Мы часто пишем о безопасности мобильных операционных систем, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в «облако» производителя. А как обстоят дела в стане старичков и аутсайдеров – мобильных ОС BlackBerry 10, мобильной версии Windows 10, Samsung Tizen, Sailfish и «Аврора»?

О безопасности и уязвимостях Android написаны десятки тысяч статей и сотни книг. Разумеется, мы не будем пытаться объять необъятное; вместо этого попробуем окинуть взглядом экосистему в целом и подход Google к обеспечению безопасности платформы.

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

«Здоровье» пользователя, его медицинские показатели и информация о физической активности – одна из важнейших категорий данных, которая может храниться на смартфоне. Бум носимых устройств, разнообразных датчиков, браслетов, часов и трекеров продолжается более пяти лет. Индустрия предлагает широкое разнообразие устройств, которые могут собирать подробную информацию как о состоянии организма, так и о физической активности пользователя и его местоположении даже если пользователь не взял с собой смартфон. Комбинация данных с такого устройства и информации с телефона позволяет восстановить подробную картину действий пользователя буквально по минутам. Такая информация не должна попасть в руки злоумышленников или нечистоплотных рекламодателей; эта же информация бесценна для расследования преступлений, позволяя восстановить картину происшествия с точной привязкой ко времени. Сегодня мы подробно рассмотрим, какие данные собирают стандартные приложения Apple Health (iOS) и Google Fit (Android), как и где эти данные сохраняются, куда синхронизируются, как защищены и как их можно извлечь. (далее…)