Все статьи автора Vladimir Katalov

В обновлённом инструментарии iOS Forensic Toolkit для извлечения данных из iPhone и других устройств под управлением iOS можно использовать обычный или одноразовый идентификатор Apple ID. Использование Apple ID, не зарегистрированного в программе Apple для разработчиков, сопряжено с некоторыми рисками и ограничениями. В частности, необходимо верифицировать сертификат, которым подписан агент-экстрактор, для чего на исследуемом iPhone потребуется открыть подключение к интернет. В данной статье мы расскажем, как позволить устройству верифицировать цифровую подпись, минимизировав риски удалённой блокировки или сброса устройства.

В Elcomsoft iOS Forensic Toolkit используется метод извлечения файловой системы и дешифрования Связки ключей с устройств iOS без установки джейлбрейка. Для доступа к данным используется собственное приложение, которое служит агентом-посредником между телефоном и компьютером эксперта. Использование агента обладает рядом преимуществ перед методами, использующими джейлбрейк. При этом, однако, требуется использование идентификатора Apple ID для подписи агента извлечения. Использование обычного Apple ID (не зарегистрированного в программе для разработчиков) требует обязательной верификации цифровой подписи, которая должна быть проведена на самом устройстве. Это, в свою очередь, требует подключения к удалённому серверу Apple — иными словами, выхода в интернет.

Бесконтрольный выход исследуемого устройства в сеть несёт ряд неоправданных рисков, уменьшить которые можно, ограничив возможность подключения единственным сетевым адресом — тем, который требуется для проверки сертификата.

Управление рисками

Самый простой способ избежать рисков — избавить iPhone от необходимости проверять сертификат цифровой подписи в принципе. Если агент-экстрактор подписан с Apple ID, зарегистрированным в программе Apple для разработчиков, то проверка сертификата проводится автоматически, без выхода iPhone в сеть.

Проблемы возникают тогда, когда для подписи агента-экстрактора используется обычный или одноразовый идентификатор Apple ID. В этой ситуации для проверки сертификата iPhone придётся «выпустить» в сеть, позволив ему подключиться к удалённому серверу для валидации цифровой подписи. Адрес этого сервера — ppq.apple.com (17.173.66.213), порт 443.

Наша цель — ограничить сетевое подключение доступом исключительно к единственному указанному выше серверу. Для этого необходимо ограничить список узлов, к которым разрешено подключаться исследуемому устройству, оставив в «белом списке» единственный адрес сервера проверки сертификатов Apple (упомянутый выше ppq.apple.com).

Добиться этого можно несколькими способами. Проще всего настроить сеть Wi-Fi на роутере таким образом, чтобы в «белом списке» был единственный нужный узел. Если же радиомодули устройства требуется держать отключёнными, то можно воспользоваться заранее настроенным проводным соединением (например, при помощи адаптера Lightning на Ethernet или более дешёвой альтернативой,  либо комбинацией адаптера Lightning на USB и адаптера USB Ethernet).

 

 

Если же вы пользуетесь компьютером Mac, то никакого дополнительного аппаратного обеспечения не нужно. Достаточно настроить соединение на самом компьютере.

Шаг 1. Подключите к компьютеру Mac любой iPhone кроме того, который вы анализируете. Откройте [Settings] | [Shared] и убедитесь, что в меню Internet Sharing в «To computers using:» содержится пункт «iPhone USB».

Если такого пункта нет, временно включите на телефоне Personal Hotspot (выберите опцию «USB only»). Пункт меню должен появиться. После этого iPhone можно отключить от компьютера, а раздачу интернета с него — выключить.

Шаг 2. Убедитесь, что к компьютеру Mac не подключено ни одного iPhone, и активируйте файрвол (только для интерфейса iPhone USB), разрешив доступ только к узлу ppq.apple.com. Это можно сделать при помощи нашего скрипта, запущенного из-под пользователя root:

sudo ./install_firewall.sh

Содержимое скрипта очень простое:

#!/bin/bash
cp /etc/pf.conf /etc/pf.conf.backup
echo "table <allowed-hosts> { ppq.apple.com, 192.168.2.0/24 }" >> /etc/pf.conf
echo "block drop in quick on bridge100 proto tcp from any to !<allowed-hosts>" >> /etc/pf.conf
pfctl -f /etc/pf.conf

Шаг 3. Подключите iPhone, из которого нужно извлечь данные. Агент-экстрактор должен быть уже установлен. Если это не так — установите агент-экстрактор через Elcomsoft iOS Forensic Toolkit. Теперь включите Internet Sharing на iPhone USB.

Шаг 4. Пройдите верификацию сертификата, выданного на тот Apple ID, посредством которого был установлен агент-экстрактор.

Шаг 5. Проведите извлечение файловой системы и Связки ключей в EIFT.

Step 6. Теперь файрвол можно отключить, восстановив оригинальную конфигурацию из резервной копии. Проще всего это сделать, запустив второй скрипт (от имени пользователя root):

sudo ./uninstall_firewall.sh

Этот скрипт даже проще предыдущего:

#!/bin/bash
cp /etc/pf.conf.backup /etc/pf.conf
pfctl -f /etc/pf.conf

Вы можете и оставить данную конфигурацию для последующих сессий анализа (в случае, если вам придётся извлекать данные из других iPhone). В этом случае настройки на компьютере вам повторять не придётся, а любой iPhone, который будет подключаться к данному компьютеру, будет видеть исключительно сервер верификации сертификатов.

Мы неоднократно писали о паролях, защищающих резервные копии iPhone, об их важности и о том, что резервные копии — ключ к логическому анализу смартфона. Множество разрозненных публикаций не всегда удобны для чтения и восприятия. В этой статье мы собрали самую важную и самую актуальную информацию о том, что можно сделать с паролем в различных обстоятельствах. Мы также отобрали ряд практических советов и рекомендаций, которые позволят эффективно справляться с парольной защитой.

Возможные сценарии

Есть два типичных сценария, в которых неизвестный пароль от резервной копии iPhone может иметь значение.

Если вы — работник правоохранительных органов или независимый эксперт, то вы можете столкнуться с ситуацией, когда iPhone подозреваемого вроде бы доступен (код блокировки не установлен или известен), но установленный на резервную копию пароль мешает извлечению данных и проведению экспертизы. Если вы пользуетесь пакетом программ для анализа iPhone, то, возможно, вы уже увидели окно с предложением взломать пароль. Не спешите это делать: возможно, есть другие способы добраться до хранящейся в устройстве информации!

Если же вы — пользователь iPhone, то вам может потребоваться перенести данные с одного телефона на другой или восстановить старое устройство после сброса к заводским настройкам. Трудно придумать более неприятную ситуацию, чем неизвестный или забытый пароль на уже созданной резервной копии! Если вы установили пароль и успешно его забыли, то восстановить аппарат из такой резервной копии не получится. Возможно, вам будет доступно восстановление из облачной резервной копии в iCloud, но рассмотрение этого варианта выходит за рамки данной статьи.

Рекомендуем статью, опубликованную Apple — «Зашифрованные резервные копии на iPhone, iPad или iPod touch». Мы также можем порекомендовать наш собственный текст (увы, на английском) — The Most Unusual Things about iPhone Backups. Здесь же мы расскажем о некоторых практических аспектах того, о чём две упомянутые статьи рассказывают лишь в теории.

Как извлечь оригинальный пароль

Для извлечения данных нет ничего лучше того самого пароля, который когда-то был установлен на резервную копию. У нас есть хорошая новость: если вы пользователь Mac (или в вашем распоряжении есть компьютер пользователя под управлением macOS), то вероятность, что резервный пароль хранится в связке ключей macOS, очень и очень высока. Все, что вам нужно, это пароль от Mac. Windows? К сожалению, нет.

Требуемое ПО: Keychain Acccess (бесплатно; встроено в macOS)

Взломать!

Взлом пароля — наша основная специализация. Но даже мы признаём, что попытка взлома пароля к резервной копии iPhone, работающих под хотя бы относительно свежей сборкой iOS — занятие с крайне туманными перспективами. Начиная с iOS 10.2, защита паролей такова, что скорость перебора даже с использованием дорогостоящих аппаратных ускорителей и самых мощных видеокарт не превышает нескольких десятков (в лучшем случае — сотен) паролей в секунду. С такой скоростью можно взломать лишь самые слабые пароли, которые встречаются крайне редко. Ещё один вариант — использование словаря, составленного из известных паролей того же пользователя. А вот смысла в атаке методом полного перебора, увы, мало.

Требуемое ПО: hashcat (бесплатно) или Elcomsoft Phone Breaker

Сбросить!

С выходом iOS 11 появилась возможность сброса пароля резервного копирования непосредственно с устройства iPhone (разумеется, экран телефона при этом должен быть разблокирован). Эта опция по-прежнему доступна в iOS 13 и текущих бета-версиях iOS 14, поэтому, вероятно, она останется и в будущем. Последовательность действий предельно проста (как описано в Apple HT205220, упомянутом выше):

  • На устройстве перейдите в меню «Настройки» > «Основные» > «Сбросить».
  • Нажмите «Сбросить все настройки» и введите пароль устройства.
  • Следуйте инструкциям по сбросу настроек. Это не затронет данные или пароли пользователей, но приведёт к сбросу таких настроек, как уровень яркости дисплея, позиции программ на экране «Домой» и обои. Пароль для шифрования резервных копий также будет удалён.

Как это часто бывает, дьявол кроется в деталях. Основная проблема заключается в том, что при сбросе настроек будет удалён также и код блокировки устройства, что может привести к довольно неприятным последствиям (станет недоступной некоторая часть данных — например, транзакции Apple Pay). Это особенно важно, если вы работаете не со своими данными, а расследуете инцидент в качестве судебного эксперта. Постарайтесь оставить этот способ на крайний случае, если не удастся решить проблему иначе.

Требуемое ПО: нет

Просто игнорировать

Каким бы странным ни был этот совет, в некоторых случаях пароль на резервную копию можно действительно просто проигнорировать. В каких случаях стратегия «не делать ничего» является не только самое простой, но и самой эффективной?

Во-первых, если всё, что вам нужно от устройства — это архив фотографий и видеороликов, то пароль для резервного копирования вам не нужен. Для доступа к фотографиям используется совершенно независимый протокол, никак не связанный с протоколом создания резервных копий и паролем от них. Вы можете извлечь из телефон фото и и видео независимо от того, установлен пароль или нет. Мы часто получаем запросы о помощи в извлечении фотографий (разумеется, о резервном копировании важнейших и уникальных данных речь если и заходит, то в контексте «конечно-конечно, как-нибудь обязательно»). Довольно часто фотографии (с данными о местоположении) — это всё, что нужно экспертам-криминалистам.

Во-вторых, для некоторых моделей iPhone и версий iOS (в настоящее время до iOS 13.5 на iPhone Xr/Xs/11 и для всех версий iOS на старых моделях) вы можете извлечь значительно больше данных, чем попадает в резервные копии, и пароль резервного копирования вам для этого не потребуется. Данные извлекаются непосредственно из файловой системы устройства, а не в формате резервной копии. Да, эти данные нельзя будет использовать для восстановления другого устройства, но и делать это вам вряд ли потребуется. В данном случае — «шашечки или ехать?»

И последнее, но не менее важное: иногда вы сможете извлечь исходный пароль от резервной копии из самого устройства (а точнее — из его Связки ключей) в дополнение к образу файловой системы. Трудно сказать, есть ли в этом какая-то дополнительная ценность по сравнению с извлечением собственно файловой системы (в которой в любом случае содержится значительно больше данных). Иногда такой пароль можно попробовать использовать для извлечения данных из более старой резервной копии, которая может содержать некоторые удалённые файлы.

Требуемое ПО: Elcomsoft iOS Forensic Toolkit

Заключение

Как мы видим, даже если пароль неизвестен, существует несколько вариантов доступа к данным. Обязательно изучите все возможности и их последствия для того, чтобы взвесить риски и выбрать наиболее безопасный и эффективный метод для конкретного случая.

Сегодня смартфон — полноценная замена множеству вещей: фотоаппарату, навигатору, шагомеру и даже кошельку. Смартфоны содержат огромное количество конфиденциальной информации, которая может оказаться полезной в расследовании или стать основой доказательной базы. Получить доступ к этим данным может оказаться непросто, что продемонстрировал спор между ФБР и Apple по поводу разблокировки телефона iPhone 5c, который был использован стрелком из Сан-Бернардино в декабре 2015 года. Несколько лет назад вопрос о разблокировке этого устройства стал причиной судебного спора двух гигантов. Сегодня благодаря последним достижениям разблокировка iPhone 5c не представляет особой проблемы.

Тот самый iPhone 5c

Apple выпустила iPhone 5 в сентябре 2012 года. Телефон поставлялся с iOS 6.0; последняя версия iOS, доступная для этого устройства — 10.3.4.

В сентябре 2013 года Apple выпустила не один, а сразу два iPhone, причём основанных на совершенно разных наборах микросхем. Флагманом компании стал инновационный (и довольно дорогой) iPhone 5s, в котором впервые появились такие вещи, как датчик отпечатка пальцев и аппаратный сопроцессор Secure Enclave. А вот iPhone 5c стал «доступной» моделью, основанной на упрощённой начинке прошлогоднего iPhone 5.

Выпустив iPhone 5c, Apple предприняла попытку выйти на рынок бюджетных телефонов, которая не нашла понимания у журналистов и обозревателей того времени. Несмотря на плохие обзоры, эта модель года стала одним из самых популярных бюджетных телефонов, продаваемых через собственным каналы продаж сотовыми операторами США.

iPhone 5c стал последним смартфоном от Apple, основанном на 32-битном процессоре. Изначально iPhone 5c вышел с iOS 7.0; последняя версия iOS, доступная для этого телефона — 10.3.3.

iPhone 5c стал знаменит после террористической атаки в Сан-Бернардино в декабре 2015 года и последующей судебной тяжбой между ФБР и Apple. В этом споре Федеральное бюро расследований потребовало, чтобы Apple создала программное обеспечение, которое позволило бы ФБР разблокировать iPhone 5C террориста. Объект спора — iPhone 5c — был найден в рабочем состоянии, но был заблокирован четырёхзначным паролем. На устройстве была настройка на стирание данных после десяти неудачных попыток. Apple отказалась создавать такое программное обеспечение (хотя технически, они могли это сделать); судебное слушание было назначено на 22 марта. Однако за день до слушания правительство потребовало отсрочки, заявив о существовании третьей стороны, способной помочь в разблокировке. 28 марта было объявлено, что ФБР удалось разблокировать аппарат. Иск был отозван.

Как именно ФБР удалось получить пароль, кто был подрядчиком и сколько именно было заплачено за услугу, официально неизвестно. Некоторые новостные агентства со ссылкой на анонимные источники назвали третьей стороной израильскую компанию Cellebrite (которая не опровергла, но и подтвердила этот факт). Однако The Washington Post сообщила, что, по словам очередных анонимных «людей, знакомых с вопросом», ФБР заплатило «профессиональным хакерам», которые использовали неопубликованную уязвимость в программном обеспечении iPhone. По словам директора ФБР Джеймса Коми, взлом данного iPhone 5c обошёлся ФБР в сумму более 1,3 миллиона долларов. До сих пор точно не известно, была ли это компания Cellebrite (которая отказывается от комментариев, но явно не подтверждает своё участие) или кто-либо ещё. С учётом того, что от комментариев воздерживается и потенциальная «третья сторона», точно установить исполнителей контракта не представляется возможным.

Сегодня же разблокировать iPhone 5c сможет любой пользователь нашего программного инструментария iOS Forensic Toolkit, цена которого почти на три порядка меньше выложенной ФБР суммы. При помощи Elcomsoft iOS Forensic Toolkit можно подобрать пароль экрана блокировки iPhone 5/5c и разблокировать устройство.

Говоря о восстановлении пароля, нельзя не упомянуть работу Сергея Скоробогатова. В своём исследовательском проекте «Анализ безопасности Apple iPhone 5c» он продемонстрировал атаку, позволяющую подобрать код блокировки экрана на iPhone 5c. У метода, предложенного Сергеем, есть два недостатка: телефон потребуется разобрать, а пауза между попытками ввода пароля достигает 5 секунд. В своей работе Сергей утверждает, что взломать 4-значный код доступа можно примерно за сутки, а восстановление 6-значного PIN-кода займёт неоправданно много времени.

Ещё одним способом разблокировки iPhone 5c в своё время стало решение IP-BOX и его многочисленные клоны. Их основной недостаток — ограничение версий iOS до iOS 8.1 включительно. Более новые версии iOS принципиально не поддерживаются, а скорость перебора аналогична решению Сергея (около 6 секунд на попытку ввода пароля или порядка 17 часов на взлом 4-значного PIN-кода).

В сравнении с этими решениями, наш продукт не требует дополнительного оборудования или разборки телефона, работая при этом примерно в 80 раз быстрее.

Как работает восстановление пароля и почему так важно восстановить именно оригинальный код блокировки экрана, а не, например, обойти его посредством эксплойта? Об этом — ниже.

Код блокировки как вершина безопасности

Код блокировки экрана — важнейшая часть модели безопасности iPhone. Начиная с iOS 8, пользовательские данные, включая пароли, хранящиеся в Связке ключей, шифруются с помощью ключа, полученного криптографическим преобразованием пароля пользователя. Без оригинального пароля невозможно получить доступ к информации на устройствах до первой разблокировки (т.е. только что включённых или сразу после перезагрузки). Обход пароля блокировки экрана для таких устройств — операция достаточно бессмысленная, поскольку основной массив данных будет надёжно зашифрованным.

Система безопасности iOS отлично документирована. Следующий отрывок из документации Apple Platform Security объясняет роль пароля в экосистеме iOS.

Установив на устройстве код-пароль, пользователь автоматически включает защиту данных. iOS и iPadOS поддерживают код-пароли из четырех или шести цифр и буквенно-цифровые код-пароли произвольной длины. Помимо разблокирования устройства, код-пароль является источником энтропии для некоторых ключей шифрования. Это означает, что злоумышленник, завладевший устройством, не сможет получить доступ к данным определенных классов защиты, не зная код-пароля.

Код-пароль привязывается к UID устройства, поэтому попытки перебора должны выполняться непосредственно на атакуемом устройстве. Для замедления каждой попытки используется большое число повторений. Число повторений настроено таким образом, что одна попытка занимает примерно 80 миллисекунд. Это означает, что для перебора всех сочетаний шестизначного код-пароля, состоящего из строчных букв и цифр, потребуется более 5,5 лет.

Чем надежнее код-пароль пользователя, тем надежнее ключ шифрования. А благодаря Touch ID и Face ID пользователь может установить гораздо более надежный код-пароль, чем это было бы возможно при отсутствии данной технологии. Это повышает эффективное количество энтропии, используемое для защиты ключей шифрования системы защиты данных, без ущерба для удобства пользователей, которым приходится по несколько раз в день разблокировать устройство iOS или iPadOS.

Чтобы дополнительно усложнить атаки методом перебора, после ввода неправильного код-пароля на экране блокировки временные задержки увеличиваются. Если параметр «Настройки» > «Touch ID и код‑пароль» > «Стирать данные» включен, все данные на устройстве будут автоматически стерты после 10 неудачных попыток ввода код-пароля подряд. При подсчете не учитываются последовательные попытки ввода одного и того же неправильного код-пароля. Эта функция также доступна при настройке политики администрирования через систему управления мобильными устройствами (MDM), которая поддерживает эту функцию, и Exchange ActiveSync. Кроме того, можно установить более низкий порог ее срабатывания.

На устройствах с Secure Enclave за применение задержек отвечает сопроцессор Secure Enclave. Если в течение заданного времени задержки устройство перезапускается, задержка применяется еще раз, а таймер запускается заново.

Источник: Apple Platform Security

В старых моделях iPhone, в частности iPhone 5 и iPhone 5c, измеренная задержка между попытками ввода пароля составила 73,5 мс, что даёт скорость перебора в 13,6 паролей в секунду. Это очень близко 80 мс, о которых пишет Apple. Поскольку в этих моделях iPhone нет сопроцессора безопасности, увеличивающиеся временные задержки устанавливаются программно операционной системой, а не сопроцессором Secure Enclave. Это, в свою очередь, означает, что задержку можно отключить программным же способом при наличии доступа к определённым системным файлам.

Наконец, iPhone 5 и iPhone 5c не оснащены датчиком отпечатков пальцев. Код блокировки — единственное средство защиты устройства. В документации Apple есть фраза: «благодаря Touch ID и Face ID пользователь может установить гораздо более надежный код-пароль, чем это было бы возможно при отсутствии данной технологии». Поскольку указанных технологий в этих моделей iPhone нет, то и пользователи, скорее всего, будут выбирать простые и короткие PIN-коды вместо более длинных буквенно-цифровых паролей, чтобы избежать (снова цитата) «ущерба для удобства пользователей, которым приходится по несколько раз в день разблокировать устройство».

Какие пароли встречаются чаще всего?

Типы паролей, которые чаще всего устанавливают пользователи, зависят от нескольких факторов. Сюда входят как настройки iOS по умолчанию, так и фактора удобства, который учитывает наличие или отсутствие Touch ID/Face ID, а также скорость и удобство ввода того или иного пароля с экранной клавиатуры.

Выбор по умолчанию

В iOS 6 был единственный вариант — простой пароль из 4 цифр, который и был включён по умолчанию. Если пользователь отключал настройку, он мог использовать буквенно-цифровой код доступа любой длины. Однако, если пользователь вводил любое количество цифр, кроме четырёх, на экране блокировки будет отображаться клавиатура только с цифрами (и текстовое поле переменного размера). Таким образом, классификация типов паролей, доступных в iOS 6, включает следующие варианты:

  • 4-значный цифровой PIN-код
  • Цифровой PIN-код произвольной длины (кроме 4-значных цифровых кодов)
  • Буквенно-цифровой код

В iOS 9 (а также iOS 10) были доступны следующие четыре варианта:

  • 4-значный цифровой PIN-код
    6-значный цифровой PIN-код
    Цифровой код произвольной длины
    Буквенно-цифровой код произвольной длины

В разных источниках приводится информация о том, что с момента выхода iOS 9 Apple перешла на шестизначные коды доступа, сделав их вариантом по умолчанию. Для двух рассматриваемых моделей iPhone (5 и 5c) это утверждение неверно. После сброса настроек на iPhone 5 и 5с мы наблюдали предложение установить 4-значный цифровой PIN-код. Ещё более интересным является то, что при попытке изменить уже установленный 6-значный PIN-код на новый, iOS все равно предложит установить 4-значный PIN-код. Скорее всего, это часть «фактора удобства», поскольку 6-значный код доступа приведёт к проблемам (ok, небольшим затруднениям), связанным с отсутствием в данных моделях датчика отпечатка пальцев.

Фактор удобства

Какие пароли чаще всего устанавливают пользователи на устройствах до Touch ID? В мае 2020 года Филипп Маркер, Даниэль В. Бейли, Максимилиан Голла, Маркус Дюрмут и Адам Дж. Авив провели исследование выбранных пользователем 4- и 6-значных PIN-кодов, собранных на смартфонах для разблокировки устройства. В своём исследовании они объединили несколько наборов данных, полученных из различных источников, и провели собственное тестирование 1220 участников. Исследование помогло определить наиболее часто используемые 4- и 6-значные PIN-коды.

Исследователи сделали следующие выводы, которые на первый взгляд могут показаться спорными. Из исследования сделан вывод, согласно которому реальная эффективность использования более длинных 6-значных PIN-кодов по сравнению с 4-значными довольно низкая. Участники исследования, вынужденные использовать 6-значный PIN, чаще всего выбирали варианты, которые легко угадать или удобно набирать на экранной клавиатуре. Существуют чёрные списки таких паролей, однако в исследовании был сделан вывод об их неэффективности и даже контрпродуктивности: оказалось, что участники эксперимента считают, что занесение выбранного ими пароля в чёрный список только усилит безопасность, не влияя на удобство использования. (источник)

Часто используемые пароли

Со своей стороны, мы можем порекомендовать ознакомиться с оригинальным исследованием. С нашей точки зрения значение имеет список наиболее часто используемых (а значит, и наименее безопасных) 6-значных PIN-кодов. В этом списке всего 2910 записей, и для их проверки требуется порядка 4 минут. В этом списке и хит всех времён — пароль 123456, и повторяющиеся цифры (000000, 999999), а также цифровые пароли, представляющие определённые комбинации, фактически из двух или трёх цифр (например, 131313 или 287287). После этого списка идут 6-значные PIN-коды, основанные на дате рождения пользователя; существует около 74 тысяч возможных комбинаций, на проверку которых уходит около 1,5 часов. Только после того, как эти возможности исчерпаны, мы начинаем полный перебор оставшихся вариантов, который длится около 21 часа.

Заключение

iPhone 5 и 5c вышли почти 7 лет назад, но на руках у пользователей и в лабораториях экспертов осталось ещё довольно много таких устройств. Для разработки первого эксплойта потребовались годы и сумма, превышающая миллион долларов. Сегодня быстрый способ разблокировки iPhone 5 и 5c доступен всем желающим с использованием чисто программного метода.

Джейлбрейк checkra1n — уникальное явление в экосистеме Apple, эксплуатирующее аппаратную уязвимость в загрузчике ряда устройств. К сожалению, процесс установки джейлбрейка checkra1n не так прост и прямолинеен, что часто приводит к ошибкам. В то же время чёткое следование инструкциям позволяет добиться успеха почти в ста процентах случаев. О правилах и особенностях установки checkra1n мы поговорим в этой статье.

Для чего нужен checkra1n

Нужно ли устанавливать джейлбрейк в процессе извлечения данных? Ответ на этот вопрос зависит только от вас. Если известен код блокировки устройства, вам могут быть доступны другие варианты извлечения данных — от логического анализа до скачивания из облака (через сброс пароля к iCloud). В то же время работа через джейлбрейк позволяет извлечь полный образ файловой системы, включая рабочие базы данных различных защищённых программ мгновенного обмена сообщениями, которые практически никогда не попадают в резервные копии.

Даже если вы приняли решение об установке джейлбрейка, вовсе не обязательно пользоваться именно checkra1n. Для ряда устройств и версий iOS доступен альтернативный вариант — джейлбрейк unc0ver; ещё один джейлбрейк (Odyssey) на подходе.  Между этими вариантами есть существенная разница, о которой мы писали в англоязычной части нашего блога в статье checkra1n & unc0ver: How Would You Like to Jailbreak Today. Вкратце, основными преимуществами checkra1n является поддержка самых свежих версий iOS, которые не поддерживаются другими джейлбрейками, и возможность работы с «холодными» устрофствами в режиме BFU (Before First Unlock, или «до первой разблокировки») даже в тех случаях, когда код блокировки устройства неизвестен. Ещё одним немаловажным преимуществом checkra1n является то, что для его установки не нужно подписывать файл-установщик (IPA) через AltStore или с использованием учётной записи Apple для разработчиков.

Совместимость и интерфейс командной строки

checkr1n совместим с моделями iPhone от 5s до iPhone X включительно, многочисленными моделям iPad, а также Apple TV 4 (Apple TV HD) и Apple TV 4K. Поддержка версий iOS заявлена в промежутке от iOS 12.3 до 13.5.

В то же время разработчики предусмотрели возможность установки checkra1n и на тех версиях iOS, которые не поддерживаются официально. Для этого достаточно активировать режим “Allow untested versions”, как показано на скриншоте. Мы успешно опробовали checkra1n на устройствах с iOS 13.5.1 и 13.6. В то же время со старыми версиями iOS (12.3 и ниже) успеха мы не добились.

При установке checkra1n рекомендуем воспользоваться интерфейсом командной строки вместо режима GUI; по нашим наблюдениям, в режиме командной строки установка работает более надёжно. Важно отметить, что при работе с устройствами, которые находятся в режиме BFU с неизвестным кодом блокировки экрана и заблокированным портом USB, режим командной строки — единственный доступный.

Требования к компьютеру

В отличие от подавляющего большинства других джейлбрейков, checkra1n устанавливается только с компьютера под управлением macOS или Linux. Версии для Windows нет, однако существуют различные способы обхода этого ограничения — например, эмуляторы и загрузочные флеш-накопители. Если в вашем распоряжении только компьютер под управлением Windows, воспользуйтесь одним из решений Ra1nUSB, Bootrain или ra1nstorm.

Кроме того, существует вариант установки через Raspberry Pi, однако по информации от разработчиков он работает недостаточно стабильно (в особенности — на устройствах Raspberry Pi Zero и Raspberry Pi 3).

Таким образом, для установки checkra1n имеет смысл воспользоваться именно компьютером под управлением macOS. Мы не проверяли работу установщика на Big Sur, но в macOS Catalina он функционирует без проблем.

Требования к коннектору и кабелю

Основное правило: используйте сертифицированный кабель формата Lightning to USB Cable (с коннектором USB Type-A), но ни в коем случае не кабель с коннектором USB Type-C. О причинах пишут разработчики checkra1n:

Кабели Lightning с разъёмом USB-C проблематичны в использовании. В частности, некоторые из них не могут быть использованы для перехода в режим DFU, и мы ничего не можем с этим поделать. В число неработоспособных входят как собственные кабели USB-C от Apple, так и некоторые сторонние кабели. В то же время ряд сторонних кабелей оказался работоспособным, однако сказать заранее, какой кабель сработает, а какой — нет, не получается. Если конкретный кабель не работает, рекомендуем использовать кабель USB-A, при необходимости — в сочетании с адаптером USB-A-C.

Техническое объяснение:

BootROM перейдёт в режим DFU только в том случае, если обнаружит напряжение на разъёме USB. В свою очередь, определение напряжения на разъёме сводится к проверке того, установлен ли определённый вывод из чипа Tristar. Tristar делает это на основе «идентификатора аксессуара» кабеля. Очевидно, что кабели USB-A и USB-C имеют разные идентификаторы аксессуаров, а некоторые кабели USB-C заставляют Tristar не устанавливать вывод напряжения USB.

Наконец, воздержитесь от использования USB-хабов (вариант с переходником с USB-C на USB-A допустим).

Другие особенности

Одной из неочевидных особенностей при установке checkra1n является уровень заряда аккумулятора телефона. Убедитесь, что устройство не находится в режиме Low Power, а заряд аккумулятора заметно превышает 20%.

Ещё одна рекомендация от разработчиков checkra1n: при попытке установить checkra1n на несколько телефонов подряд, успешной будет только первая попытка. Обойти проблему можно, перезапустив checkra1n после каждой попытки.

Со своей стороны добавим, что, возможно, вам придётся перезапустить компьютер с macOS. Похоже, драйвер USB driver или какой-то другой компонент системы перестаёт нормально работать после попытки установить checkra1n; при этом самый простой способ восстановить работоспособность — перезагрузить компьютер, отключить iPhone, подключить его заново и снова ввести в режим DFU.

Если вам всё ещё не удаётся установить checkra1n, вы можете оформить запрос в checkra1n issue tracker, максимально подробно описав проблему и убедившись, что её решение не опубликовано ранее.

Ближайшее будущее

Заработает ли checkra1n с новыми версиями iOS, включая iOS 14? Для iOS 13.6 ответ положительный. Что же касается iOS 14, мы протестировали работу последней версии checkra1n (0.20.2) с iOS 14 beta 2 на ряде устройств от iPhone 6s до iPhone X, обнаружив, что на данный момент ни одна из протестированных конфигураций не поддерживается. В то же время, одному из наших партнёров удалось успешно установить checkra1n на одно из тестовых устройств.

Вероятно, checkra1n получится адаптировать для работы с будущими версиями iOS, но полной уверенности в этом нет. Apple работает над усилением безопасности экосистемы; по слухам, извлечение в режиме BFU на устройствах iPhone 7, iPhone 8 и iPhone X заметно ограничат или сделают невозможным (iPhone 6s в этот список не входит). В то же время, если код блокировки экрана вам известен, то установить checkra1n вы сможете, но только после того, как код блокировки будет с устройства удалён. Обратите внимание, что снятие кода блокировки приводит к ряду негативных последствий в том, что касается содержимого устройства и доступа к iCloud.

Какие существуют способы для извлечения максимально подробных данных из устройств iPhone, iPad, Apple TV и Apple Watch, и каким из множества способов стоит воспользоваться? Ответ на этот вопрос — многомерная матрица со множеством сносок и отступлений. О них мы и поговорим в этой статье.

Вопрос совместимости

Первые два измерения матрицы — совместимость различных способов извлечения с версией программного обеспечения и аппаратной платформой устройства. На создание таблицы совместимости ушло много времени и усилий; при этом время, в течение которых эти данные будут оставаться актуальными, ограничено циклом выхода новых версий соответствующих операционных систем. В таблице отсутствуют модели планшетов iPad; это упущение связано с тем, что совместимость соответствующих моделей iPad практически полностью совпадает с совместимостью моделей iPhone, работающих под управлением аналогичных версий операционной системы (версии iOS и iPadOS  синхронизированы).

Расшифровка сокращений:

  • Backups — локальные резервные копии в формате iTunes или в iCloud
  • iCloud Sync — данные, синхронизированные в облаке iCloud
  • Media/Shared/Logs — мультимедиа-файлы (изображения и видео), файлы некоторых приложений и журналы диагностики
  • FFS — Full File System, полный образ файловой системы устройства
  • Keychain — Связка ключей (извлечение и расшифровка)
  • FFS & keychain — полный образ файловой системы и расшифровка Связки ключей

Рассмотрим возможные подводные камни.

По типу устройства

iPhone и iPads (iOS/iPadOS)

Для iOS (и iPadOS) доступно максимальное разнообразие методов извлечения данных. Всё, что вам потребуется — это кабель Lightning или USB Type-C (для моделей iPad Pro и Apple TV 4). Впрочем, для извлечения через checkra1n мы рекомендуем использовать кабель USB-A — Lightning (пример), но не USB-C — Lightning, т.к. при использовании последнего часто возникают проблемы (в частности, с переводом устройства в режим DFU).

Apple TV (tvOS)

В случае с Apple TV 4 всё достаточно просто: устройство оборудовано разъёмом USB Type-C. В новой модели 4K порт убрали; вам потребуется переходник, позволяющий подключиться к скрытому порту Lightning. Мы написали об этом в статье Jailbreaking Apple TV 4K.

Если вы предпочитаете использовать checkra1n вместо unc0ver (например, если версия tvOS не поддерживается unc0ver), обратите внимание: вам потребуется дополнительный кабель-прерыватель для перевода устройства в режим DFU.

Без джейлбрейка можно извлечь мультимедиа-файлы и метаданные плюс некоторые журналы диагностики.

Apple Watch (watchOS)

В данном случае адаптер нужен всегда, см. Apple TV and Apple Watch Forensics 01: Acquisition. Нужные адаптер носит название «IBUS». В настоящее время подобные адаптеры существуют для поколений часов S1/S2/S3, но не для S4 или S5. В то же время, часть данных (в основном Здоровье), которые собираются часами, синхронизируются с подключённым телефоном iPhone и через него — с облаком iCloud. Отдельных резервных копий часов в облаке нет, но часть данных Apple Watch хранится в резервных копиях iPhone.

По методу извлечения

Логическое извлечение данных — самый быстрый, простой, безопасный и совместимый метод сбора данных. Да, этот метод предоставляет ограниченный объем данных; тем не менее, мы рекомендуем воспользоваться в первую очередь именно им. Обратите внимание:

  • Существуют различия в данных между локальными и облачными резервными копиями.
  • Также существуют различия между локальными резервными копиями с и без пароля (см. The Most Unusual Things about iPhone Backups); больше данных содержат именно резервные копии с паролем.
  • Извлечь резервную копию из облака может оказаться сложнее, чем кажется (и это не только вопрос двухфакторной аутентификации).

Имейте в виду, что резервные копии — лишь часть информации, доступной в рамках логического извлечения. Можно извлечь мультимедиа-файлы с метаданными, даже если резервная копия защищена паролем, а пароль неизвестен. Кроме того, можно извлечь некоторые файлы приложений (обычно документы, но иногда и другие пользовательские данные от фотографий до баз данных, включая например менеджеры паролей) и журналы диагностики, которые могут помочь в восстановлении истории использования устройства. Этот метод — единственный, который работает на устройствах Apple TV без джейлбрейка и на устройствах Apple Watch от S1 до S3.

Полный образ файловой системы содержит намного больше данных, чем даже резервная копия с паролем. С образом файловой системы вы получаете все данные, включая данные из «песочниц» приложений и системные базы данных с точками местоположения, информацию об использовании устройства и многое другое.

Настоящая золотая жила — Связка ключей. Связка ключей представляет собой защищённое и зашифрованное хранилище для паролей пользователя, ключей шифрования, сертификатов, данных кредитных карт и многого другого. Расшифровав Связку ключей, вы получите доступ к чатам защищённых мессенджеров, к сторонним облачным службам, используемым владельцем устройства, и многому другому. Если вы не работаете со Связкой ключей, вы многое теряете.

Чтобы получить файловую систему и связку ключей, мы рекомендуем извлечение с помощью агента (если он доступен для выбранной модели и версии системы), так как это самый безопасный и надежный метод. Однако поддержка версий iOS и моделей устройств шире именно с джейлбрейками.

Наконец, извлечение из облака iCloud (честно говоря, наша любимая тема). У этого метода так много преимуществ, что о них стоит написать отдельную статью. Устройство — не нужно! А вот код блокировки от него (не говоря о пароле к учётной записи) понадобится для расшифровки некоторых данных, защищённых в облаке сквозным шифрованием (не совсем корректный термин, извините). Через облако можно получить доступ к текущим и удалённым данным, а также к данным с других устройств пользователя, подключённых к той же учётной записи.

По версии ОС

Для логического анализа, включая извлечение файлов мультимедиа и журналов диагностики, версия операционной системы не имеет значения. Логический анализ доступен для всех версий ОС: от древней iOS 4 до предварительной бета-версии iOS 13.6 (последняя версия, доступная на момент написания этой статьи); результат будет примерно одинаков. Первая бета-версия iOS 14 выходит на следующей неделе, и мы практически уверены, что логический анализ заработает сразу и без проблем.

К сожалению, в случае с джейлбрейками и нашим собственным агентом-экстрактором дела обстоят иначе. Как джейлбрейки, так и наш агент-экстрактор базируются на обнаруженных исследователями уязвимостях. Такие эксплойты существуют для большинства версий iOS вплоть до iOS 13.5 включительно, но некоторые конкретные версии системы охвачены не полностью. Например, для iOS 12.3–12.4.7 из iPhone 5s и iPhone 6 мы можем извлечь только образ файловой системы, но не связку ключей. Аналогичным образом обстоят дела с устройствами под управлением iOS 13.3.1–13.4.1. Наконец, хотя для iOS 13.5 и доступен джейлбрейк, позволяющий извлечь как файловую систему, так и связку ключей, вам придётся самостоятельно устанавливать джейлбрейк; наш агент-экстрактор для этой версии не сработает. Для iOS 13.5.1–13.6 beta 2 можно использовать checkra1n (только для совместимых моделей).

С tvOS ситуация значительно хуже. Эксплойты существуют и для Apple TV (точнее, для tvOS), но джейлбрейки доступны только для очень ограниченного числа версий в диапазоне tvOS 9-12. Только tvOS 13 полностью поддерживается джейлбрейком checkra1n, включая (в теории) и последнюю бета-версию 13.4.8, которую мы однако ещё не проверяли. Мы в состоянии добавить поддержку агента для более старых версий tvOS, но конкретных планов пока нет. Обратите внимание, что Apple по умолчанию обновляет tvOS автоматически, поэтому на приставке Apple TV, как правило, будет установлена ​​последняя версия tvOS.

Что касается watchOS, то об извлечении файловой системы можно забыть независимо от версии watchOS. Несмотря на то, что watchOS уязвима для эксплойта checkm8, общедоступных джейлбрейков для watchOS 5.2 и более поздних версий просто не существует; текущей же версией является watchOS 6.2.8 beta 2. С другой стороны, бОльшая часть информации, собранной Apple Watch, доступна либо с iPhone, с которым он связан, либо из облака. Если у вас есть адаптер IBUS, вы сможете извлечь медиа-файлы и метаданные (для часов серии S1-S3).

Заключение

Как мы уже многократно писали, в случае с извлечением данных с устройств Apple не существует «решения одной кнопки» (не верьте производителям, которые заявляют о подобном), хотя мы стараемся сделать рабочий процесс максимально простым. Важно понимать, какие варианты извлечения данных доступны для каждой комбинации аппаратного и программного обеспечения, и принимать обдуманное и взвешенное решение при выборе метода для анализа (точнее, комбинации методов).

iPhone — один из самых популярных смартфонов в мире. Благодаря своей огромной популярности, iPhone привлекает большое внимание сообщества криминалистов. Для извлечения данных из iPhone разработано множество методов, позволяющих получать то или иное количество информации с большими или меньшими усилиями. Некоторые из этих методов основаны на недокументированных эксплойтах и публичных джейлбрейках, в то время как другие используют API для доступа к информации. В этой статье мы сравним типы и объёмы данных, которые можно извлечь из одного и того же iPhone 11 Pro Max объёмом 256 ГБ, используя три различных метода доступа к информации: расширенный логический, физический и облачный.

Мы протестировали и сравнили доступные методы на примере устройства iPhone 11 Pro Max 256 ГБ под управлением iOS 13.3. Устройство подключено к учётной записи iCloud вместе с большим количеством других устройств, включая компьютеры MacBook Pro, Mac Mini, iMac, четыре других iPhone (6s, 7, X, Xr), один iPad Pro третьего поколения, часы Apple Watch, пара Apple TV и одну колонку HomePod. Мы не считали устройства других членов семьи, объединённые в Семейный доступ. В процессе тестирования ожидалось, что значительная часть данных будет синхронизироваться между устройствами через iCloud.

Важно отметить, что ситуация постоянно меняется. В каждой или почти каждой новой версии iOS и macOS разработчики Apple меняют способы хранения, протоколы доступа и методы защиты данных. В iCloud также происходят постоянные изменения. Свежие примеры — в статье macOS, iOS and iCloud updates: forensic consequences.

Логический анализ

Логический анализ — самый известный, популярный и, казалось бы, хорошо изученный способ получить доступ к основному массиву данных. Метод логического анализа работает для всех устройств под управлением iOS и её производных iPadOS, WatchOS и tvOS. Всё, что нужно для работы — это само устройство, кабель Lightning (для часов Apple Watch — адаптер iBUS) и в некоторых случаях — код блокировки экрана для того, чтобы установить доверенные отношения с компьютером (это требование можно обойти, использовав извлечённую из компьютера пользователь запись lockdown).

Логический анализ предоставляет доступ к следующим типам данных:

  • Расширенная информация об устройстве
  • Резервная копия в формате iTunes (может оказаться зашифрованной паролем)
  • Медиа-файлы (фото и видео) и некоторые базы данных, которые могут содержать записи об удалённых файлах
  • Диагностические и crash-логи
  • Данные некоторых приложений

Резервные копии в формате iTunes — то, с чего начинался логический анализ. Все знают о резервных копиях; создавать резервную копию умеют, наверное, все или почти все пакеты для экспертов-криминалистов. Можно обойтись и без них, использовав непосредственно утилиту iTunes в Windows или Finder в macOS Catalina, см. статью Резервное копирование данных на устройствах iPhone, iPad и iPod touch; обратите, однако, внимание на необходимость заранее отключить синхронизацию в iTunes, иначе данные на устройстве будут модифицированы после подключения к компьютеру.

В статье The Most Unusual Things about iPhone Backups мы подробно рассказали о самых интересных вещах, связанных с резервными копиями iOS. Основная проблема, связанная с резервными копиями — возможность защиты паролем. Пароли к резервным копиям iOS необычайно стойкие; их перебор невыносимо медленный, буквально единицы или десятки паролей в секунду даже с использованием мощных графических ускорителей. Иногда пароль удаётся сбросить, но и сброс пароля к резервной копии — не панацея; детали — в статье The Worst Mistakes in iOS Forensics. В то же время, резервные копии с паролем содержат значительно больше доступных данных в сравнении с незашифрованными резервными копиями (в частности — Связка ключей, в которой хранятся все пароли пользователя). Разумеется, для доступа к ним вам потребуется узнать пароль.

Очень часто эксперты ограничиваются извлечением только резервной копии. Однако логический анализ ими не ограничивается. Как минимум, стоит извлечь медиа-файлы (их извлечение работает независимо от того, установлен ли пароль на резервную копию), в состав которых входят базы данных и уменьшенные копии изображений.

Наконец, извлечь можно и некоторые системные журналы (журнал диагностики и crash-лог) и файлы, доступ к которым через iTunes открывают некоторые приложения.

Одна из сильных сторон логического анализа — возможность доступа к данным даже тогда, когда экран устройства заблокирован (с рядом оговорок). Возможность сработает, если телефон был разблокирован хотя бы раз после включения, у эксперта есть физический доступ к доверенному компьютеру и режим ограничения USB не был активирован. (Нужно отметить, что в последних версиях iOS режим ограничения доступа к USB активируется сообразно достаточно неочевидным правилам, см. USB Restricted Mode in iOS 13).

Из нашего тестового iPhone удалось извлечь резервную копию, в которой обнаружилось 112 тысяч файлов общим объёмом 138 ГБ. Дополнительно удалось извлечь 47,000 медиа-файлов включая метаданные общим объёмом 101 ГБ. Кроме того, мы извлекли 271 файл приложений общим объёмом 109 МБ.

Все возможности логического анализа предоставляет инструментарий Elcomsoft iOS Forensic Toolkit.

Достоинства метода:

  • Метод прост в использовании
  • Совершенно безопасен, если используется специализированное программное обеспечение
  • Безопасно даже через с iTunes (если не забыли отключить синхронизацию)
  • Совместим со всеми версиями iOS
  • Может работать с заблокированными устройствами (если есть доступ к доверенному компьютеру)
  • Может извлекать журналы устройства и данные приложений
  • Медиа-файлы (с EXIF) доступны, даже если установлен пароль на резервную копию

Недостатки:

  • Количество данных ограничено
  • На резервную копию может быть установлен пароль
  • Связку ключей можно извлечь только из резервных копий с паролем
  • Требуется код блокировки экрана, если устройство подключается к новому компьютеру

Извлечение файловой системы

В резервной копии, даже защищённой паролем, содержится намного меньше информации, чем хранится в устройстве. В устройстве содержатся базы данных с детальной историей местоположений, данные всех приложений, включая историю переписки в безопасных мессенжерах; WAL-файлы SQLite, в которых могут содержаться удалённые записи, временные файлы, данные WebKit, транзакции AplePay, уведомления приложений и многое другое, что может стать важными уликами.

При этом доступ к файловой системе достаточно сложен — начиная с вопроса о выборе метода, который будет для этого использоваться. Для разных моделей iPhone доступно множество методов: классические и rootless джейлбрейки, эксплойт checkm8 и доступ посредством программы-агента. Для того, чтобы понять, с какими именно версиями iOS и моделями iPhone совместим каждый из способов, нужно разобраться в трёхмерной матрице совместимости. В частности, для моделей до iPhone X включительно извлечение возможно вплоть до последней версии iOS (на сегодня это iOS 13.4.1), в том числе в режиме частичного извлечения с неизвестным кодом блокировки (BFU Extraction: Forensic Analysis of Locked and Disabled iPhones).

Из нашего тестового устройства удалось извлечь 211 ГБ данных примерно за то же время (скорость работы — порядка 2.5 ГБ/мин, или 150 ГБ в час).

Доступ к файловой системе может быть осуществлён посредством установки джейлбрейка. В то же время важно понимать, что установка джейлбрейка не является «чистой работой», оставляя следы работы на устройстве, большая часть которых не документирована. Кроме того, вам потребуется инструментарий iOS Forensic Toolkit для расшифровки Связки ключей.

Достоинства метода

  • Частичное извлечение для устройств с заблокированным экраном и/или портом USB
  • Извлекается полный набор данных
  • Пароль на резервные копии игнорируется
  • Ограничения MDM игнорируются
  • Извлекается полная Связка ключей

Недостатки

  • Требуется версия iOS с обнаруженной уязвимостью
  • Требуется учётная запись Apple для разработчиков

Извлечение через облако iCloud

Метод извлечения через iCloud до сих пор остаётся недооценённым. Изначально извлечение через облако iCloud означало извлечение резервных копий. Сегодня роль резервных копий в iCloud значительно снизилась; резервные копии в облаке содержат ещё меньше данных, чем локальные резервные копии iTunes без пароля. Более того, поскольку большинство устройств iPhone и iPad синхронизируют данные в облако, эти (синхронизированные) данные хранятся отдельно от резервных копий. Синхронизируется практически всё: от контактов до фотографий и сообщений, а также Связка ключей с паролями. Связка ключей в iCloud, помимо паролей, может содержать и маркеры аутентификации. Есть и iCloud Drive со множеством файлов и документов, часто включая папки Documents и Desktop с компьютеров Mac. Все эти данные собираются не только с единственного iPhone, но и со всех остальных устройств пользователя, подключённых к учётной записи.

В процессе работы Elcomsoft Phone Breaker из облака помимо резервных копий было скачано 39 ГБ синхронизированных данных и 101 ГБ фотографий.

В iCloud Drive может содержаться большое количество файлов включая документы, данные сторонних приложений и резервные копии из некоторых мессенжеров и программ управления паролями.

Дополнительно:

Достоинства метода:

  • Совместим со всеми версиями iOS
  • Само устройство не нужно
  • Доступны данные со всех устройств, подключённых к учётной записи
  • Извлекается облачная Связка ключей
  • Файлы в iCloud Drive
  • Данные доступны в реальном времени
  • Могут быть доступны старые резервные копии

Недостатки:

  • Требуются учётные данные для входа в iCloud (включая второй фактор аутентификации)
  • Возможна замена логина и пароля маркером аутентификации; применение последних весьма ограниченно
  • Код блокировки или пароль одного из доверенных устройств потребуется для доступа к некоторым типам данных (Связка ключей, Здоровье, сообщения и другим, использующим сквозное шифрование)
  • Устройства могут вообще не использовать iCloud, поэтому иногда данные отсутствуют
Резервные копии (локальные) Резервные копии (iCloud) Синхронизация iCloud Образ файловой системы
Данные приложений ограниченно ограниченно ограниченно +
Apple Pay +
Books + + +
Календари + + только iCloud +
Звонки + + за 30 дней +
Контакты + + только iCloud +
Настройки устройства + + +
Здоровье только зашифрованные + +
Связка ключей только зашифрованные + +
Почта только iCloud +
Карты только зашифрованные + +
Медиа + только если не синхронизируется + +
Сообщения +  только если не синхронизируется iOS 11.4+, 2FA +
Заметки + + только iCloud +
Уведомления ограниченно + +
ScreenTime ограниченно +
Диктофон + iOS<12 iOS 12+ +
Wallet + + + +
Web — закладки + + + +
Web — история только зашифрованные + 2 недели +
Web — поиск только зашифрованные + +

Заключение

В этой статье мы рассмотрели три способа извлечения данных из устройств под управлением iOS. Мы уверены, что эта информация поможет вам выбрать правильный способ или способы при анализе смартфонов iPhone и других устройств под управлением iOS и её производных.

День ото дня специалисты Apple работают над тем, чтобы осложнить жизнь эксперта-криминалиста. Усложняется работа с облаком iCloud, вводятся новые условия и ограничения. С выходом iOS 13.4 и macOS 10.15.4 работа экспертов станет ещё немного труднее. Посмотрим, что нового появилось в последних версиях операционных систем от Apple (и как изменилась при этом работа продуктов Элкомсофт).

iOS 13

Трудно сказать, когда это произошло, но iOS перестала синхронизировать информацию о звонках с облаком. В настоящий момент информация о звонках не синхронизируется между устройствами и не попадает в облачный сервис iCloud. В чём суть этой синхронизации? Мы писали о ней три года назад:

Неожиданное появление синхронизации данных о звонках вызвало волнение общественности и неоднозначную реакцию специалистов по безопасности. В ответ от Apple мы получили лишь стандартную отговорку. Тем удивительнее выглядит решение Apple отказаться от синхронизации звонков (кстати, есть ещё Continuity).

Есть и другая неоднозначная новость. Пользуетесь приложением Apple Maps? Данные Карт теперь хранятся в защищённом хранилище, использующем (по терминологии Apple) «сквозное шифрование». Аналогичным образом хранятся данные Связки ключей (пароли пользователей), Облачные сообщения (SMS, iMessage), данные приложений Здоровья и Экранного времени. Теперь этот список пополнился и данными Apple Maps. Соответственно, для их извлечения нужно будет ввести код блокировки экрана от одного из устройств пользователя, зарегистрированных в учётной записи.

К слову, о приложении Экранное время. Наши пользователи обратили внимание, что в приложении Elcomsoft Phone Breaker извлекается лишь небольшая часть данных Экранного времени – пароль, информация о семейном доступе, ограничения и так далее. При этом не извлекаются статистические данные об использовании устройств. Причина в том, что эти данные, похоже, не попадают в «облако», а синхронизация происходит напрямую между устройствами. Это можно проверить самостоятельно, активировав в настройках Экранного времени функцию Share across devices и просмотрев статистику сначала на оригинальном устройстве, а потом на одном из тех, куда данные синхронизировались. Удивительно, но данные будут разительно отличаться. Более того, многие пользователи жалуются на непредсказуемое поведение этой настройки: данные временами синхронизируются, временами – нет, а иногда пропадают вовсе:

Всё это может означать, что синхронизация напрямую работает не лучшим образом. Трудно сказать, где ошибка – в iOS 12/13 или в iCloud, но мы решили не тратить время на попытки извлечь эту информацию из облака. К слову, в iOS 13 информация, относящаяся к Экранному времени, защищена лучше, чем остальные данные: для доступа к ней недостаточно одних привилегий суперпользователя.

На днях вышла свежая бета-версия iOS 13.4.5; мы будем разбираться, какие изменения Apple внедрили в новую версию iOS.

macOS

Файлы lockdown используются для упрощения доступа к доверенным (ранее подключенным) устройствам под управлением iOS. Если такой файл был создан на компьютере, то при подключении к нему доверенного iPhone или iPad система не будет запрашивать код блокировки. В последней версии macOS доступ к файлам lockdown был ограничен.

Точнее, ограничен доступ был ещё раньше – с выходом macOS 10.12. В этой версии macOS для доступа к файлам lockdown необходимо было выполнить в терминале следующую команду:

sudo chmod 755 /private/var/db/lockdown

В последней версии macOS 10.15.4 этот способ работать перестал:

Можно ли обойти новое ограничение? Да, для этого достаточно просто отключить SIP (System Integrity Protection), загрузившись в режим Recovery (+R во время загрузки), запустить Terminal и выполнить следующую команду:

csrutil disable

После перезагрузки доступ к папке lockdown будет восстановлен, и вы сможете произвести логическое извлечение данных из iPhone посредством iOS Forensic Toolkit.

iCloud

В облаке iCloud в очередной раз изменился механизм аутентификации. Он стал работать надёжнее? Нет. Безопаснее? Нет. Просто изменился. Не буду вдаваться в детали, опишу лишь изменения в механизме работы маркеров аутентификации в Elcomsoft Phone Breaker. Для начала рекомендую ознакомиться со статьёй Accessing iCloud With and Without a Password in 2019; ниже – об актуальном положении дел.

На системах с Windows токены (маркеры аутентификации), извлекаемые из приложения iCloud  for Windows 7.0 и более новых версий, работают исключительно для учётных записей без двухфакторной аутентификации. Такие токены могут быть использованы для доступа к очень ограниченному набору данных. Доступны следующие категории: iCloud Photos и некоторые синхронизированные данные (контакты, календари, заметки, история браузера Safari и некоторые другие, за исключением данных, защищённых «сквозным шифрованием» — Связка ключей, Здоровье, Экранное время, Облачные сообщения и карты Apple Maps). Что же касается резервных копий в iCloud, они доступны лишь для старых версий iOS до 11.2.

На системах с macOS ситуация несколько лучше. На версиях macOS от 10.13 до 10.15 можно получить такой же ограниченный токен для учётных записей без 2FA. Токены для учётных записей с 2FA привязаны к устройству, на котором они были созданы. В результате использовать такой токен в Elcomsoft Phone Breaker можно только в том случае, если наш продукт запускается на том самом компьютере Mac, на котором был создан токен. Объём данных, которые можно извлечь из iCloud (независимо от типа токена и учётной записи) совпадает с тем, что можно извлечь в Windows: некоторые категории синхронизированных данных и резервные копии iCloud для устройств с iOS до 11.2. Полноценные «отвязанные» токены для учётных записей с 2FA доступны только в macOS 10.12 и более старых.

Достаточно запутанно? Изложу вкратце:

  • Токен аутентификации для учётных записей без 2FA можно получить всегда, на любой системе
  • Для учётных записей с 2FA, токены из большинства современных систем с Windows совершенно бесполезны. Аналогичные токены, извлечённые из современных систем macOS, можно использовать только на том же самом компьютере.
  • Токены позволяют доступ к ограниченному числу категорий данных в iCloud.

И последнее. Apple пытается обезопасить и учётные записи без двухфакторной аутентификации. Теперь такие учётные записи могут быть заблокированы после ввода единственного неправильного пароля.

Заключение

Для того, чтобы извлечь всю доступную в iCloud информацию, вам потребуются Apple ID и пароль пользователя, доступ к дополнительному фактору аутентификации, а также код блокировки экрана или системный пароль от одного из устройств пользователя. Если у вас под рукой вся необходимая информация, вы сможете извлечь из облака практически всё содержимое, включая некоторые данные, которые отсутствуют на самом устройстве. Обратите внимание: Elcomsoft Phone Breaker остаётся единственным продуктом на рынке, который работает со облачными данными для всех версий iOS (включая и 13.4.5), поддерпживает все методы двухфакторной аутентификации, и может извлечь все доступные в учётной записи пользователя данные от резервных копий до категорий, защищённых сквозным шифрованием.

Совсем недавно мы представили новый способ извлечения данных из устройств iPhone и iPad. Агент-экстрактор — быстрый, безопасный и не требующий установки джейлбрейка способ извлечь полный образ файловой системы устройства и расшифровать все записи из Связки ключей. В свежей версии Elcomsoft iOS Forensic Toolkit мы существенно расширили список устройств, с которыми совместим агент-экстрактор. В новой версии инструментария агент-экстрактор доступен на устройствах iPhone и iPad поколений A9-A13, работающих под управлением всех версий от iOS 11.0 до iOS 13.3. Для старых моделей (iPhone 5s и 6) доступна поддержка iOS 11, 12-12.2 и 12.4. В этой статье приводится полная матрица совместимости моделей iPhone и iPad с новым методом извлечения данных.

Совместимость

Агент-экстрактор совместим со следующими комбинациями устройств и версий iOS:

  • iPhone 6s до iPhone X, iPad 5 и 6, iPad Pro 1 и 2 поколений: iOS/iPadOS 11.0 — 13.3
  • iPhone Xr, Xs, Xs Max, iPad Mini 5, iPad Air 3, iPad Pro 3, iPod Touch 7: iOS/iPadOS 12.0 — 13.3
  • iPhone 11, 11 Pro, 11 Pro Max: iOS 13.0 — 13.3

Следующие модели поддерживаются, если работают под управлением iOS 11-12.2 и iOS 12.4:

  • iPhone 5s, 6, 6 Plus
  • iPad Mini 2 и 3
  • iPad Air 1

Мы протестировали более 50 комбинаций устройств и версий iOS. К сожалению, некоторые комбинации аппаратного и программного обеспечения нам не удалось протестировать ввиду их отсутствия в лаборатории. В частности, работу агента на устройствах iPad Mini 4 и iPad Air 2 мы смогли протестировать с iOS 11 и iOS 12 — 12.2. В нашей лаборатории не нашлось устройств этих моделей, которые работали бы под управлением iOS 12.3, 12.4.1 и 13.

Требования

Требования достаточно просты: убедитесь, что устройство и версия iOS поддерживаются агентом-экстрактором и зарегистрируйтесь в программе Apple разработчиков (для чего это нужно). Разумеется, вам также потребуется свежая версия iOS Forensic Toolkit. Приложение достаточно просто в использовании; как его использовать с максимальной эффективностью, можно узнать, записавшись на тренинг.

Преимущества агента-экстрактора

Основное преимущество метода — его широкая совместимость с различными моделями iPhone и iPad. В будущем список поддерживаемых устройств планируется расширить как вперёд (в сторону более новых версий iOS), так и назад, в сторону iOS 10 и более старых.

Ещё одно преимущество агента-экстрактора — надёжность и безопасность. Принцип работы агента таков, что агент просто не может повредить работоспособности устройства. Худшее, что может случиться по вине агента-экстрактора — это перезагрузка устройства или ошибка при извлечении данных (справиться с ошибками поможет информация из секции «Возможные проблемы»). В редких случаях, когда агент не срабатывает с первого раза, рекомендуем просто повторить попытку.

Что насчёт лабораторной чистоты метода? Ответ зависит от того, что понимать под «лабораторной чистотой». Стандартное определение подразумевает, что лабораторно чистое извлечение данных позволяет использовать полученную информацию в качестве улик и доказательств в суде. Если пользоваться таким определением, то агент-экстрактор — действительно лабораторно чистый метод.

В то же время гарантировать абсолютную неизменность данных не может НИ ОДИН существующий метод, работающий на современных 64-разрядных устройствах iOS несмотря ни на какие заявления производителей соответствующих продуктов. Следы работы остаются всегда, как минимум — в виде записей в системных журналах.

Важное преимущество метода — скорость работы, достигающая на современных моделях iPhone 2.5 ГБ/мин. Такой скорости удалось добиться, отказавшись от использования SSH и перейдя на прямую передачу данных через порт USB.

Наконец, простота использования. Нет, это всё ещё не «решение одной кнопкой»; таких в настоящее время просто не существует. Мы постарались максимально упростить и автоматизировать процесс, и продолжаем работать в этом направлении.

И последнее. Агент-экстрактор позволяет расшифровать все записи из Связки ключей без исключения — в отличие от других методов, основанных на расшифровке резервных копий в формате iTunes, способных вернуть лишь часть записей. Просмотреть записи из Связки ключей можно при помощи Elcomsoft Phone Breaker:

Преимущества в сравнении с использованием джейлбрейка

Извлечь образ файловой системы и расшифровать Связку ключей можно и посредством джейлбрейка, в том числе для последних моделей iPhone и свежих версий iOS.

Установка джейлбрейка — небезопасный процесс, который может привести к блокировке устройства и невозможности загрузки. Кроме того, джейлбрейк модифицирует данные на устройстве, даже если это джейлбрейк rootless.

Недостатки агента в сравнении с джейлбрейком? Их нет — разумеется, если агент совместим с требуемой версией iOS. Единственное потенциальное исключение — джейлбрейк checkra1n, о котором ниже.

В iOS 13 доступ к некоторым файлам и папкам невозможен, если используется tar через ssh. У агента-экстрактора такой проблемы не возникает.

Наконец, мы сделали агент-экстрактор совместимым и с бета-версиями iOS 11-13.3, для которых джейлбрейки, как правило, не работают.

Преимущества в сравнении с извлечением через checkm8

Возможность извлечения данных с использованием уязвимости checkm8 представляет интерес, но дьявол кроется в деталях.

Во-первых, checkm8 совместим с ограниченным количеством устройств и версий iOS. Поддерживаются iPhone 5s — iPhone X и версии iOS от 12.3 и выше. Соответственно, работа с устройствами iPhone Xr, Xs, 11 и 11 Pro (и соответствующими поколениями iPad) невозможна. Кроме того, несмотря на то, что эксплуатируется аппаратная уязвимость, джейлбрейк checkra1n (и все актуальные реализаци извлечения через checkm8) не поддерживают iOS 12.2 и более старые версии.

Во-вторых, джейлбрейк checkra1n не является стопроцентно надёжным. Несмотря на огромное количество поддерживаемых в теории устройств, их число на практике оказывается значительно меньшим. Если возникает ошибка, с ней невозможно бороться. Скорость работы? Зачастую чрезвычайно низкая из-за использования ssh и некоторых других вещей. В некоторых случаях процесс извлечения безрезультатно работал неделями.

Преимущества? Их два. Использование checkra1n/checkm8 не требует регистрации Apple ID в программе для разработчиков; доступно частичное извлечение в режиме BFU (Before First Unlock, до первой разблокировки) для устройств с неизвестным паролем. Мы поддерживаем джейлбрейк checkra1n в iOS Forensic Toolkit для частичного извлечения файловой системы из заблокированных устройств.

Как использовать. Возможные проблемы

Ознакомьтесь с инструкцией к iOS Forensic Toolkit и двумя статьями из нашего блога:

Работать с инструментарием достаточно просто. Мы описали процесс в статье Извлечение данных из iPhone без джейлбрейка (iOS 11-12):

  • Переведите устройство в режим полета и подключите его к компьютеру с EIFT.
  • Установить доверительные отношения (потребуется подтвердить запрос на телефоне).
  • Установите агент-экстрактор через EIFT. Вам нужно будет ввести Apple ID и пароль приложения для учетной записи, зарегистрированной в программе Apple для разработчиков; затем — TeamID. Обратите внимание, что для подписи агента требуется подключение к Интернету на вашем компьютере (но не на устройстве iOS, которое должно всегда оставаться в автономном режиме).
  • После установки агента отключите все подключения к Интернету на компьютере, на котором выполняется работа.
  • Настройте агент-экстрактор на устройстве iOS и оставьте его работать в качестве активного приложения.
  • Извлеките Связку ключей и создайте образ файловой системы. Во время извлечения Связки ключей вам нужно будет ввести пароль на устройстве.
  • Удалите агент.

В случае возникновения ошибки (например, сообщения «Can’t connect to device on specified port» в EIFT), просто перезагрузите устройство. Перед тем, как запустить агент-экстрактор, подождите как минимум одну минуту после загрузки устройства.

Рутинная процедура изъятия. У подозреваемого – Apple iPhone. Аппарат изымается, проверяется на предмет блокировки экрана, извлекается SIM-карта, телефон выключается и передаётся в лабораторию. Казалось бы, что может пойти не так? В описанном выше сценарии «не так» — буквально каждая мелочь. Результат – телефон, с которым эксперту будет сложно или и вовсе невозможно работать. В чём состоят ошибки и как их избежать? Об этом – в нашей статье.

Выключение питания

Самая распространённая ошибка, которая повторяется из раза в раз – выключение изъятых устройств. Как правило, устройство отключают для того, чтобы не дать ему подключиться к беспроводным сетям, получить дистанционную команду на удаление данных.

Фактически же сотрудник, выключающий изъятое устройство, заметно осложнит работу эксперта. И вот почему.

  • Устройство переводится из состояния AFU* в состояние BFU* со всеми вытекающими последствиями.
  • Ключи шифрования пользовательского раздела хранятся в оперативной памяти устройства. При его выключении ключи исчезают, а восстановить их можно исключительно вводом корректного пароля (кода блокировки экрана).
  • Если возникнет необходимость подобрать код блокировки, то скорость атаки после выключения или перезагрузки устройства будет почти на порядок медленнее.
  • Перестанут работать записи lockdown; логическое извлечение станет невозможным.
  • Если код блокировки неизвестен, извлечение данных придётся проводить в режиме BFU.

* Что такое состояния AFU и BFU? AFU – режим After First Unlock, «после начальной разблокировки». Он означает, что пользователь хотя бы раз разблокировал телефон паролем после перезагрузки. В режиме AFU расшифрованы пользовательские данные, их можно попытаться извлечь. Скорость перебора кодов блокировки в этом режиме высокая (порядка нескольких минут на PIN-код, состоящий из 4 цифр).

Режим BFU – Before First Unlock, или режим холодного старта. Устройство было перезагружено или выключено; ключей шифрования пользовательских данных в памяти нет, а сами данные – надёжно зашифрованы.  Скорость перебора паролей низкая; на полный перебор 4 цифр PIN-кода может уйти до нескольких дней, а перебор 6-значного цифрового пароля теряет смысл.

Как делать правильно? Мы описали корректную процедуру в статье The Art of iPhone Acquisition.

Извлечение SIM-карты

Вторая распространённая ошибка как сотрудников полиции, так и экспертов – извлечение из устройства SIM-карты. С точки зрения сотрудника полиции это действие несёт тот же смысл, что и выключение устройства; полезность этого действия со стороны эксперта сомнительна, ведь анализ смартфонов должен проводиться в изолированном от беспроводных сетей помещении.

Извлечение SIM-карты приводит к печальным последствиям, сравнимым с отключением телефона. Если iPhone работает под управлением iOS 11, 12 или 13, извлечение SIM-карты будет иметь следующие последствия:

  • Экран телефона блокируется
  • Биометрические датчики Touch ID и Face ID временно блокируются; разблокировать экран можно только паролем
  • Включается режим ограничений USB

Подробнее об этом можно почитать в наших статьях: Passcode vs. Biometrics: Forensic Implications of Touch ID and Face ID in iOS 12; о режиме ограничений USB: USB Restricted Mode Inside Out (обновления: iOS 12 Enhances USB Restricted Mode и USB Restricted Mode in iOS 13: Apple vs. GrayKey, Round Two).

Иными словами, не извлекайте SIM-карту из iPhone.

“Не держите его таким образом”

Фраза, высказанная Стивом Джобсом в ответ на критику iPhone 4, давно стала крылатой. Однако для новых iPhone, оборудованных системой распознавания лиц Face ID, эта фраза несёт и второй смысл. Достаточно взглянуть на телефон, и одна из пяти попыток разблокировки по лицу будет утрачена. Именно это случилось на сцене во время анонса iPhone X: YouTube.

Если же iPhone оборудован датчиком Touch ID, не стоит пытаться проверить, включено ли устройство, нажимая на кнопку датчика отпечатков пальцев. Воспользуйтесь вместо этого кнопкой блокировки экрана, расположенной на верхней или боковой грани смартфона.

Сброс пароля к резервной копии

Во многих случаях (за исключением возможности установки джейлбрейка через уязвимость checkm8), логическое извлечение с использованием резервных копий iTunes является основным источником данных. Мы подробно рассказывали о резервных копиях iPhone в статье The Most Unusual Things about iPhone Backups.

Одной из основных проблем, которые могут возникнуть в процессе логического анализа, является пароль на резервную копию. Если резервная копия защищена паролем, атака на уже созданную резервную копию будет чрезвычайно медленной (за единичным исключением конкретной версии iOS 10). Тем не менее, во всех версиях iOS начиная с iOS 11 и более новых существует возможность сбросить пароль: iOS 11 Makes Logical Acquisition Trivial, Allows Resetting iTunes Backup Password.

Проблема в том, что все пароли в iOS взаимосвязаны сложными и неочевидными способами; мы писали об этом в статье Four and a Half Apple Passwords. Соответственно, попытка сбросить один пароль неизбежно повлияет и на другие.

В iOS 11, 12 и 13 сброс пароля к резервной копии осуществляется командой “Reset all settings” (почти все пользовательские данные и пароли остаются нетронутыми). Ключевое слово здесь – «почти». При использовании этой команды будут сброшены пароли к Wi-Fi, история транзакций Apple Pay, скачанные сообщения Exchange и некоторые другие данные. Однако самым важным будет тот факт, что сбрасывается в том числе и код блокировки экрана. Почему это важно? В статьях iOS 11 Horror Story: the Rise and Fall of iOS Security и Protecting Your Data and Apple Account If They Know Your iPhone Passcode мы подробно описали, что именно зависит от наличия кода блокировки. Сюда входят, в частности, такие вещи, как доступ к зашифрованным данным в iCloud (облачная связка ключей, сообщения в iCloud, данные приложения «Здоровье» и т.д.)

Логический анализ iOS

Казалось бы, совершить ошибку в процессе логического анализа iOS достаточно сложно. Логический анализ – это резервная копия iTunes, но не только. Впрочем, даже в процессе создания резервной копии можно совершить несколько ошибок, которые могут привести к печальным последствиям.

Резервная копия создаётся в программе iTunes. Действительно, во многих лабораториях до сих пор используют программу iTunes для создания резервной копии. Этот подход логичен: конечный результат (резервная копия) не зависит от того, каким приложением его извлекали из устройства. Резервная копия создаётся внутри телефона, а программа (iTunes, Elcomsoft iOS Forensic Toolkit или любая другая) всего лишь принимает поток данных и сохраняет его в файлы на диске. Проблема с использованием в целях криминалистического анализа программы iTunes в том, что в iTunes по умолчанию включена синхронизация. Соответственно, ещё до того, как из телефона получится извлечь резервную копию, iTunes уже модифицирует данные на устройстве. Синхронизацию в iTunes необходимо отключить, причём сделать это нужно до того, как телефон будет подключён к компьютеру.

Резервная копия без пароля. Резервную копию легче проанализировать, если пароль не установлен? С одной стороны, действительно, легче. С другой – iOS использует пароль для шифрования таких данных, как Связка ключей (пароли пользователя), «Здоровье», с недавнего времени – история браузера Safari и журнал звонков. Если же пароль не установлен, все эти и некоторые другие данные будут зашифрованы аппаратным ключом, и расшифровать их в процессе логического анализа не удастся. Если есть возможность, всегда задавайте известный пароль перед началом извлечения.

Что-то упущено. Резервная копия – далеко не всё, что можно извлечь из iPhone в процессе логического анализа. Логический анализ позволяет извлечь и медиа-файлы (фото и видео, включая EXIF, а также метаданные), журналы диагностических событий (полезны для реконструкции активности пользователя), данные приложений (iTunes shared data). Все эти данные можно извлечь независимо от того, установлен ли пароль на резервную копию. Более того, некоторые типы данных можно извлечь и из устройств Apple Watch и Apple TV при использовании Elcomsoft iOS Forensic Toolkit.

Заключение

Я перечислил лишь наиболее часто встречающиеся ошибки, которые относятся к анализу Apple iPhone. В то же время, возможностей совершить ошибку современная техника оставляет множество. Точное следование инструкциям, подробное документирование каждого шага, повторяемость и возможность верификации результатов – важнейшие составляющие процесса. Уследить за постоянно меняющимся рынком мобильных устройств нелегко. В помощь органам охраны правопорядка мы предлагаем учебные курсы как по мобильной, так и по компьютерной криминалистике.

В недавнем обновлении Elcomsoft iOS Forensic Toolkit получил возможность извлечения образа файловой системы из ряда устройств под управлением iOS, включая модели от iPhone 5s до iPhone X включительно. Новая возможность работает независимо от установленной в телефоне версии iOS; подробности – в статье iOS Device Acquisition with checkra1n Jailbreak. Сегодня же мы хотим рассказать об очередном нововведении в продукте: возможности частичного извлечения Связки ключей и особенностей работы с заблокированным устройством, даже если разблокировать его невозможно.

Заблокированные устройства и устройства после холодного старта

Что такое заблокированное устройство? В зависимости от контекста термин имеет множество значений. Мы будем понимать под «заблокированным» такое устройство, экран которого заблокирован неизвестным кодом блокировки либо на экране устройства присутствует надпись «iPohne отключен. Подключитесь к iTunes». (далее…)

НАШИ НОВОСТИ