Мы неоднократно писали о паролях, защищающих резервные копии iPhone, об их важности и о том, что резервные копии — ключ к логическому анализу смартфона. Множество разрозненных публикаций не всегда удобны для чтения и восприятия. В этой статье мы собрали самую важную и самую актуальную информацию о том, что можно сделать с паролем в различных обстоятельствах. Мы также отобрали ряд практических советов и рекомендаций, которые позволят эффективно справляться с парольной защитой.

Возможные сценарии

Есть два типичных сценария, в которых неизвестный пароль от резервной копии iPhone может иметь значение.

Если вы — работник правоохранительных органов или независимый эксперт, то вы можете столкнуться с ситуацией, когда iPhone подозреваемого вроде бы доступен (код блокировки не установлен или известен), но установленный на резервную копию пароль мешает извлечению данных и проведению экспертизы. Если вы пользуетесь пакетом программ для анализа iPhone, то, возможно, вы уже увидели окно с предложением взломать пароль. Не спешите это делать: возможно, есть другие способы добраться до хранящейся в устройстве информации!

Если же вы — пользователь iPhone, то вам может потребоваться перенести данные с одного телефона на другой или восстановить старое устройство после сброса к заводским настройкам. Трудно придумать более неприятную ситуацию, чем неизвестный или забытый пароль на уже созданной резервной копии! Если вы установили пароль и успешно его забыли, то восстановить аппарат из такой резервной копии не получится. Возможно, вам будет доступно восстановление из облачной резервной копии в iCloud, но рассмотрение этого варианта выходит за рамки данной статьи.

Рекомендуем статью, опубликованную Apple — «Зашифрованные резервные копии на iPhone, iPad или iPod touch». Мы также можем порекомендовать наш собственный текст (увы, на английском) — The Most Unusual Things about iPhone Backups. Здесь же мы расскажем о некоторых практических аспектах того, о чём две упомянутые статьи рассказывают лишь в теории.

Как извлечь оригинальный пароль

Для извлечения данных нет ничего лучше того самого пароля, который когда-то был установлен на резервную копию. У нас есть хорошая новость: если вы пользователь Mac (или в вашем распоряжении есть компьютер пользователя под управлением macOS), то вероятность, что резервный пароль хранится в связке ключей macOS, очень и очень высока. Все, что вам нужно, это пароль от Mac. Windows? К сожалению, нет.

Требуемое ПО: Keychain Acccess (бесплатно; встроено в macOS)

Взломать!

Взлом пароля — наша основная специализация. Но даже мы признаём, что попытка взлома пароля к резервной копии iPhone, работающих под хотя бы относительно свежей сборкой iOS — занятие с крайне туманными перспективами. Начиная с iOS 10.2, защита паролей такова, что скорость перебора даже с использованием дорогостоящих аппаратных ускорителей и самых мощных видеокарт не превышает нескольких десятков (в лучшем случае — сотен) паролей в секунду. С такой скоростью можно взломать лишь самые слабые пароли, которые встречаются крайне редко. Ещё один вариант — использование словаря, составленного из известных паролей того же пользователя. А вот смысла в атаке методом полного перебора, увы, мало.

Требуемое ПО: hashcat (бесплатно) или Elcomsoft Phone Breaker

Сбросить!

С выходом iOS 11 появилась возможность сброса пароля резервного копирования непосредственно с устройства iPhone (разумеется, экран телефона при этом должен быть разблокирован). Эта опция по-прежнему доступна в iOS 13 и текущих бета-версиях iOS 14, поэтому, вероятно, она останется и в будущем. Последовательность действий предельно проста (как описано в Apple HT205220, упомянутом выше):

Просто игнорировать

Каким бы странным ни был этот совет, в некоторых случаях пароль на резервную копию можно действительно просто проигнорировать. В каких случаях стратегия «не делать ничего» является не только самое простой, но и самой эффективной?

Во-первых, если всё, что вам нужно от устройства — это архив фотографий и видеороликов, то пароль для резервного копирования вам не нужен. Для доступа к фотографиям используется совершенно независимый протокол, никак не связанный с протоколом создания резервных копий и паролем от них. Вы можете извлечь из телефон фото и и видео независимо от того, установлен пароль или нет. Мы часто получаем запросы о помощи в извлечении фотографий (разумеется, о резервном копировании важнейших и уникальных данных речь если и заходит, то в контексте «конечно-конечно, как-нибудь обязательно»). Довольно часто фотографии (с данными о местоположении) — это всё, что нужно экспертам-криминалистам.

Во-вторых, для некоторых моделей iPhone и версий iOS (в настоящее время до iOS 13.5 на iPhone Xr/Xs/11 и для всех версий iOS на старых моделях) вы можете извлечь значительно больше данных, чем попадает в резервные копии, и пароль резервного копирования вам для этого не потребуется. Данные извлекаются непосредственно из файловой системы устройства, а не в формате резервной копии. Да, эти данные нельзя будет использовать для восстановления другого устройства, но и делать это вам вряд ли потребуется. В данном случае — «шашечки или ехать?»

И последнее, но не менее важное: иногда вы сможете извлечь исходный пароль от резервной копии из самого устройства (а точнее — из его Связки ключей) в дополнение к образу файловой системы. Трудно сказать, есть ли в этом какая-то дополнительная ценность по сравнению с извлечением собственно файловой системы (в которой в любом случае содержится значительно больше данных). Иногда такой пароль можно попробовать использовать для извлечения данных из более старой резервной копии, которая может содержать некоторые удалённые файлы.

Требуемое ПО: Elcomsoft iOS Forensic Toolkit

Заключение

Как мы видим, даже если пароль неизвестен, существует несколько вариантов доступа к данным. Обязательно изучите все возможности и их последствия для того, чтобы взвесить риски и выбрать наиболее безопасный и эффективный метод для конкретного случая.

Джейлбрейк checkra1n — уникальное явление в экосистеме Apple, эксплуатирующее аппаратную уязвимость в загрузчике ряда устройств. К сожалению, процесс установки джейлбрейка checkra1n не так прост и прямолинеен, что часто приводит к ошибкам. В то же время чёткое следование инструкциям позволяет добиться успеха почти в ста процентах случаев. О правилах и особенностях установки checkra1n мы поговорим в этой статье.

Для чего нужен checkra1n

Нужно ли устанавливать джейлбрейк в процессе извлечения данных? Ответ на этот вопрос зависит только от вас. Если известен код блокировки устройства, вам могут быть доступны другие варианты извлечения данных — от логического анализа до скачивания из облака (через сброс пароля к iCloud). В то же время работа через джейлбрейк позволяет извлечь полный образ файловой системы, включая рабочие базы данных различных защищённых программ мгновенного обмена сообщениями, которые практически никогда не попадают в резервные копии.

Даже если вы приняли решение об установке джейлбрейка, вовсе не обязательно пользоваться именно checkra1n. Для ряда устройств и версий iOS доступен альтернативный вариант — джейлбрейк unc0ver; ещё один джейлбрейк (Odyssey) на подходе.  Между этими вариантами есть существенная разница, о которой мы писали в англоязычной части нашего блога в статье checkra1n & unc0ver: How Would You Like to Jailbreak Today. Вкратце, основными преимуществами checkra1n является поддержка самых свежих версий iOS, которые не поддерживаются другими джейлбрейками, и возможность работы с «холодными» устрофствами в режиме BFU (Before First Unlock, или «до первой разблокировки») даже в тех случаях, когда код блокировки устройства неизвестен. Ещё одним немаловажным преимуществом checkra1n является то, что для его установки не нужно подписывать файл-установщик (IPA) через AltStore или с использованием учётной записи Apple для разработчиков.

Совместимость и интерфейс командной строки

checkr1n совместим с моделями iPhone от 5s до iPhone X включительно, многочисленными моделям iPad, а также Apple TV 4 (Apple TV HD) и Apple TV 4K. Поддержка версий iOS заявлена в промежутке от iOS 12.3 до 13.5.

В то же время разработчики предусмотрели возможность установки checkra1n и на тех версиях iOS, которые не поддерживаются официально. Для этого достаточно активировать режим “Allow untested versions”, как показано на скриншоте. Мы успешно опробовали checkra1n на устройствах с iOS 13.5.1 и 13.6. В то же время со старыми версиями iOS (12.3 и ниже) успеха мы не добились.

При установке checkra1n рекомендуем воспользоваться интерфейсом командной строки вместо режима GUI; по нашим наблюдениям, в режиме командной строки установка работает более надёжно. Важно отметить, что при работе с устройствами, которые находятся в режиме BFU с неизвестным кодом блокировки экрана и заблокированным портом USB, режим командной строки — единственный доступный.

Требования к компьютеру

В отличие от подавляющего большинства других джейлбрейков, checkra1n устанавливается только с компьютера под управлением macOS или Linux. Версии для Windows нет, однако существуют различные способы обхода этого ограничения — например, эмуляторы и загрузочные флеш-накопители. Если в вашем распоряжении только компьютер под управлением Windows, воспользуйтесь одним из решений Ra1nUSB, Bootrain или ra1nstorm.

Кроме того, существует вариант установки через Raspberry Pi, однако по информации от разработчиков он работает недостаточно стабильно (в особенности — на устройствах Raspberry Pi Zero и Raspberry Pi 3).

Таким образом, для установки checkra1n имеет смысл воспользоваться именно компьютером под управлением macOS. Мы не проверяли работу установщика на Big Sur, но в macOS Catalina он функционирует без проблем.

Требования к коннектору и кабелю

Основное правило: используйте сертифицированный кабель формата Lightning to USB Cable (с коннектором USB Type-A), но ни в коем случае не кабель с коннектором USB Type-C. О причинах пишут разработчики checkra1n:

Кабели Lightning с разъёмом USB-C проблематичны в использовании. В частности, некоторые из них не могут быть использованы для перехода в режим DFU, и мы ничего не можем с этим поделать. В число неработоспособных входят как собственные кабели USB-C от Apple, так и некоторые сторонние кабели. В то же время ряд сторонних кабелей оказался работоспособным, однако сказать заранее, какой кабель сработает, а какой — нет, не получается. Если конкретный кабель не работает, рекомендуем использовать кабель USB-A, при необходимости — в сочетании с адаптером USB-A-C.

Техническое объяснение:

BootROM перейдёт в режим DFU только в том случае, если обнаружит напряжение на разъёме USB. В свою очередь, определение напряжения на разъёме сводится к проверке того, установлен ли определённый вывод из чипа Tristar. Tristar делает это на основе «идентификатора аксессуара» кабеля. Очевидно, что кабели USB-A и USB-C имеют разные идентификаторы аксессуаров, а некоторые кабели USB-C заставляют Tristar не устанавливать вывод напряжения USB.

Наконец, воздержитесь от использования USB-хабов (вариант с переходником с USB-C на USB-A допустим).

Другие особенности

Одной из неочевидных особенностей при установке checkra1n является уровень заряда аккумулятора телефона. Убедитесь, что устройство не находится в режиме Low Power, а заряд аккумулятора заметно превышает 20%.

Ещё одна рекомендация от разработчиков checkra1n: при попытке установить checkra1n на несколько телефонов подряд, успешной будет только первая попытка. Обойти проблему можно, перезапустив checkra1n после каждой попытки.

Со своей стороны добавим, что, возможно, вам придётся перезапустить компьютер с macOS. Похоже, драйвер USB driver или какой-то другой компонент системы перестаёт нормально работать после попытки установить checkra1n; при этом самый простой способ восстановить работоспособность — перезагрузить компьютер, отключить iPhone, подключить его заново и снова ввести в режим DFU.

Если вам всё ещё не удаётся установить checkra1n, вы можете оформить запрос в checkra1n issue tracker, максимально подробно описав проблему и убедившись, что её решение не опубликовано ранее.

Ближайшее будущее

Заработает ли checkra1n с новыми версиями iOS, включая iOS 14? Для iOS 13.6 ответ положительный. Что же касается iOS 14, мы протестировали работу последней версии checkra1n (0.20.2) с iOS 14 beta 2 на ряде устройств от iPhone 6s до iPhone X, обнаружив, что на данный момент ни одна из протестированных конфигураций не поддерживается. В то же время, одному из наших партнёров удалось успешно установить checkra1n на одно из тестовых устройств.

Вероятно, checkra1n получится адаптировать для работы с будущими версиями iOS, но полной уверенности в этом нет. Apple работает над усилением безопасности экосистемы; по слухам, извлечение в режиме BFU на устройствах iPhone 7, iPhone 8 и iPhone X заметно ограничат или сделают невозможным (iPhone 6s в этот список не входит). В то же время, если код блокировки экрана вам известен, то установить checkra1n вы сможете, но только после того, как код блокировки будет с устройства удалён. Обратите внимание, что снятие кода блокировки приводит к ряду негативных последствий в том, что касается содержимого устройства и доступа к iCloud.

Какие существуют способы для извлечения максимально подробных данных из устройств iPhone, iPad, Apple TV и Apple Watch, и каким из множества способов стоит воспользоваться? Ответ на этот вопрос — многомерная матрица со множеством сносок и отступлений. О них мы и поговорим в этой статье.

Вопрос совместимости

Первые два измерения матрицы — совместимость различных способов извлечения с версией программного обеспечения и аппаратной платформой устройства. На создание таблицы совместимости ушло много времени и усилий; при этом время, в течение которых эти данные будут оставаться актуальными, ограничено циклом выхода новых версий соответствующих операционных систем. В таблице отсутствуют модели планшетов iPad; это упущение связано с тем, что совместимость соответствующих моделей iPad практически полностью совпадает с совместимостью моделей iPhone, работающих под управлением аналогичных версий операционной системы (версии iOS и iPadOS  синхронизированы).

Расшифровка сокращений:

• Backups — локальные резервные копии в формате iTunes или в iCloud
• iCloud Sync — данные, синхронизированные в облаке iCloud
• Media/Shared/Logs — мультимедиа-файлы (изображения и видео), файлы некоторых приложений и журналы диагностики
• FFS — Full File System, полный образ файловой системы устройства
• Keychain — Связка ключей (извлечение и расшифровка)
• FFS & keychain — полный образ файловой системы и расшифровка Связки ключей

Рассмотрим возможные подводные камни.

По типу устройства

iPhone и iPads (iOS/iPadOS)

Для iOS (и iPadOS) доступно максимальное разнообразие методов извлечения данных. Всё, что вам потребуется — это кабель Lightning или USB Type-C (для моделей iPad Pro и Apple TV 4). Впрочем, для извлечения через checkra1n мы рекомендуем использовать кабель USB-A — Lightning (пример), но не USB-C — Lightning, т.к. при использовании последнего часто возникают проблемы (в частности, с переводом устройства в режим DFU).

Apple TV (tvOS)

В случае с Apple TV 4 всё достаточно просто: устройство оборудовано разъёмом USB Type-C. В новой модели 4K порт убрали; вам потребуется переходник, позволяющий подключиться к скрытому порту Lightning. Мы написали об этом в статье Jailbreaking Apple TV 4K.

Если вы предпочитаете использовать checkra1n вместо unc0ver (например, если версия tvOS не поддерживается unc0ver), обратите внимание: вам потребуется дополнительный кабель-прерыватель для перевода устройства в режим DFU.

Без джейлбрейка можно извлечь мультимедиа-файлы и метаданные плюс некоторые журналы диагностики.

Apple Watch (watchOS)

В данном случае адаптер нужен всегда, см. Apple TV and Apple Watch Forensics 01: Acquisition. Нужные адаптер носит название «IBUS». В настоящее время подобные адаптеры существуют для поколений часов S1/S2/S3, но не для S4 или S5. В то же время, часть данных (в основном Здоровье), которые собираются часами, синхронизируются с подключённым телефоном iPhone и через него — с облаком iCloud. Отдельных резервных копий часов в облаке нет, но часть данных Apple Watch хранится в резервных копиях iPhone.

По методу извлечения

Логическое извлечение данных — самый быстрый, простой, безопасный и совместимый метод сбора данных. Да, этот метод предоставляет ограниченный объем данных; тем не менее, мы рекомендуем воспользоваться в первую очередь именно им. Обратите внимание:

• Существуют различия в данных между локальными и облачными резервными копиями.
• Также существуют различия между локальными резервными копиями с и без пароля (см. The Most Unusual Things about iPhone Backups); больше данных содержат именно резервные копии с паролем.
• Извлечь резервную копию из облака может оказаться сложнее, чем кажется (и это не только вопрос двухфакторной аутентификации).

Имейте в виду, что резервные копии — лишь часть информации, доступной в рамках логического извлечения. Можно извлечь мультимедиа-файлы с метаданными, даже если резервная копия защищена паролем, а пароль неизвестен. Кроме того, можно извлечь некоторые файлы приложений (обычно документы, но иногда и другие пользовательские данные от фотографий до баз данных, включая например менеджеры паролей) и журналы диагностики, которые могут помочь в восстановлении истории использования устройства. Этот метод — единственный, который работает на устройствах Apple TV без джейлбрейка и на устройствах Apple Watch от S1 до S3.

Полный образ файловой системы содержит намного больше данных, чем даже резервная копия с паролем. С образом файловой системы вы получаете все данные, включая данные из «песочниц» приложений и системные базы данных с точками местоположения, информацию об использовании устройства и многое другое.

Настоящая золотая жила — Связка ключей. Связка ключей представляет собой защищённое и зашифрованное хранилище для паролей пользователя, ключей шифрования, сертификатов, данных кредитных карт и многого другого. Расшифровав Связку ключей, вы получите доступ к чатам защищённых мессенджеров, к сторонним облачным службам, используемым владельцем устройства, и многому другому. Если вы не работаете со Связкой ключей, вы многое теряете.

Чтобы получить файловую систему и связку ключей, мы рекомендуем извлечение с помощью агента (если он доступен для выбранной модели и версии системы), так как это самый безопасный и надежный метод. Однако поддержка версий iOS и моделей устройств шире именно с джейлбрейками.

Наконец, извлечение из облака iCloud (честно говоря, наша любимая тема). У этого метода так много преимуществ, что о них стоит написать отдельную статью. Устройство — не нужно! А вот код блокировки от него (не говоря о пароле к учётной записи) понадобится для расшифровки некоторых данных, защищённых в облаке сквозным шифрованием (не совсем корректный термин, извините). Через облако можно получить доступ к текущим и удалённым данным, а также к данным с других устройств пользователя, подключённых к той же учётной записи.

По версии ОС

Для логического анализа, включая извлечение файлов мультимедиа и журналов диагностики, версия операционной системы не имеет значения. Логический анализ доступен для всех версий ОС: от древней iOS 4 до предварительной бета-версии iOS 13.6 (последняя версия, доступная на момент написания этой статьи); результат будет примерно одинаков. Первая бета-версия iOS 14 выходит на следующей неделе, и мы практически уверены, что логический анализ заработает сразу и без проблем.

К сожалению, в случае с джейлбрейками и нашим собственным агентом-экстрактором дела обстоят иначе. Как джейлбрейки, так и наш агент-экстрактор базируются на обнаруженных исследователями уязвимостях. Такие эксплойты существуют для большинства версий iOS вплоть до iOS 13.5 включительно, но некоторые конкретные версии системы охвачены не полностью. Например, для iOS 12.3–12.4.7 из iPhone 5s и iPhone 6 мы можем извлечь только образ файловой системы, но не связку ключей. Аналогичным образом обстоят дела с устройствами под управлением iOS 13.3.1–13.4.1. Наконец, хотя для iOS 13.5 и доступен джейлбрейк, позволяющий извлечь как файловую систему, так и связку ключей, вам придётся самостоятельно устанавливать джейлбрейк; наш агент-экстрактор для этой версии не сработает. Для iOS 13.5.1–13.6 beta 2 можно использовать checkra1n (только для совместимых моделей).

С tvOS ситуация значительно хуже. Эксплойты существуют и для Apple TV (точнее, для tvOS), но джейлбрейки доступны только для очень ограниченного числа версий в диапазоне tvOS 9-12. Только tvOS 13 полностью поддерживается джейлбрейком checkra1n, включая (в теории) и последнюю бета-версию 13.4.8, которую мы однако ещё не проверяли. Мы в состоянии добавить поддержку агента для более старых версий tvOS, но конкретных планов пока нет. Обратите внимание, что Apple по умолчанию обновляет tvOS автоматически, поэтому на приставке Apple TV, как правило, будет установлена ​​последняя версия tvOS.

Что касается watchOS, то об извлечении файловой системы можно забыть независимо от версии watchOS. Несмотря на то, что watchOS уязвима для эксплойта checkm8, общедоступных джейлбрейков для watchOS 5.2 и более поздних версий просто не существует; текущей же версией является watchOS 6.2.8 beta 2. С другой стороны, бОльшая часть информации, собранной Apple Watch, доступна либо с iPhone, с которым он связан, либо из облака. Если у вас есть адаптер IBUS, вы сможете извлечь медиа-файлы и метаданные (для часов серии S1-S3).

Заключение

Как мы уже многократно писали, в случае с извлечением данных с устройств Apple не существует «решения одной кнопки» (не верьте производителям, которые заявляют о подобном), хотя мы стараемся сделать рабочий процесс максимально простым. Важно понимать, какие варианты извлечения данных доступны для каждой комбинации аппаратного и программного обеспечения, и принимать обдуманное и взвешенное решение при выборе метода для анализа (точнее, комбинации методов).

Приложения для обмена мгновенными сообщениями стали стандартом де-факто для переписки в реальном времени. Извлечение истории переписки из таких приложений и облачных сервисов может оказаться исключительно важным в ходе расследования. В этой статье мы сравниваем безопасность пяти самых распространённых приложений для обмена мгновенными сообщениями для iPhone в контексте их криминалистического анализа.

Способы извлечения данных

В контексте операционной системы iOS, под управлением которой работают смартфоны iPhone и планшеты iPad, есть несколько способов извлечения истории переписки из приложений для обмена мгновенными сообщениями. На платформе iOS практически исключены атаки класса MITM (перехват и расшифровка сообщений в процессе доставки); если исключения и встречаются, то нам о них не известно. Даже на устройствах Android для атаки MITM потребуется установить сторонний SSL-сертификат, и даже это может не сработать для некоторых мессенджеров.

Возможность получения историй переписки от владельца соответствующего приложения является (по крайней мере, в теории) отличным способом, который вполне официально доступен работникам правоохранительных органов. Политики производителей разнятся от почти мгновенной и практически полной выдачи информации до полного неразглашения. Эти особенности мы обсудим дополнительно.

Если производитель использует собственный облачный сервис для доставки и хранения сообщений, то данные можно попробовать извлечь из него. Наконец, историю переписки иногда получается извлечь из облака Apple iCloud, но только в том случае, если эти данные туда вообще попадают: и в этом смысле политики производителей мессенджеров сильно отличаются.

Историю переписки всегда можно извлечь из самого устройства iPhone, но уровень сложности различается для разных приложений. Для некоторых приложений достаточно логического извлечения (анализ резервных копий iTunes), в то время как некоторые другие мессенджеры запрещают хранение своих данных в локальных резервных копиях. Для полного доступа к истории переписки может потребоваться образ файловой системы (иногда — и Связка ключей).

Итак, рассмотрим различные варианты извлечения истории переписки для пяти распространённых приложений для обмена мгновенными сообщениями в iOS.

iMessage

iMessage — предустановленный сервис для обмена сообщениями, доступный на каждом устройстве iPhone и iPad «из коробки». Поскольку приложение предустановлено на каждом iPhone, предполагается, что большая часть пользователей iPhone так или иначе пользуется этим приложением. В какой-то мере это соответствует действительности: по умолчанию отправка сообщения через встроенное приложение «Сообщения» пошлёт SMS пользователю Android или кнопочного телефона, но отправит iMessage, если на другом конце — такой же пользователь iPhone. Компания Apple оценивает количество пользователей iMessage в 1.6 миллиарда; оценка основана на количестве активных iPhone. В 2016 году сервис пересылал порядка 200,000 сообщений iMessages в секунду.

• Запрос от правоохранительных органов: Неоднозначно, но — нет. С одной стороны, Apple хранит сообщения на собственных серверах. С другой, по утверждениям компании, все сообщения зашифрованы сквозным шифрованием; код шифрования зависит от кода блокировки зарегистрированного устройства пользователя. Этот факт позволяет Apple утверждать, что компания не в состоянии расшифровать данные. Впрочем, Apple категорически отказывается расшифровать сообщения даже в том случае, если код блокировки известен — что фактически не представляет проблемы даже для сторонних сервисов. Так или иначе, Apple не возвращает сообщения iMessage по запросу от правоохранительных органов.
• Собственный облачный сервис: Копии сообщений хранятся в iCloud, если пользователь включил функцию «Облачные сообщения». Данные зашифрованы, для их расшифровки необходим код блокировки экрана одного из зарегистрированных устройств пользователя. Для извлечения и расшифровки потребуется Apple ID, пароль, второй фактор аутентификации и код блокировки экрана.
• Локальные резервные копии: История переписки iMessages всегда попадает в резервные копии, её можно извлечь и расшифровать посредством логического анализа.
• Резервные копии в iCloud: Apple хранит сообщения iMessage в резервных копиях iCloud в том и только в том случае, если пользователь не включил функцию «Облачные сообщения». В противном случае см. предыдущие пункты.
• iCloud Drive: нет.
• Образ файловой системы: Сообщения iMessage хранятся в файловой системе устройства без дополнительной степени защиты. Соответственно, для их извлечения достаточно лишь образа файловой системы; расшифровка Связки ключей для этого не обязательна.

iMessage: выводы

Извлечь сообщения можно, но нужно хорошо понимать, что именно нужно делать. Сообщения доступны из нескольких источников; соответственно, получить к ним доступ можно несколькими разными способами. В целом мы оцениваем сложность извлечения iMessage как среднюю.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение из образа файловой системы) или Elcomsoft Phone Breaker (извлечение из iCloud, резервных копий в iCloud, локальных резервных копий iTunes); Elcomsoft Phone Viewer (для просмотра и анализа).

Инструкции: Messages in iCloud: How to Extract Full Content Including Media Files, Locations and Documents, iMessage Security, Encryption and Attachments.

WhatsApp

Пользователей WhatsApp — более 2 миллиардов, что делает WhatsApp одним из самых популярных приложений для обмена сообщениями. Несмотря на то, что протокол обмена сообщениями WhatsApp основан на протоколе Signal, использующем сквозное шифрование, приложение WhatsApp ничуть не более безопасно в сравнении с другими мессенджерами. В приложении WhatsApp есть возможность создания резервных копий. Впрочем, история переписки WhatsApp не хранится на серверах компании за исключением недоставленных сообщений.

• Запрос от правоохранительных органов: WhatsApp не сохраняет историю сообщений на собственных серверах. Исключение — недоставленные сообщения; только их и можно получить по запросу от правоохранительных органах.
• Собственный облачный сервис: См. выше: доступны только недоставленные сообщения.
• Локальные резервные копии: Как правило, резервные копии WhatsApp сохраняются как в локальных, так и в облачных резервных копиях iOS.
• Резервные копии в iCloud: См. выше; как правило, данные WhatsApp можно извлечь из облачной резервной копии в iCloud.
• iCloud Drive: WhatsApp предлагает пользователям возможность сохранения автономной резервной копии в облаке iCloud. Эти данные можно с лёгкостью извлечь из облака; проблема же в том, что они зашифрованы. Для расшифровки таких резервных копий необходимо зарегистрироваться в качестве нового клиента WhatsApp (например, при помощи Elcomsoft Explorer for WhatsApp).
• Образ файловой системы: База данных WhatsApp доступна и в образе файловой системы. Никакой дополнительной защиты нет.

WhatsApp: выводы

Сложность извлечения истории переписки WhatsApp мы оцениваем как невысокую. Данные WhatsApp можно извлечь практически из любого источника (за исключением собственных серверов компании), в том числе из локальных и облачных резервных копий.

Необходимые программы: Elcomsoft iOS Forensic Toolkit и Elcomsoft Phone Viewer; либо специализированный продукт Elcomsoft Explorer for WhatsApp.

Инструкции: Extract and Decrypt WhatsApp Backups from iCloud.

Telegram

Telegram — одна из самых продвинутых программ для мгновенного обмена сообщениями. Благодаря приложениям, доступным для практически всех платформ, Telegram набрал порядка 200 миллионов пользователей (данные 2018 года). В день пересылается порядка 300 миллионов сообщений.

Telegram использует собственный облачный сервис как для доставки, так и для хранения сообщений (это и позволяет использовать несколько клиентов Telegram одновременно на разных устройствах). Доступен специальный режим «секретных чатов», в котором сообщения на сервере не хранятся.

• Запрос от правоохранительных органов: Telegram хранит полную историю переписки пользователей на собственных серверах — за исключением секретных чатов. В зависимости от юрисдикции, историю переписки в Telegram можно получить по запросу от правоохранительных органов.
• Собственный облачный сервис: Историю переписки в Telegram можно извлечь непосредственно из облака компании, зарегистрировавшись в качестве приложения-клиента.
• Локальные резервные копии: Нет. Данные Telegram не попадают в локальные резервные копии.
• Резервные копии в iCloud: Нет. Данные Telegram не сохраняются в облачных резервных копиях.
• iCloud Drive: Нет.
• Образ файловой системы: Telegram не использует никакой дополнительной защиты. Для доступа к данным достаточно образа файловой системы.

Telegram: выводы

Сложность извлечения данных Telegram средняя. Данные Telegram (в том числе секретные чаты) можно извлечь из образа файловой системы. Обычные чаты можно получить по запросу от правоохранительных органов (в зависимости от юрисдикции).

Необходимые программы: Elcomsoft iOS Forensic Toolkit (для извлечения из файловой системы); Elcomsoft Phone Viewer (для анализа данных).

Инструкции: Извлечение секретных чатов из Telegram для iPhone

Signal

Если судить исключительно по количеству пользователей (их порядка полумиллиона), Signal не входит в пятёрку (и даже в десятку) самых распространённых мессенджеров. В то же время, благодаря беспрецедентному вниманию к безопасности, Signal стал фактически стандартным инструментом для обмена сообщениями среди тех, кому есть что скрывать. Именно по этой причине Signal вызывает неослабеваемый интерес правоохранительных органов.

Разработчики Signal внедрили исключительно безопасный протокол обмена сообщениями, использующий сквозное шифрование. В отличие от WhatsApp, основанного на том же протоколе, Signal заметно более безопасен с других точек зрения. В частности, Signal не сохраняет резервных копий, а рабочая база данных зашифрована ключом с высшим классом защиты, что не позволяет открыть базу данных, просто вытащив файл из образа файловой системы.

• Запрос от правоохранительных органов: Нет. Signal не хранит сообщения на сервере; соответственно, нечего и запрашивать.
• Собственный облачный сервис: Нет. Signal не хранит историю переписки на своих серверах.
• Локальные резервные копии: Нет. Данные Signal не попадают в резервные копии.
• Резервные копии в iCloud: Нет. Данные Signal не сохраняются в облачных резервных копиях.
• iCloud Drive: Нет. Signal не создаёт резервных копий, даже автономных.
• Образ файловой системы: Да, но сложно. Signal шифрует рабочую базу данных, а ключ шифрования хранится в Связки ключей с максимальным классом защиты. Для расшифровки базы данных вам придётся извлечь как образ файловой системы, так и Связку ключей (Elcomsoft iOS Forensic Toolkit).

Signal: выводы

Signal — самый сложный мессенджер с точки зрения извлечения истории переписки. Для расшифровки его базы данных вам потребуется как образ файловой системы iPhone, так и расшифрованная Связка ключей.

Необходимые программы: Elcomsoft iOS Forensic Toolkit (извлечение образа файловой системы и расшифровка Связки ключей); Elcomsoft Phone Viewer (расшифровка базы данных Signal).

Инструкции: How to Extract and Decrypt Signal Conversation History from the iPhone

Skype

Skype — один из старейших мессенджеров. В настоящее время сервис принадлежит компании Microsoft. В марте 2020 года Skype использовался ста миллионами пользователей ежемесячно. Порядка 40 миллионов человек использует Skype ежедневно. Microsoft сохраняет историю общения пользователей Skype; данные доступны по запросу от правоохранительных органов.

• Запрос от правоохранительных органов: Да; проще, чем в остальных случаях. Skype хранит полную историю переписки в облаке Microsoft; секретные чаты отсутствуют как возможность. Microsoft охотно сотрудничает с правоохранительными органами, выдавая полный набор данных по запросу от правоохранительных органов.
• Собственный облачный сервис: Да. Microsoft хранит данные в собственном облаке, и их можно извлечь, авторизовавшись в учётной записи пользователя.
• Локальные резервные копии: С некоторых пор Skype перестал сохранять историю переписки в локальных резервных копиях. Этот путь доступа к данным в настоящее время закрыт.
• Резервные копии в iCloud: См. выше. В настоящее время извлечение из облачных резервных копий невозможно.
• iCloud Drive: Нет.
• Образ файловой системы: Skype не использует дополнительных мер по защите рабочей базы данных. Для доступа достаточно только образа файловой системы.

Skype: выводы

С нашей точки зрения, сложность извлечения данных Skype средняя. С одной стороны, Microsoft охотно сотрудничает с правоохранительными органами, выдавая историю переписки пользователя по запросу. С другой — данные Skype не попадают в резервные копии и не сохраняются в облаке iCloud. Соответственно, данные Skype можно извлечь либо из облака Microsoft, либо из образа файловой системы.

Необходимые программы: Elcomsoft Phone Breaker (для скачивания переписки из Microsoft Account); Elcomsoft Phone Viewer (для просмотра данных).

Инструкции: Extracting Skype Histories and Deleted Files Metadata from Microsoft Account

Заключение

Данная статья не претендует на полноту. Line, Viber, QQ, WeChat, Facebook Messenger и множество других приложений, в том числе от Yandex и Mail.ru, используется огромным количеством пользователей. Мы продолжаем исследования, постепенно добавляя поддержку самых распространённых мессенджеров.

iPhone — один из самых популярных смартфонов в мире. Благодаря своей огромной популярности, iPhone привлекает большое внимание сообщества криминалистов. Для извлечения данных из iPhone разработано множество методов, позволяющих получать то или иное количество информации с большими или меньшими усилиями. Некоторые из этих методов основаны на недокументированных эксплойтах и публичных джейлбрейках, в то время как другие используют API для доступа к информации. В этой статье мы сравним типы и объёмы данных, которые можно извлечь из одного и того же iPhone 11 Pro Max объёмом 256 ГБ, используя три различных метода доступа к информации: расширенный логический, физический и облачный.

Мы протестировали и сравнили доступные методы на примере устройства iPhone 11 Pro Max 256 ГБ под управлением iOS 13.3. Устройство подключено к учётной записи iCloud вместе с большим количеством других устройств, включая компьютеры MacBook Pro, Mac Mini, iMac, четыре других iPhone (6s, 7, X, Xr), один iPad Pro третьего поколения, часы Apple Watch, пара Apple TV и одну колонку HomePod. Мы не считали устройства других членов семьи, объединённые в Семейный доступ. В процессе тестирования ожидалось, что значительная часть данных будет синхронизироваться между устройствами через iCloud.

Важно отметить, что ситуация постоянно меняется. В каждой или почти каждой новой версии iOS и macOS разработчики Apple меняют способы хранения, протоколы доступа и методы защиты данных. В iCloud также происходят постоянные изменения. Свежие примеры — в статье macOS, iOS and iCloud updates: forensic consequences.

Логический анализ

Логический анализ — самый известный, популярный и, казалось бы, хорошо изученный способ получить доступ к основному массиву данных. Метод логического анализа работает для всех устройств под управлением iOS и её производных iPadOS, WatchOS и tvOS. Всё, что нужно для работы — это само устройство, кабель Lightning (для часов Apple Watch — адаптер iBUS) и в некоторых случаях — код блокировки экрана для того, чтобы установить доверенные отношения с компьютером (это требование можно обойти, использовав извлечённую из компьютера пользователь запись lockdown).

Логический анализ предоставляет доступ к следующим типам данных:

• Расширенная информация об устройстве
• Резервная копия в формате iTunes (может оказаться зашифрованной паролем)
• Медиа-файлы (фото и видео) и некоторые базы данных, которые могут содержать записи об удалённых файлах
• Диагностические и crash-логи
• Данные некоторых приложений

Резервные копии в формате iTunes — то, с чего начинался логический анализ. Все знают о резервных копиях; создавать резервную копию умеют, наверное, все или почти все пакеты для экспертов-криминалистов. Можно обойтись и без них, использовав непосредственно утилиту iTunes в Windows или Finder в macOS Catalina, см. статью Резервное копирование данных на устройствах iPhone, iPad и iPod touch; обратите, однако, внимание на необходимость заранее отключить синхронизацию в iTunes, иначе данные на устройстве будут модифицированы после подключения к компьютеру.

В статье The Most Unusual Things about iPhone Backups мы подробно рассказали о самых интересных вещах, связанных с резервными копиями iOS. Основная проблема, связанная с резервными копиями — возможность защиты паролем. Пароли к резервным копиям iOS необычайно стойкие; их перебор невыносимо медленный, буквально единицы или десятки паролей в секунду даже с использованием мощных графических ускорителей. Иногда пароль удаётся сбросить, но и сброс пароля к резервной копии — не панацея; детали — в статье The Worst Mistakes in iOS Forensics. В то же время, резервные копии с паролем содержат значительно больше доступных данных в сравнении с незашифрованными резервными копиями (в частности — Связка ключей, в которой хранятся все пароли пользователя). Разумеется, для доступа к ним вам потребуется узнать пароль.

Очень часто эксперты ограничиваются извлечением только резервной копии. Однако логический анализ ими не ограничивается. Как минимум, стоит извлечь медиа-файлы (их извлечение работает независимо от того, установлен ли пароль на резервную копию), в состав которых входят базы данных и уменьшенные копии изображений.

Наконец, извлечь можно и некоторые системные журналы (журнал диагностики и crash-лог) и файлы, доступ к которым через iTunes открывают некоторые приложения.

Одна из сильных сторон логического анализа — возможность доступа к данным даже тогда, когда экран устройства заблокирован (с рядом оговорок). Возможность сработает, если телефон был разблокирован хотя бы раз после включения, у эксперта есть физический доступ к доверенному компьютеру и режим ограничения USB не был активирован. (Нужно отметить, что в последних версиях iOS режим ограничения доступа к USB активируется сообразно достаточно неочевидным правилам, см. USB Restricted Mode in iOS 13).

Из нашего тестового iPhone удалось извлечь резервную копию, в которой обнаружилось 112 тысяч файлов общим объёмом 138 ГБ. Дополнительно удалось извлечь 47,000 медиа-файлов включая метаданные общим объёмом 101 ГБ. Кроме того, мы извлекли 271 файл приложений общим объёмом 109 МБ.

Все возможности логического анализа предоставляет инструментарий Elcomsoft iOS Forensic Toolkit.

Достоинства метода:

• Метод прост в использовании
• Совершенно безопасен, если используется специализированное программное обеспечение
• Безопасно даже через с iTunes (если не забыли отключить синхронизацию)
• Совместим со всеми версиями iOS
• Может работать с заблокированными устройствами (если есть доступ к доверенному компьютеру)
• Может извлекать журналы устройства и данные приложений
• Медиа-файлы (с EXIF) доступны, даже если установлен пароль на резервную копию

Недостатки:

• Количество данных ограничено
• На резервную копию может быть установлен пароль
• Связку ключей можно извлечь только из резервных копий с паролем
• Требуется код блокировки экрана, если устройство подключается к новому компьютеру

Извлечение файловой системы

В резервной копии, даже защищённой паролем, содержится намного меньше информации, чем хранится в устройстве. В устройстве содержатся базы данных с детальной историей местоположений, данные всех приложений, включая историю переписки в безопасных мессенжерах; WAL-файлы SQLite, в которых могут содержаться удалённые записи, временные файлы, данные WebKit, транзакции AplePay, уведомления приложений и многое другое, что может стать важными уликами.

При этом доступ к файловой системе достаточно сложен — начиная с вопроса о выборе метода, который будет для этого использоваться. Для разных моделей iPhone доступно множество методов: классические и rootless джейлбрейки, эксплойт checkm8 и доступ посредством программы-агента. Для того, чтобы понять, с какими именно версиями iOS и моделями iPhone совместим каждый из способов, нужно разобраться в трёхмерной матрице совместимости. В частности, для моделей до iPhone X включительно извлечение возможно вплоть до последней версии iOS (на сегодня это iOS 13.4.1), в том числе в режиме частичного извлечения с неизвестным кодом блокировки (BFU Extraction: Forensic Analysis of Locked and Disabled iPhones).

Из нашего тестового устройства удалось извлечь 211 ГБ данных примерно за то же время (скорость работы — порядка 2.5 ГБ/мин, или 150 ГБ в час).

Доступ к файловой системе может быть осуществлён посредством установки джейлбрейка. В то же время важно понимать, что установка джейлбрейка не является «чистой работой», оставляя следы работы на устройстве, большая часть которых не документирована. Кроме того, вам потребуется инструментарий iOS Forensic Toolkit для расшифровки Связки ключей.

Достоинства метода

• Частичное извлечение для устройств с заблокированным экраном и/или портом USB
• Извлекается полный набор данных
• Пароль на резервные копии игнорируется
• Ограничения MDM игнорируются
• Извлекается полная Связка ключей

Недостатки

• Требуется версия iOS с обнаруженной уязвимостью
• Требуется учётная запись Apple для разработчиков

Извлечение через облако iCloud

Метод извлечения через iCloud до сих пор остаётся недооценённым. Изначально извлечение через облако iCloud означало извлечение резервных копий. Сегодня роль резервных копий в iCloud значительно снизилась; резервные копии в облаке содержат ещё меньше данных, чем локальные резервные копии iTunes без пароля. Более того, поскольку большинство устройств iPhone и iPad синхронизируют данные в облако, эти (синхронизированные) данные хранятся отдельно от резервных копий. Синхронизируется практически всё: от контактов до фотографий и сообщений, а также Связка ключей с паролями. Связка ключей в iCloud, помимо паролей, может содержать и маркеры аутентификации. Есть и iCloud Drive со множеством файлов и документов, часто включая папки Documents и Desktop с компьютеров Mac. Все эти данные собираются не только с единственного iPhone, но и со всех остальных устройств пользователя, подключённых к учётной записи.

В процессе работы Elcomsoft Phone Breaker из облака помимо резервных копий было скачано 39 ГБ синхронизированных данных и 101 ГБ фотографий.

В iCloud Drive может содержаться большое количество файлов включая документы, данные сторонних приложений и резервные копии из некоторых мессенжеров и программ управления паролями.

Дополнительно:

• Accessing iCloud With and Without a Password in 2019
• Apple vs. Law Enforcement: Cloud Forensics
• Apple vs Law Enforcement: Cloudy Times

Достоинства метода:

• Совместим со всеми версиями iOS
• Само устройство не нужно
• Доступны данные со всех устройств, подключённых к учётной записи
• Извлекается облачная Связка ключей
• Файлы в iCloud Drive
• Данные доступны в реальном времени
• Могут быть доступны старые резервные копии

Недостатки:

• Требуются учётные данные для входа в iCloud (включая второй фактор аутентификации)
• Возможна замена логина и пароля маркером аутентификации; применение последних весьма ограниченно
• Код блокировки или пароль одного из доверенных устройств потребуется для доступа к некоторым типам данных (Связка ключей, Здоровье, сообщения и другим, использующим сквозное шифрование)
• Устройства могут вообще не использовать iCloud, поэтому иногда данные отсутствуют

Заключение

В этой статье мы рассмотрели три способа извлечения данных из устройств под управлением iOS. Мы уверены, что эта информация поможет вам выбрать правильный способ или способы при анализе смартфонов iPhone и других устройств под управлением iOS и её производных.

Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

В то же время производители смартфонов предпринимают серьёзные меры по защите информации. Сквозное шифрование и активное противодействие спецсредствам для разблокировки устройства и получения доступа к его содержимому, а также широко известные возможности по удалённому блокированию устройств и уничтожению информации заставляют специалистов тщательно соблюдать все правила техники безопасности. Узнать об этих правилах и о том, как сохранить информацию в изъятом устройстве и о шагах, которые нужно сделать для того, чтобы получить к ней доступ, вы сможете из этой статьи. Важное уточнение: речь в данной статье пойдёт в первую очередь о моделях  iPhone компании Apple.

(далее…)

Популярность iPhone, основного продукта Apple, отодвигает в тень другие продукты компании. Такие устройства, как планшеты iPad, музыкальные колонки HomePod, телевизионная приставка Apple TV и часы Apple Watch пользуются заслуженной популярностью. Все эти устройства работают на вариациях одной и той же операционной системы — iOS, и для них работают многие методы извлечения и анализа данных, которыми эксперты пользуются для доступа к информации из iPhone. Сегодня мы рассмотрим процедуру извлечения данных из приставок Apple TV и часов Apple Watch.

(далее…)

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

(далее…)

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

(далее…)

В конце прошлого года специалист Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Сообщество разработчиков быстро использовало уязвимости для создания целого ряда джейлбрейков – Meridian, LiberIOS, Electra, Unc0ver… Чуть позднее появилась информация об уязвимости, обнаруженной и в последних версиях iOS 11 вплоть до самой последней iOS 11.4.1. Наконец, командой Google Project Zero были опубликованы уязвимости, обнаруженные в iOS 12.0 – 12.1.2. В двенадцатой версии iOS система безопасности претерпела заметные изменения, и полноценный джейлбрейк (с собственным магазином приложений и отключенной проверкой цифровой подписи) задерживался. А в феврале 2019 для iOS 12 выходит принципиально новое поколение джйлбрейк. Встречайте rootlessJB: без Cydia, без возможности устанавливать твики – но с полноценной поддержкой SSH и доступом к файловой системе.

Что такое rootless, чем отличается от полноценных джейлбрейков и как их использовать в целях криминалистического анализа iPhone? Попробуем разобраться. (далее…)