Статьи по ключевому слову ‘Apple iCloud’

iPhone — один из самых популярных смартфонов в мире. Благодаря своей огромной популярности, iPhone привлекает большое внимание сообщества криминалистов. Для извлечения данных из iPhone разработано множество методов, позволяющих получать то или иное количество информации с большими или меньшими усилиями. Некоторые из этих методов основаны на недокументированных эксплойтах и публичных джейлбрейках, в то время как другие используют API для доступа к информации. В этой статье мы сравним типы и объёмы данных, которые можно извлечь из одного и того же iPhone 11 Pro Max объёмом 256 ГБ, используя три различных метода доступа к информации: расширенный логический, физический и облачный.

Мы протестировали и сравнили доступные методы на примере устройства iPhone 11 Pro Max 256 ГБ под управлением iOS 13.3. Устройство подключено к учётной записи iCloud вместе с большим количеством других устройств, включая компьютеры MacBook Pro, Mac Mini, iMac, четыре других iPhone (6s, 7, X, Xr), один iPad Pro третьего поколения, часы Apple Watch, пара Apple TV и одну колонку HomePod. Мы не считали устройства других членов семьи, объединённые в Семейный доступ. В процессе тестирования ожидалось, что значительная часть данных будет синхронизироваться между устройствами через iCloud.

Важно отметить, что ситуация постоянно меняется. В каждой или почти каждой новой версии iOS и macOS разработчики Apple меняют способы хранения, протоколы доступа и методы защиты данных. В iCloud также происходят постоянные изменения. Свежие примеры — в статье macOS, iOS and iCloud updates: forensic consequences.

Логический анализ

Логический анализ — самый известный, популярный и, казалось бы, хорошо изученный способ получить доступ к основному массиву данных. Метод логического анализа работает для всех устройств под управлением iOS и её производных iPadOS, WatchOS и tvOS. Всё, что нужно для работы — это само устройство, кабель Lightning (для часов Apple Watch — адаптер iBUS) и в некоторых случаях — код блокировки экрана для того, чтобы установить доверенные отношения с компьютером (это требование можно обойти, использовав извлечённую из компьютера пользователь запись lockdown).

Логический анализ предоставляет доступ к следующим типам данных:

  • Расширенная информация об устройстве
  • Резервная копия в формате iTunes (может оказаться зашифрованной паролем)
  • Медиа-файлы (фото и видео) и некоторые базы данных, которые могут содержать записи об удалённых файлах
  • Диагностические и crash-логи
  • Данные некоторых приложений

Резервные копии в формате iTunes — то, с чего начинался логический анализ. Все знают о резервных копиях; создавать резервную копию умеют, наверное, все или почти все пакеты для экспертов-криминалистов. Можно обойтись и без них, использовав непосредственно утилиту iTunes в Windows или Finder в macOS Catalina, см. статью Резервное копирование данных на устройствах iPhone, iPad и iPod touch; обратите, однако, внимание на необходимость заранее отключить синхронизацию в iTunes, иначе данные на устройстве будут модифицированы после подключения к компьютеру.

В статье The Most Unusual Things about iPhone Backups мы подробно рассказали о самых интересных вещах, связанных с резервными копиями iOS. Основная проблема, связанная с резервными копиями — возможность защиты паролем. Пароли к резервным копиям iOS необычайно стойкие; их перебор невыносимо медленный, буквально единицы или десятки паролей в секунду даже с использованием мощных графических ускорителей. Иногда пароль удаётся сбросить, но и сброс пароля к резервной копии — не панацея; детали — в статье The Worst Mistakes in iOS Forensics. В то же время, резервные копии с паролем содержат значительно больше доступных данных в сравнении с незашифрованными резервными копиями (в частности — Связка ключей, в которой хранятся все пароли пользователя). Разумеется, для доступа к ним вам потребуется узнать пароль.

Очень часто эксперты ограничиваются извлечением только резервной копии. Однако логический анализ ими не ограничивается. Как минимум, стоит извлечь медиа-файлы (их извлечение работает независимо от того, установлен ли пароль на резервную копию), в состав которых входят базы данных и уменьшенные копии изображений.

Наконец, извлечь можно и некоторые системные журналы (журнал диагностики и crash-лог) и файлы, доступ к которым через iTunes открывают некоторые приложения.

Одна из сильных сторон логического анализа — возможность доступа к данным даже тогда, когда экран устройства заблокирован (с рядом оговорок). Возможность сработает, если телефон был разблокирован хотя бы раз после включения, у эксперта есть физический доступ к доверенному компьютеру и режим ограничения USB не был активирован. (Нужно отметить, что в последних версиях iOS режим ограничения доступа к USB активируется сообразно достаточно неочевидным правилам, см. USB Restricted Mode in iOS 13).

Из нашего тестового iPhone удалось извлечь резервную копию, в которой обнаружилось 112 тысяч файлов общим объёмом 138 ГБ. Дополнительно удалось извлечь 47,000 медиа-файлов включая метаданные общим объёмом 101 ГБ. Кроме того, мы извлекли 271 файл приложений общим объёмом 109 МБ.

Все возможности логического анализа предоставляет инструментарий Elcomsoft iOS Forensic Toolkit.

Достоинства метода:

  • Метод прост в использовании
  • Совершенно безопасен, если используется специализированное программное обеспечение
  • Безопасно даже через с iTunes (если не забыли отключить синхронизацию)
  • Совместим со всеми версиями iOS
  • Может работать с заблокированными устройствами (если есть доступ к доверенному компьютеру)
  • Может извлекать журналы устройства и данные приложений
  • Медиа-файлы (с EXIF) доступны, даже если установлен пароль на резервную копию

Недостатки:

  • Количество данных ограничено
  • На резервную копию может быть установлен пароль
  • Связку ключей можно извлечь только из резервных копий с паролем
  • Требуется код блокировки экрана, если устройство подключается к новому компьютеру

Извлечение файловой системы

В резервной копии, даже защищённой паролем, содержится намного меньше информации, чем хранится в устройстве. В устройстве содержатся базы данных с детальной историей местоположений, данные всех приложений, включая историю переписки в безопасных мессенжерах; WAL-файлы SQLite, в которых могут содержаться удалённые записи, временные файлы, данные WebKit, транзакции AplePay, уведомления приложений и многое другое, что может стать важными уликами.

При этом доступ к файловой системе достаточно сложен — начиная с вопроса о выборе метода, который будет для этого использоваться. Для разных моделей iPhone доступно множество методов: классические и rootless джейлбрейки, эксплойт checkm8 и доступ посредством программы-агента. Для того, чтобы понять, с какими именно версиями iOS и моделями iPhone совместим каждый из способов, нужно разобраться в трёхмерной матрице совместимости. В частности, для моделей до iPhone X включительно извлечение возможно вплоть до последней версии iOS (на сегодня это iOS 13.4.1), в том числе в режиме частичного извлечения с неизвестным кодом блокировки (BFU Extraction: Forensic Analysis of Locked and Disabled iPhones).

Из нашего тестового устройства удалось извлечь 211 ГБ данных примерно за то же время (скорость работы — порядка 2.5 ГБ/мин, или 150 ГБ в час).

Доступ к файловой системе может быть осуществлён посредством установки джейлбрейка. В то же время важно понимать, что установка джейлбрейка не является «чистой работой», оставляя следы работы на устройстве, большая часть которых не документирована. Кроме того, вам потребуется инструментарий iOS Forensic Toolkit для расшифровки Связки ключей.

Достоинства метода

  • Частичное извлечение для устройств с заблокированным экраном и/или портом USB
  • Извлекается полный набор данных
  • Пароль на резервные копии игнорируется
  • Ограничения MDM игнорируются
  • Извлекается полная Связка ключей

Недостатки

  • Требуется версия iOS с обнаруженной уязвимостью
  • Требуется учётная запись Apple для разработчиков

Извлечение через облако iCloud

Метод извлечения через iCloud до сих пор остаётся недооценённым. Изначально извлечение через облако iCloud означало извлечение резервных копий. Сегодня роль резервных копий в iCloud значительно снизилась; резервные копии в облаке содержат ещё меньше данных, чем локальные резервные копии iTunes без пароля. Более того, поскольку большинство устройств iPhone и iPad синхронизируют данные в облако, эти (синхронизированные) данные хранятся отдельно от резервных копий. Синхронизируется практически всё: от контактов до фотографий и сообщений, а также Связка ключей с паролями. Связка ключей в iCloud, помимо паролей, может содержать и маркеры аутентификации. Есть и iCloud Drive со множеством файлов и документов, часто включая папки Documents и Desktop с компьютеров Mac. Все эти данные собираются не только с единственного iPhone, но и со всех остальных устройств пользователя, подключённых к учётной записи.

В процессе работы Elcomsoft Phone Breaker из облака помимо резервных копий было скачано 39 ГБ синхронизированных данных и 101 ГБ фотографий.

В iCloud Drive может содержаться большое количество файлов включая документы, данные сторонних приложений и резервные копии из некоторых мессенжеров и программ управления паролями.

Дополнительно:

Достоинства метода:

  • Совместим со всеми версиями iOS
  • Само устройство не нужно
  • Доступны данные со всех устройств, подключённых к учётной записи
  • Извлекается облачная Связка ключей
  • Файлы в iCloud Drive
  • Данные доступны в реальном времени
  • Могут быть доступны старые резервные копии

Недостатки:

  • Требуются учётные данные для входа в iCloud (включая второй фактор аутентификации)
  • Возможна замена логина и пароля маркером аутентификации; применение последних весьма ограниченно
  • Код блокировки или пароль одного из доверенных устройств потребуется для доступа к некоторым типам данных (Связка ключей, Здоровье, сообщения и другим, использующим сквозное шифрование)
  • Устройства могут вообще не использовать iCloud, поэтому иногда данные отсутствуют
Резервные копии (локальные) Резервные копии (iCloud) Синхронизация iCloud Образ файловой системы
Данные приложений ограниченно ограниченно ограниченно +
Apple Pay +
Books + + +
Календари + + только iCloud +
Звонки + + за 30 дней +
Контакты + + только iCloud +
Настройки устройства + + +
Здоровье только зашифрованные + +
Связка ключей только зашифрованные + +
Почта только iCloud +
Карты только зашифрованные + +
Медиа + только если не синхронизируется + +
Сообщения +  только если не синхронизируется iOS 11.4+, 2FA +
Заметки + + только iCloud +
Уведомления ограниченно + +
ScreenTime ограниченно +
Диктофон + iOS<12 iOS 12+ +
Wallet + + + +
Web — закладки + + + +
Web — история только зашифрованные + 2 недели +
Web — поиск только зашифрованные + +

Заключение

В этой статье мы рассмотрели три способа извлечения данных из устройств под управлением iOS. Мы уверены, что эта информация поможет вам выбрать правильный способ или способы при анализе смартфонов iPhone и других устройств под управлением iOS и её производных.

Данные о местоположении – первоочередная цель для правоохранительных органов и различных государственных организаций. Правоохранительные органы используют эти данные, чтобы определить круг подозреваемых либо установить местоположение конкретных лиц поблизости от места преступления в момент его совершения, а службы реагирования на чрезвычайные ситуации используют геолокацию для определения местоположения спасаемых. Ещё один способ использования данных о местоположении – помощь в отслеживании распространения эпидемий, идентификации и изоляции инфицированных граждан. Каким образом получаются данные о местоположении и как их можно извлечь?

Источники данных о местоположении

Данные о местоположении извлекаются из нескольких принципиально различных источников. Основной источник данных о местоположении – данные операторов сотовой связи, которые сообщаются в виде детализации Call Detail Record (CDR). Эти данные могут быть выданы правоохранительным органам по соответствующим образом оформленному запросу; массовая выдача подобных данных регулируется и ограничивается законодательно.

Данные о местоположении можно извлечь из смартфона пользователя; как правило, объём таких данных относительно невелик, а для извлечения информации необходим низкоуровневый доступ к файловой системе.

Наибольший интерес представляет дистанционный анализ данных о местоположении, доступ к которым осуществляется через облако. Особенно интересен «облачный» анализ устройств под управлением Android. В таких устройствах количество точек местоположения, хранящихся в самом телефоне, значительно уступает массиву информации, который собирает и систематизирует в облаке производитель Android – корпорация Google.

Важно отметить, что данные о местоположении могут храниться в не самых очевидных местах. К примеру, одним из важных источников данных о местоположении являются обычные фотографии, сделанные пользователем смартфона. Как сами фотографии, так и переданные пользователем сообщения с вложениями в виде фотографий содержат метаданные EXIF, в которых, в свою очередь, записаны координаты снимка.

Разнообразные приложения (например, приложения для отслеживания спортивных тренировок и фитнеса) также могут сохранять данные о местоположении, передавая эту информацию в собственное облако компании-разработчика приложения.

Огромные массивы данных о местоположении можно извлечь из таких приложений, как Google Fit или Strava. Координаты могут сохраняться даже в событиях из календаря. В наших продуктах есть возможность проанализировать данные, полученные из всех источников. За это отвечает функция агрегации данных о местоположении, которая появилась в Elcomsoft Phone Viewer 3.70 в 2018 году.

EPV 3.70 способен агрегировать данные из множества источников, часть которых доступна лишь в результате физического анализа устройства. В список источников входят:

  • Важные геопозиции (что это такое)*
  • Кеш геопозиций (3G/LTE/Wi-Fi connections)
  • Apple Maps
  • Google Maps
  • Метаданные EXIF, включая идентификатор устройства, на котором был сделан снимок
  • События календаря и ссылка на событие
  • Приложение UBER

* Компания Apple использует именно этот термин, «геопозиция». Также используются термины «геолокация» и «геопредупреждения».

Рассмотрим способы извлечения и анализа данных о местоположении из трёх облачных провайдеров: Apple (iCloud), Google и Microsoft.

Apple

В отличие от Google, Apple не сохраняет многолетнюю подробную историю местоположения пользователя. Соответственно, возможность извлечь эти данные из облака iCloud достаточно ограниченна. В то же время в iCloud всё же есть некоторые данные, которыми можно воспользоваться для извлечения геопозиций. Эти данные включают:

Фотографии в облаке iCloud Photos

Если пользователь активирует функцию «облачных» фотографий, все снимки, сделанные на устройствах пользователя, поступают в облако iCloud в виде синхронизированных данных.  Фотографии можно скачать из облака при помощи Elcomsoft Phone Breaker, после чего извлечь метки GPS из данных EXIF (либо воспользоваться функцией Elcomsoft Phone Viewer > Aggregated Locations).

Облачные сообщения iCloud Messages

Сами по себе сообщения (SMS и iMessage) не включают метки местоположения за двумя исключениями: сообщения с вложениями фотографий (теги EXIF) и специальные сообщения, в которых пользователи делятся своими координатами.

Здоровье — Тренировки

В рамках экосистемы Apple «тренировки» — пожалуй, единственный тип облачных данных, который стабильно содержит множество точных отметок местоположения. Данные поступают от устройств системы HealthKit, оборудованных датчиком GPS – например, от часов Apple Watch пользователя. Как только устройство обнаруживает начало тренировки, включается датчик позиционирования, и устройство начинает регистрировать такие данные, как частота сердечных сокращений и координаты пользователя. Точки местоположения, в свою очередь, поступают от датчика GPS, встроенного во все последние модели Apple Watch и доступного во множестве других совместимых с HealthKit устройств.

Данные о тренировках относятся к категории «Здоровье», которая, в свою очередь, хранится в облаке с использованием сквозного шифрования. Для доступа к зашифрованным таким образом данным с помощью Elcomsoft Phone Breaker вам понадобятся Apple ID и пароль пользователя, одноразовый код двухфакторной аутентификации, а также пароль блокировки экрана или системный пароль пользователя от одного из зарегистрированных в учётной записи устройств.

Данные можно проанализировать посредством Elcomsoft Phone Viewer.

Данные Find My

Сервис Find My обеспечивает точное определение текущих координат устройства – например, в случае его кражи или утери. У сервиса Find My есть две важных с точки зрения экспертов особенности. Во-первых, узнать текущее местоположение устройства можно без прохождения двухфакторной аутентификации (достаточно только логина и пароля пользователя). Во-вторых, пользователь получит уведомление о том, что была активирована служба Find My.

Резервные копии в iCloud

Некоторое количество данных местоположения можно извлечь из облачных резервных копий, которые создаются устройствами с iOS в iCloud. Координаты можно получить из метаданных фотографий. Если же пользователь включит синхронизацию фотографий посредством iCloud Photos, то для экономии места в облаке снимки перестанут сохраняться в резервных копиях.

Карты Apple Maps

В данных Apple Maps содержится на удивление мало точек определения координат. Несмотря на это, разработчики Apple решили защитить данные Apple Maps в облаке сквозным шифрованием, аналогично тому, как защищается Связка ключей или данные приложения «Здоровье». Соответственно, для доступа к этим данным понадобятся как логин и пароль от Apple ID, так и одноразовый код двухфакторной аутентификации и код блокировки экрана одного из устройств в учётной записи.

Данные о местоположении можно просмотреть посредством Elcomsoft Phone Viewer.

Google

Наконец, мы подошли к самому интересному провайдеру данных о местоположении – компании Google. В облаке Google хранятся десятки и сотни тысяч точек координат, позволяющих реконструировать полную историю перемещений и жизнедеятельности пользователя устройств с Android. Google собирает и хранит эти данные в течение многих лет, если пользователь не очистит историю местоположения вручную. Данные о местоположении можно извлечь из следующих источников:

  • История местоположений и хронология в Google Картах. Это – основные источники данных о местоположении пользователя.
  • Google Fit. В отличие от Apple Health, Google Fit оценивает данные о физической активности пользователя на основе периодического опроса встроенного датчика-шагомера и отслеживания местоположения. Точки местоположения затем сохраняются в учётной записи Google пользователя в категории Google Fit (отдельно от основной истории местоположений).
  • Фотографии. В настоящее время Google не возвращает теги геолокации в EXIF при использовании API Google Photos. В результате криминалистический анализ фотографий из Google Photos может не вернуть данные о местоположении. Однако при извлечении Google Фото по запросу о выдаче информации от правоохранительных органов будут получены оригинальные изображения с полными метаданными EXIF, включая теги геолокации.

В чём разница между «историей местоположений» и «хронологией в Google Картах» и как одно соотносится с другим?

История местоположений – массив координатных точек и времени. Данные вычисляются на основе показаний датчика GPS, триангуляцией сигнала сотовых вышек, определяются по идентификаторам точек доступа Wi-Fi BSSID и специализированным излучателям в помещениях (такие распространены в крупных многоэтажных торговых центрах). История местоположений – это просто координаты и время. Сама по себе история местоположений ничего не говорит о том, что пользователь делал в том или ином месте или как он туда попал (пешком, на машине или на велосипеде).

Хронология Google Карт – принципиально другой источник данных. Как пишет сам Google, с помощью Хронологии «…Вы можете посмотреть места, которые посетили, и расстояние, которое преодолели, а также способ передвижения (например, пешком, на велосипеде, на машине или общественным транспортом). Расстояния указываются в милях или километрах, в зависимости от страны.»

Хронология Карт – это взгляд Google на повседневную жизнедеятельность каждого пользователя Android. Здесь отмечаются заведения, которые посещает пользователь, и регистрируются способы передвижения (Google уверенно различает поездки на автомобиле, в общественном транспорте и на велосипеде, не говоря о пеших прогулках или пробежках).

Для извлечения и анализа данных о местоположении из учётных записей Google можно воспользоваться программой Elcomsoft Cloud Explorer.

Microsoft

Microsoft использует для синхронизации данных учётные записи Microsoft Account. Данные можно просмотреть в Privacy Dashboard либо скачать при помощи Elcomsoft Phone Breaker (см. статью Fetching Call Logs, Browsing History and Location Data from Microsoft Accounts). Данные о местоположении предоставляются компанией в формате JSON. Microsoft получает данные о местоположении пользователя из нескольких источников, включая запросы Cortana, историю браузера Microsoft Edge (как на компьютерах, так и мобильных приложениях), запросам к Bing (если пользователь вошёл в учётную запись Microsoft Account).

Microsoft – Apple и Google

Ещё один неочевидный источник данных о местоположении – хранилище OneDrive. Подписчики Office 365 получают 1 ТБ облачного хранилища. В то же время, без дополнительной оплаты Apple предоставляет своим пользователем всего 5 ГБ места в хранилище iCloud, что делает его использование для синхронизации хранения фотографий практически невозможным. В результате ряд пользователей iPhone хранит фотографии в облаке OneDrive с помощью соответствующего приложения для iOS.

Google бесплатно предоставляет неограниченное хранилище фотографий в рамках сервиса Google Photos. Тем не менее, бесплатное и неограниченное хранилище для экономии места в облаке заметно сжимает фотографии, что отрицательно влияет на разрешение и качество снимков. Соответственно, и пользователи Android часто используют для хранения именно OneDrive, в котором нет таких ограничений.

Теги EXIF фотографий из OneDrive – отличный источник данных местоположения.

Почему данным местоположений нельзя доверять

Данные о местоположении могут лгать. При анализе полученной из любых источников информации ни в коем случае нельзя слепо доверять полученным результатам, а тем более – основывать на таких результатах обвинительное заключение. Одной из распространённых ошибок является безоглядное использование данных EXIF, извлечённых из всех изображений, обнаруженных на устройстве или в облачной учётной записи пользователя. Многие фотографии, найденные в источнике, могут быть получены от других пользователей или вовсе скачаны из сети. Кеш местоположений, который является ещё одним источником данных, содержит приблизительные координаты ближайшей базовой станции, которая может находиться довольно далеко от устройства пользователя. Делать какие-либо выводы на основании точек доступа Wi-Fi и вовсе не стоит: координаты таких точек доступа получают из сторонних сервисов на основе идентификатора BSSID. Наконец, Хронология Google Карт может выглядеть чрезвычайно убедительно, но нужно понимать, что это всего лишь предположения, сделанные алгоритмом искусственного интеллекта с закрытым исходным кодом.

О том, насколько сильно могут ошибаться алгоритмы, можно судить по следующей истории. Рассмотрим скриншот из учётной записи Microsoft Account.

Обе точки показывают местоположение, в которых владелец учётной записи не был никогда (в частности, потому, что писал в этот момент данную статью, находясь при этом дома в совершенно другой части города). Более того, вторая точка появилась в учётной записи через несколько месяцев после того, как сообщившее координаты устройство было сброшено и продано (аналогичных случаев в сети можно найти предостаточно).

 

НАШИ НОВОСТИ