Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »


«Облачные» заметки: без срока давности

Май 19th, 2017 by Oleg Afonin
  • 3
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    3
    Shares

Экосистема Apple активно развивается в сторону «облачных» технологий. В «облаке» iCloud могут храниться фотографии, резервные копии, история звонков, закладки и история посещений браузера Safari и многое другое. В сегодняшнем материале мы поговорим о заметках, которые также попадают в «облако» — как оказалось, на «вечное» хранение.

Зачем заметки сохраняются в «облако»? В первую очередь – для удобства пользователя. К синхронизированным заметкам можно получить доступ как с мобильных устройств, так и с компьютера – через сайт iCloud.com. Синхронизация – стандартная практика для всех крупных производителей. Evernote, Microsoft OneNote, Google Keep, Simplenote и многие другие синхронизируют заметки с помощью собственных «облачных» сервисов. Apple старается не отставать: встроенное в iOS и macOS приложение «Заметки» автоматически сохранит в «облако» все записи пользователя. Синхронизируются операции создания, редактирования и удаления заметок.

Что произойдёт с заметкой, если пользователь удалит её на одном из устройств? Довольно скоро она исчезнет и с остальных устройств, зарегистрированных с тем же Apple ID. А если пользователь передумает? Тогда можно зайти на сайт iCloud.com и просмотреть содержимое папки «Recently Deleted», в которой удалённые заметки будут храниться в течение 30 дней.

Что произойдёт с удалёнными заметками через 30 дней? В теории – заметки будут окончательно удалены из «облака». На практике – заметки из облака исчезают (становятся недоступны для просмотра обычными способами), но не удаляются, и их можно скачать и просмотреть с помощью Elcomsoft Phone Breaker 6.50 и последней версии Elcomsoft Phone Viewer.

Как это выглядит

Сразу отметим: извлечение заметок, удалённых менее 30 дней назад – дело нехитрое; их можно извлечь из папки Recently Deleted. Заметки, которые были удалены более 30 дней назад можно извлечь из «облака» только с помощью специализированных инструментов и никак иначе. Вот как это выглядит на практике.

Возьмём iPhone 7. В устройстве 288 заметок:

Запускаем Elcomsoft Phone Breaker 6.50:

Скачалось заметок: 334. Открываем Elcomsoft Phone Viewer. Всё верно, 334 заметки:

Откуда разница? Часть заметок была удалена более 30 дней назад, и доступна в папке Recovered:

Нужно отметить, что доступ к заметкам, удалённым более 30 дней назад — эксклюзив Elcomsoft Phone Breaker. Ни штатными методами, ни с помощью других сторонних инструментов такие заметки извлечь не получится.

Извлекаем удалённые заметки из «облака» iCloud

Elcomsoft Phone Breaker извлекает удалённые заметки с помощью механизма синхронизации данных, который работает в режиме реального времени. Для доступа к iCloud потребуется аутентификация (Apple ID и пароль либо маркер аутентификации, извлечённый из компьютера пользователя). При использовании маркера аутентификации пароль не нужен; кроме того, обходится и дополнительная защита с помощью двухфакторной аутентификации (в результате чего пользователю не поступает предупреждение о том, что к его учётной записи получен доступ с нового устройства).

Чтобы скачать удалённые заметки:

  1. Запустите Elcomsoft Phone Breaker50 или более новую версию
  2. Нажмите “Download Synced Data from iCloud”
  3. Авторизуйтесь в учётной записи пользователя с помощью логина и пароля Apple ID либо с помощью двоичного маркера аутентификации (его можно извлечь с компьютера пользователя с помощью Elcomsoft Phone Breaker)
  4. Подождите, пока данные скачаются из «облака»

Для просмотра удалённой истории Safari данных воспользуйтесь последней версией Elcomsoft Phone Viewer:

  1. Запустите Elcomsoft Phone Viewer
  2. Откройте скачанные данные
  3. Нажмите “Notes”
  4. С помощью фильтра (значок воронки в левой верхней части программы) выберите режим просмотра всех заметок, только актуальных или только удалённых записей.

Где взять пароль

Для извлечения синхронизированных данных и «облачных» резервных копий из iCloud требуется авторизация в учётной записи пользователя. Авторизацию можно осуществить как с помощью логина и пароля, так и посредством двоичного маркера аутентификации. Авторизация с помощью маркера имеет некоторые преимущества:

  • Обходится защита с помощью двухфакторной аутентификации
  • Пользователь не получает предупреждения о входе в его учётную запись

Извлечь маркер аутентификации можно с компьютера пользователя, если на нём было установлено приложение iCloud Control Panel и пользователь включил синхронизацию с «облаком» iCloud. Маркер можно извлечь с помощью инструментария, встроенного в Elcomsoft Phone Breaker.


  • 3
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    3
    Shares

Tags: , , , , , , ,

Подписаться на рассылку о новостях и новинках компании ElcomSoft

Комментирование статьи отключено