Анализ Apple TV и Apple Watch

21 июня, 2019, Vladimir Katalov
Рубрика: «Безопасность», «Полезные советы», «Программное обеспечение»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Популярность iPhone, основного продукта Apple, отодвигает в тень другие продукты компании. Такие устройства, как планшеты iPad, музыкальные колонки HomePod, телевизионная приставка Apple TV и часы Apple Watch пользуются заслуженной популярностью. Все эти устройства работают на вариациях одной и той же операционной системы — iOS, и для них работают многие методы извлечения и анализа данных, которыми эксперты пользуются для доступа к информации из iPhone. Сегодня мы рассмотрим процедуру извлечения данных из приставок Apple TV и часов Apple Watch.

Способы извлечения данных

Для устройств под управлением iOS существует три основных способа извлечения данных. Логический анализ (резервные копии iTunes, медиа-файлы, файлы приложений, журналы диагностики и crash logs) самый простой и безопасный. Дистанционный доступ через облако позволяет скачать данные со всех устройств пользователя, сохранённые или синхронизированные в iCloud. Наконец, физический анализ позволяет извлечь образ файловой системы устройства и расшифрвоать Связку ключей, в которой хранятся сохранённые пароли пользователя. Данные, которые извлекаются каждым из этих способов, частично пересекаются и дополняют друг друга, поэтому имеет смысл по возможности пользоваться всеми доступными способами. Для анализа Apple TV и Apple Watch используется аналогичный подход.

Apple TV

Актуальных версий Apple TV на данный момент две: Apple TV 4 (недавно переименованный в Apple TV HD) и Apple TV 4K, вышедший в 2017 году. С точки зрения доступа к данным принципиальное различие между двумя версиями приставок в том, что в Apple TV 4 есть диагностический порт USB-C, а в версии Apple TV 4K такой порт отсутствует. Отсутствие USB порта в последней версии Apple TV многократно усложняет процесс подключения приставки к компьютеру и установки на неё приложения джейлбрейка.

Извлечение данных из Apple TV похоже на аналогичный процесс с iPhone за исключением того, что служба резервного копирования на приставке отсутствует. Соответственно, в процессе логического анализа извлекаются только медиа-файлы по протоколу afc. С учётом того, что Apple TV, как правило, зарегистрированы в iCloud Photos, может быть доступно достаточно большое количество фотографий и видеороликов.

Хорошая новость для экспертов состоит в том, что в Apple TV не может быть установлен ни код блокировки, ни ограничения Экранного времени. Более того, для подключения приставки к компьютеру не требуется процесс установления доверительных отношений. Наконец, операционная система tvOS основана на соответствующих версиях iOS, что заметно облегчает разработку джейлбрейков для Apple TV и позволяет при их использовании получить доступ к файловой системе и Связке ключей.

Перед установкой джейлбрейка рекомендуем извлечь медиа-файлы и проанализировать базу данных Photos.sqlite, в которой может содержаться информация о файлах, которые не присутствуют на приставке.Для Apple TV существует по крайней мере три джейлбрейка, поддерживающих все версии tvOS с 10 по 12.1.1:

ChimeraTV
tvOS 12.0 – 12.1.1
https://chimera.sh/

LiberTV
tvOS 10.0-10.1, 11.0, 11.1
http://newosxbook.com/libertv/

Electra
tvOS 11.0-11.4.1
https://coolstar.org/electra/

Процесс установки джейлбрейка на Apple TV 4 мало отличается от аналогичного процесса для iPhone. Для приставки Apple TV 4, работающей под управлением tvOS 12.0-12.1.1, скачайте Cydia Impactor и ChimeraTV. Подключите Apple TV 4 к компьютеру посредством кабеля USB Type-C, загрузите на приставку IPA-файл джейлбрейка (рекомендуем использовать для подписи сертификат разработчика). Затем запустите на приставке приложение Chimera. Процесс подключения Apple TV 4K существенно усложнён в силу отсутствия на данном устройстве порта USB-C; для Apple TV 4K придётся использовать компьютер Mac и приложение Xcode для беспроводного подключения.

После того, как приложение отработает, вы получите права суперпользователя и доступ к устройству через SSH:

Теперь вы можете создать образ файловой системы посредством Elcomsoft iOS Forensic Toolkit:Доступна расшифровка связки ключей keychain (обратите внимание: в Связке ключей на Apple TV может быть доступно меньшее количество записей в сравнении с iPhone):

Наконец, вы можете просмотреть и проанализировать содержимое файловой системы Apple TV при помощи Elcomsoft Phone Viewer или вручную.

Как мы писали ранее, версию Apple TV 4K подключить к компьютеру значительно сложнее в силу отсутствия на устройстве порта USB-C. Для подключения устройства вам потребуется установить соединение через XCode; полное описание процедуры выходит за рамки данной статьи.

Мы протестировали джейлбрейк Chimera на нескольких устройствах. В большинстве случаев джейлбрейк срабатывал, но иногда требовалось несколько попыток с перезагрузкой устройства.

Анализ Apple Watch

На сегодня доступно пять поколений часов Apple Watch. С точки зрения извлечения данных имеет значение один момент: для часов Apple Watch 4 пока не существует адаптера для подключения к компьютеру. Для более старых часов такие адаптеры есть.

Так же, как и у Apple TV, в часах Apple Watch (точнее, в операционной системе watchOS) отсутствует служба резервного копирования. Тем не менее, резервные копии создаются и сохраняются на подключённом к часам iPhone. Резервная копия создаётся в момент отвязки часов от телефона; другим способом инициировать процесс создания резервной копии невозможно. Тем не менее, время от времени часы самостоятельно создают резервные копии на iPhone в фоновом режиме. См. Резервное копирование данных Apple Watch.

Если на iPhone присутствует резервная копия часов, вы сможете извлечь её, получив резервную копию или скопировав образ файловой системы iPhone.

Альтернативный способ получить данные из часов потребует подключения к компьютеру с использованием адаптера. В настоящее время адаптеры доступны для первых трёх поколений часов; для Apple Watch 4 такого адаптера нет. Диагностический порт в часах Apple Watch находится под креплением для ремешка; вам потребуется тонкая игла или скрепка для того, чтобы открыть крышку. Используемый нами адаптер носит название IBUS:

Правильно подсоединить адаптер к часам может быть сложно. Тем не менее, это возможно:

Так же, как и для iPhone, приложение iTunes запросит разрешение на создание доверенного соединения с компьютером:

iTunes отобразит информацию о часах (только версия ОС и уникальный идентификатор часов):Запустите Elcomsoft iOS Forensic Toolkit:Вы можете извлечь список приложений, установленных на часах:

Скопировать файлы системных журналов:Извлечь медиа-файлы (обратите особое внимание на базу данных Photos.sqlite):Джейлбрейк для часов Apple Watch недоступен. Единственной попыткой было приложение jelbrekTime для WatchOS 4.0-4.1.

Что ещё можно извлечь из часов? С технической точки зрения из самих часов — ничего, но из облака iCloud можно извлечь часть информации, которую iPhone получает именно от часов Apple Watch. Речь о данных «Здоровье», в состав которых входит счётчик шагов, данные со встроенного в часы навигатора GPS, данные сердцебиения пользователя и снятые электрокардиограммы, а также другие типы данных, для получения которых могли использоваться сторонние приложения. Для доступа к информации необходим Elcomsoft Phone Breaker; инструкция: Download Health data from iCloud (извлекаются даже те данные, которые не отдаёт Apple по запросу от правоохранительных органов). Для просмотра данных используйте Elcomsoft Phone Viewer:

Анализ данных

Следующим после извлечения шагом является анализ данных. Об этом мы напишем в следующей статье. Оставайтесь с нами! До этого момента рекомендуем ознакомиться с работами Mattia Epifani:


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
НАШИ НОВОСТИ