Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.

Резервные копии в iCloud

В протокол доступа к резервным копиям и в алгоритмы шифрования был внесён ряд изменений, которых оказалось достаточно для выхода из строя не адаптированных к iOS 13 продуктов мобильной криминалистики. Мы исследовали эти нововведения и внесли необходимые изменения в Elcomsoft Phone Breaker, который позволяет скачивать и расшифровывать «облачные» резервные копии устройств, работающих под управлением iOS 13. Дальнейшие изменения протокола резервного копирования возможны, но маловероятны; мы продолжаем внимательно следить за новыми сборками iOS.

Интерес представляют и изменения, коснувшиеся содержания облачных резервных копий. Содержимое резервных копий в iCloud стало ещё более похожим на содержимое локальных резервных копий без пароля. В частности, из резервных копий в iCloud исчез журнал звонков и история браузера Safari. Логика в этом решении есть: журнал звонков и история браузера уже давно синхронизируются между устройствами. Соответственно, Apple нет смысла сохранять их отдельно в резервные копии, занимая место в облаке. Напомним, доступ к синхронизированным данным осуществляется проще и безопаснее, чем доступ к резервным копиям. Для скачивания синхронизированных данных может быть использована как комбинация из логина, пароля и второго фактора аутентификации, так и маркер аутентификации, извлечённый из компьютера пользователя. Никаких изменений в структуре хранения и протоколах доступа к синхронизированным данным в iOS 13 мы не обнаружили.

О содержимом резервных копий в iCloud подробно написано на сайте Apple в статье Содержимое резервных копий iCloud. Процитируем статью:

В резервную копию в iCloud входит следующее.

• Данные программ
• Резервные копии Apple Watch
• Настройки устройств
• Конфигурация HomeKit
• Вид экрана «Домой» и расположение значков программ
• Сообщения iMessage, текстовые сообщения (SMS-сообщения) и MMS-сообщения (только если функция «Сообщения в облаке» отключена)
• Фото и видео с iPhone, iPad и iPod touch (только если отключена синхронизация iCloud Photos)
• История покупок в службах Apple, например информация о покупке музыки, фильмов, телешоу, программ и книг
• Рингтоны
• Пароль визуального автоответчика (требуется SIM-карта, которая использовалась в момент резервного копирования)

В резервную копию iPhone, iPad или iPod touch входит только информация и настройки, хранящиеся на вашем устройстве. В нее не включаются данные, уже хранящиеся в iCloud, такие как контакты, календари, закладки, сообщения электронной почты, заметки, голосовые записи3, общие фотографии, Фото iCloud, медданные, история вызовов4 и файлы, хранящиеся в iCloud Drive.

В содержимом облачных резервных копий iOS 13 отсутствуют следующие типы данных:

• Связка ключей Keychain *
• Данные Здоровья
• Данные Home
• iCloud Photos **
• Сообщения SMS и iMessages **
• Новое в iOS 13: Call logs
• Новое в iOS 13: история браузера Safari

* Строго говоря, Связка ключей всё ещё присутствует в «облачных» резервных копиях, однако расшифровать её может исключительно то устройство, с которого была сделана резервная копия. Для шифрования используется аппаратный ключ.

** Фотографии и сообщения (SMS/iMessage) не включаются в состав резервной копии только в том случае, если пользователь активировал синхронизацию соответствующих категорий с iCloud в настройках устройства.

Elcomsoft Phone Breaker стал первым сторонним продуктом на рынке с поддержкой скачивания и расшифровки облачных резервных копий iOS 13.

Маркеры аутентификации (токены безопасности) в iOS 13

О маркерах аутентификации (в терминах Apple — «токенов безопасности») написано в Обзоре системы безопасности iCloud.

При доступе к службам iCloud из встроенных программ Apple (например, «Почта», «Контакты» и «Календарь» в ОС iOS или macOS) для аутентификации используются токены безопасности. Использование токенов безопасности исключает необходимость хранения пароля iCloud на устройствах и компьютерах.

Наша компания была первой, представившей на рынке продукты с поддержкой аутентификации по токенам безопасности. Об этом можно прочесть в статьях Breaking Into iCloud: No Password Required и iCloud Authentication Tokens Inside Out.

Функционал токенов безопасности в iOS 13 ограничен. Уже сегодня их невозможно использовать для доступа к следующим категориям данных:

• Резервные копии в iCloud
• Связка ключей в iCloud
• Сообщения SMS и iMessages в iCloud
• Данные Здоровья

Apple постепенно усиливает безопасность маркеров аутентификации. Так, прошлогоднее обновление программного обеспечения iCloud for Windows и операционной системы macOS стало использовать новый вид токенов, привязанных к конкретному компьютеру. Просто скопировать файл и использовать его на другом устройстве (или виртуальной машине) для доступа в учётную запись теперь невозможно.

Мы разработали решение, позволяющее извлекать и переносить токены безопасности. В настоящий момент решение существует только для компьютеров под управлением macOS. Для извлечения и использования токенов безопасности потребуется Elcomsoft Phone Breaker последней версии в редакции Forensic.

Синхронизированные данные

Мы уже упоминали синхронизированные данные и тот факт, что в iOS 13 явных изменений в этой категории данных не обнаружено. (Напомним, что в iOS 12 такие изменения были; в частности, данные Здоровья стали храниться в зашифрованном виде, а незашифрованные контейнеры из iOS 11 постепенно удалялись). Пользователям Elcomsoft Phone Breaker по-прежнему доступны следующие категории данных:

• Резервные копии в iCloud
• Файлы из iCloud Drive
• Фото и видео из сервиса iCloud Photos
• Связка ключей iCloud Keychain (если известен код блокировки/пароль устройства)
• Категории Здоровье и сообщения SMS/iMessages (если известен код блокировки/пароль устройства)
• Ключи восстановления доступа к зашифрованным томам FileVault2
• Синхронизированные данные iCloud включая историю Safari и журналы звонков, которые не включены в резервные копии

Изменения в локальных резервных копиях и отказ от iTunes

С выходом iOS 13 и обновлением macOS Apple откажется от использования приложения iTunes для синхронизации устройств iOS с компьютером и создания резервных копий. Как этот шаг будет оформлен в Windows — пока не ясно; в бета-версии macOS функционал iTunes уже мигрировал в разные части системы. В частности, создание резервных копий теперь осуществляется напрямую из проводника Finder.

В самих резервных копиях iOS 13 также появится несколько изменений.

1. Для установки и смены пароля к резервной копии устройства с iOS 13 потребуется ввести код блокировки. Код блокировки запрашивается на самом устройстве с iOS. В iOS 11 и 12 код блокировки требовалось вводить в процессе установления соединения между компьютером и устройством. Кроме того, код блокировки требовался для сброса неизвестного пароля. Мы работаем над внесением соответствующих изменений в iOS Forensic Toolkit.
2. В iOS 12 облачные резервные копии в iCloud уже содержали меньше информации, чем локальные резервные копии без паролей. В iOS 13 разница ещё увеличилась: теперь в резервных копиях в iCloud не содержатся журналы звонков, история браузера Safari и список открытых вкладок. Эти категории по-прежнему включаются в локальные резервные копии (с паролем или без).

Программное обеспечение Elcomsoft и iOS 13

Мы подготавливаем наши продукты к работе с iOS 13. В Elcomsoft Phone Breaker уже внесены необходимые изменения. Продукт получил возможность скачивания и расшифровки резервных копий из облака iCloud, созданных устройствами, работающими на предварительных версиях iOS 13 и iPad OS. Кроме того, в EPB появилась возможность извлекать из компьютеров под управлением macOS полноценные токены безопасности для аутентификации в облако iCloud (только для скачивания синхронизированных данных). Elcomsoft Phone Viewer получил поддержку локальных и облачных резервных копий iOS 13 / iPad OS.

Если вы пользуетесь для работы компьютером Mac, то вы сможете запустить Phone Viewer и Phone Breaker на новой версии macOS 11.15 Catalina. Поддержка новой версии ОС находится в предварительной стадии — так же, как и сама macOS Catalina.