iOS 13: что изменится для экспертов-криминалистов

Июль 25th, 2019, Oleg Afonin
Рубрика: «Разное»
  • 8
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    8
    Shares

Выход тринадцатой версии iOS не за горами. Новая версия мобильной ОС уже доступна для разработчиков и бета-тестеров в виде предварительной версии. Мы провели исследование изменений в механизмах безопасности, алгоритмах шифрования, резервного копирования и протоколах синхронизации данных iOS 13, добавив поддержку новой версии ОС в наши продукты мобильной криминалистики. В этой статье мы расскажем о том, что изменится для экспертов-криминалистов с выходом iOS 13.

Резервные копии в iCloud

В протокол доступа к резервным копиям и в алгоритмы шифрования был внесён ряд изменений, которых оказалось достаточно для выхода из строя не адаптированных к iOS 13 продуктов мобильной криминалистики. Мы исследовали эти нововведения и внесли необходимые изменения в Elcomsoft Phone Breaker, который позволяет скачивать и расшифровывать «облачные» резервные копии устройств, работающих под управлением iOS 13. Дальнейшие изменения протокола резервного копирования возможны, но маловероятны; мы продолжаем внимательно следить за новыми сборками iOS.

Интерес представляют и изменения, коснувшиеся содержания облачных резервных копий. Содержимое резервных копий в iCloud стало ещё более похожим на содержимое локальных резервных копий без пароля. В частности, из резервных копий в iCloud исчез журнал звонков и история браузера Safari. Логика в этом решении есть: журнал звонков и история браузера уже давно синхронизируются между устройствами. Соответственно, Apple нет смысла сохранять их отдельно в резервные копии, занимая место в облаке. Напомним, доступ к синхронизированным данным осуществляется проще и безопаснее, чем доступ к резервным копиям. Для скачивания синхронизированных данных может быть использована как комбинация из логина, пароля и второго фактора аутентификации, так и маркер аутентификации, извлечённый из компьютера пользователя. Никаких изменений в структуре хранения и протоколах доступа к синхронизированным данным в iOS 13 мы не обнаружили.

О содержимом резервных копий в iCloud подробно написано на сайте Apple в статье Содержимое резервных копий iCloud. Процитируем статью:

В резервную копию в iCloud входит следующее.

  • Данные программ
  • Резервные копии Apple Watch
  • Настройки устройств
  • Конфигурация HomeKit
  • Вид экрана «Домой» и расположение значков программ
  • Сообщения iMessage, текстовые сообщения (SMS-сообщения) и MMS-сообщения (только если функция «Сообщения в облаке» отключена)
  • Фото и видео с iPhone, iPad и iPod touch (только если отключена синхронизация iCloud Photos)
  • История покупок в службах Apple, например информация о покупке музыки, фильмов, телешоу, программ и книг
  • Рингтоны
  • Пароль визуального автоответчика (требуется SIM-карта, которая использовалась в момент резервного копирования)

В резервную копию iPhone, iPad или iPod touch входит только информация и настройки, хранящиеся на вашем устройстве. В нее не включаются данные, уже хранящиеся в iCloud, такие как контакты, календари, закладки, сообщения электронной почты, заметки, голосовые записи3, общие фотографии, Фото iCloud, медданные, история вызовов4 и файлы, хранящиеся в iCloud Drive.

В содержимом облачных резервных копий iOS 13 отсутствуют следующие типы данных:

  • Связка ключей Keychain *
  • Данные Здоровья
  • Данные Home
  • iCloud Photos **
  • Сообщения SMS и iMessages **
  • Новое в iOS 13: Call logs
  • Новое в iOS 13: история браузера Safari

* Строго говоря, Связка ключей всё ещё присутствует в «облачных» резервных копиях, однако расшифровать её может исключительно то устройство, с которого была сделана резервная копия. Для шифрования используется аппаратный ключ.

** Фотографии и сообщения (SMS/iMessage) не включаются в состав резервной копии только в том случае, если пользователь активировал синхронизацию соответствующих категорий с iCloud в настройках устройства.

Elcomsoft Phone Breaker стал первым сторонним продуктом на рынке с поддержкой скачивания и расшифровки облачных резервных копий iOS 13.

Маркеры аутентификации (токены безопасности) в iOS 13

О маркерах аутентификации (в терминах Apple — «токенов безопасности») написано в Обзоре системы безопасности iCloud.

При доступе к службам iCloud из встроенных программ Apple (например, «Почта», «Контакты» и «Календарь» в ОС iOS или macOS) для аутентификации используются токены безопасности. Использование токенов безопасности исключает необходимость хранения пароля iCloud на устройствах и компьютерах.

Наша компания была первой, представившей на рынке продукты с поддержкой аутентификации по токенам безопасности. Об этом можно прочесть в статьях Breaking Into iCloud: No Password Required и iCloud Authentication Tokens Inside Out.

Функционал токенов безопасности в iOS 13 ограничен. Уже сегодня их невозможно использовать для доступа к следующим категориям данных:

  • Резервные копии в iCloud
  • Связка ключей в iCloud
  • Сообщения SMS и iMessages в iCloud
  • Данные Здоровья

Apple постепенно усиливает безопасность маркеров аутентификации. Так, прошлогоднее обновление программного обеспечения iCloud for Windows и операционной системы macOS стало использовать новый вид токенов, привязанных к конкретному компьютеру. Просто скопировать файл и использовать его на другом устройстве (или виртуальной машине) для доступа в учётную запись теперь невозможно.

Мы разработали решение, позволяющее извлекать и переносить токены безопасности. В настоящий момент решение существует только для компьютеров под управлением macOS. Для извлечения и использования токенов безопасности потребуется Elcomsoft Phone Breaker последней версии в редакции Forensic.

Синхронизированные данные

Мы уже упоминали синхронизированные данные и тот факт, что в iOS 13 явных изменений в этой категории данных не обнаружено. (Напомним, что в iOS 12 такие изменения были; в частности, данные Здоровья стали храниться в зашифрованном виде, а незашифрованные контейнеры из iOS 11 постепенно удалялись). Пользователям Elcomsoft Phone Breaker по-прежнему доступны следующие категории данных:

  • Резервные копии в iCloud
  • Файлы из iCloud Drive
  • Фото и видео из сервиса iCloud Photos
  • Связка ключей iCloud Keychain (если известен код блокировки/пароль устройства)
  • Категории Здоровье и сообщения SMS/iMessages (если известен код блокировки/пароль устройства)
  • Ключи восстановления доступа к зашифрованным томам FileVault2
  • Синхронизированные данные iCloud включая историю Safari и журналы звонков, которые не включены в резервные копии

Изменения в локальных резервных копиях и отказ от iTunes

С выходом iOS 13 и обновлением macOS Apple откажется от использования приложения iTunes для синхронизации устройств iOS с компьютером и создания резервных копий. Как этот шаг будет оформлен в Windows — пока не ясно; в бета-версии macOS функционал iTunes уже мигрировал в разные части системы. В частности, создание резервных копий теперь осуществляется напрямую из проводника Finder.

В самих резервных копиях iOS 13 также появится несколько изменений.

  1. Для установки и смены пароля к резервной копии устройства с iOS 13 потребуется ввести код блокировки. Код блокировки запрашивается на самом устройстве с iOS. В iOS 11 и 12 код блокировки требовалось вводить в процессе установления соединения между компьютером и устройством. Кроме того, код блокировки требовался для сброса неизвестного пароля. Мы работаем над внесением соответствующих изменений в iOS Forensic Toolkit.
  2. В iOS 12 облачные резервные копии в iCloud уже содержали меньше информации, чем локальные резервные копии без паролей. В iOS 13 разница ещё увеличилась: теперь в резервных копиях в iCloud не содержатся журналы звонков, история браузера Safari и список открытых вкладок. Эти категории по-прежнему включаются в локальные резервные копии (с паролем или без).

Программное обеспечение Elcomsoft и iOS 13

Мы подготавливаем наши продукты к работе с iOS 13. В Elcomsoft Phone Breaker уже внесены необходимые изменения. Продукт получил возможность скачивания и расшифровки резервных копий из облака iCloud, созданных устройствами, работающими на предварительных версиях iOS 13 и iPad OS. Кроме того, в EPB появилась возможность извлекать из компьютеров под управлением macOS полноценные токены безопасности для аутентификации в облако iCloud (только для скачивания синхронизированных данных). Elcomsoft Phone Viewer получил поддержку локальных и облачных резервных копий iOS 13 / iPad OS.

Если вы пользуетесь для работы компьютером Mac, то вы сможете запустить Phone Viewer и Phone Breaker на новой версии macOS 11.15 Catalina. Поддержка новой версии ОС находится в предварительной стадии — так же, как и сама macOS Catalina.


  • 8
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    8
    Shares
НАШИ НОВОСТИ