Статьи в рубрике ‘Новости индустрии’

День ото дня специалисты Apple работают над тем, чтобы осложнить жизнь эксперта-криминалиста. Усложняется работа с облаком iCloud, вводятся новые условия и ограничения. С выходом iOS 13.4 и macOS 10.15.4 работа экспертов станет ещё немного труднее. Посмотрим, что нового появилось в последних версиях операционных систем от Apple (и как изменилась при этом работа продуктов Элкомсофт).

iOS 13

Трудно сказать, когда это произошло, но iOS перестала синхронизировать информацию о звонках с облаком. В настоящий момент информация о звонках не синхронизируется между устройствами и не попадает в облачный сервис iCloud. В чём суть этой синхронизации? Мы писали о ней три года назад:

Неожиданное появление синхронизации данных о звонках вызвало волнение общественности и неоднозначную реакцию специалистов по безопасности. В ответ от Apple мы получили лишь стандартную отговорку. Тем удивительнее выглядит решение Apple отказаться от синхронизации звонков (кстати, есть ещё Continuity).

Есть и другая неоднозначная новость. Пользуетесь приложением Apple Maps? Данные Карт теперь хранятся в защищённом хранилище, использующем (по терминологии Apple) «сквозное шифрование». Аналогичным образом хранятся данные Связки ключей (пароли пользователей), Облачные сообщения (SMS, iMessage), данные приложений Здоровья и Экранного времени. Теперь этот список пополнился и данными Apple Maps. Соответственно, для их извлечения нужно будет ввести код блокировки экрана от одного из устройств пользователя, зарегистрированных в учётной записи.

К слову, о приложении Экранное время. Наши пользователи обратили внимание, что в приложении Elcomsoft Phone Breaker извлекается лишь небольшая часть данных Экранного времени – пароль, информация о семейном доступе, ограничения и так далее. При этом не извлекаются статистические данные об использовании устройств. Причина в том, что эти данные, похоже, не попадают в «облако», а синхронизация происходит напрямую между устройствами. Это можно проверить самостоятельно, активировав в настройках Экранного времени функцию Share across devices и просмотрев статистику сначала на оригинальном устройстве, а потом на одном из тех, куда данные синхронизировались. Удивительно, но данные будут разительно отличаться. Более того, многие пользователи жалуются на непредсказуемое поведение этой настройки: данные временами синхронизируются, временами – нет, а иногда пропадают вовсе:

Всё это может означать, что синхронизация напрямую работает не лучшим образом. Трудно сказать, где ошибка – в iOS 12/13 или в iCloud, но мы решили не тратить время на попытки извлечь эту информацию из облака. К слову, в iOS 13 информация, относящаяся к Экранному времени, защищена лучше, чем остальные данные: для доступа к ней недостаточно одних привилегий суперпользователя.

На днях вышла свежая бета-версия iOS 13.4.5; мы будем разбираться, какие изменения Apple внедрили в новую версию iOS.

macOS

Файлы lockdown используются для упрощения доступа к доверенным (ранее подключенным) устройствам под управлением iOS. Если такой файл был создан на компьютере, то при подключении к нему доверенного iPhone или iPad система не будет запрашивать код блокировки. В последней версии macOS доступ к файлам lockdown был ограничен.

Точнее, ограничен доступ был ещё раньше – с выходом macOS 10.12. В этой версии macOS для доступа к файлам lockdown необходимо было выполнить в терминале следующую команду:

sudo chmod 755 /private/var/db/lockdown

В последней версии macOS 10.15.4 этот способ работать перестал:

Можно ли обойти новое ограничение? Да, для этого достаточно просто отключить SIP (System Integrity Protection), загрузившись в режим Recovery (+R во время загрузки), запустить Terminal и выполнить следующую команду:

csrutil disable

После перезагрузки доступ к папке lockdown будет восстановлен, и вы сможете произвести логическое извлечение данных из iPhone посредством iOS Forensic Toolkit.

iCloud

В облаке iCloud в очередной раз изменился механизм аутентификации. Он стал работать надёжнее? Нет. Безопаснее? Нет. Просто изменился. Не буду вдаваться в детали, опишу лишь изменения в механизме работы маркеров аутентификации в Elcomsoft Phone Breaker. Для начала рекомендую ознакомиться со статьёй Accessing iCloud With and Without a Password in 2019; ниже – об актуальном положении дел.

На системах с Windows токены (маркеры аутентификации), извлекаемые из приложения iCloud  for Windows 7.0 и более новых версий, работают исключительно для учётных записей без двухфакторной аутентификации. Такие токены могут быть использованы для доступа к очень ограниченному набору данных. Доступны следующие категории: iCloud Photos и некоторые синхронизированные данные (контакты, календари, заметки, история браузера Safari и некоторые другие, за исключением данных, защищённых «сквозным шифрованием» — Связка ключей, Здоровье, Экранное время, Облачные сообщения и карты Apple Maps). Что же касается резервных копий в iCloud, они доступны лишь для старых версий iOS до 11.2.

На системах с macOS ситуация несколько лучше. На версиях macOS от 10.13 до 10.15 можно получить такой же ограниченный токен для учётных записей без 2FA. Токены для учётных записей с 2FA привязаны к устройству, на котором они были созданы. В результате использовать такой токен в Elcomsoft Phone Breaker можно только в том случае, если наш продукт запускается на том самом компьютере Mac, на котором был создан токен. Объём данных, которые можно извлечь из iCloud (независимо от типа токена и учётной записи) совпадает с тем, что можно извлечь в Windows: некоторые категории синхронизированных данных и резервные копии iCloud для устройств с iOS до 11.2. Полноценные «отвязанные» токены для учётных записей с 2FA доступны только в macOS 10.12 и более старых.

Достаточно запутанно? Изложу вкратце:

  • Токен аутентификации для учётных записей без 2FA можно получить всегда, на любой системе
  • Для учётных записей с 2FA, токены из большинства современных систем с Windows совершенно бесполезны. Аналогичные токены, извлечённые из современных систем macOS, можно использовать только на том же самом компьютере.
  • Токены позволяют доступ к ограниченному числу категорий данных в iCloud.

И последнее. Apple пытается обезопасить и учётные записи без двухфакторной аутентификации. Теперь такие учётные записи могут быть заблокированы после ввода единственного неправильного пароля.

Заключение

Для того, чтобы извлечь всю доступную в iCloud информацию, вам потребуются Apple ID и пароль пользователя, доступ к дополнительному фактору аутентификации, а также код блокировки экрана или системный пароль от одного из устройств пользователя. Если у вас под рукой вся необходимая информация, вы сможете извлечь из облака практически всё содержимое, включая некоторые данные, которые отсутствуют на самом устройстве. Обратите внимание: Elcomsoft Phone Breaker остаётся единственным продуктом на рынке, который работает со облачными данными для всех версий iOS (включая и 13.4.5), поддерпживает все методы двухфакторной аутентификации, и может извлечь все доступные в учётной записи пользователя данные от резервных копий до категорий, защищённых сквозным шифрованием.

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

(далее…)

Одной из «городских легенд» современной IT индустрии является бесплатность и открытость операционной системы Android, что в теории позволяет любому выпустить свой собственный смартфон с уже готовым программным обеспечением. Казалось бы, в Китае десятки заводов с радостью выполнят любой заказ, а собрать работоспособную прошивку на основе готовых исходных кодов — и вовсе вопрос нескольких недель. Почему же мы не наблюдаем десятков и сотен компаний-однодневок, выпускающих смартфоны под собственной маркой? Попробуем разобраться в подводных камнях, которые будут ожидать новичка в области смартфоностроения на примере американской компании Essential.

Essential Phone (PH-1): первая попытка

Выход Essential Phone предварялся длительной артподготовкой. Использовались «правильные» ключевые слова: «чистый» Android от одного из его создателей, Энди Рубина, обещал максимально возможную стабильность плавность работы и регулярные (и оперативные) обновления. И если по части обновлений ожидания оправдались полностью, то со стабильностью и плавностью работы дела у компании изначально не задались.

(далее…)

Почему iPhone 7 работает быстрее Samsung Galaxy S7, а iPhone 8 – быстрее Galaxy S8? Если оставить в стороне оптимизацию (с которой у Samsung, честно говоря, просто беда), есть и различия в идеологии операционных систем, и байт-код JVM в Android. Действительно ли в конечном счете всё сводится к тому, что в Apple поддерживают ограниченный диапазон аппаратного обеспечения собственной разработки, что позволяет оптимизировать операционную систему до совершенства? Мы готовы поспорить с этим утверждением, приведя аргументы в пользу аппаратной начинки iPhone, одним из основных преимуществ которого были и остаются уникальные системы на чипе. Процессоры A10 и A11 заметно обгоняют в бенчмарках аналогичные предложения от Qualcomm в лице Snapdragon 820/821 и Snapdragon 835 соответственно. Почему так происходит? В чём заключается «магия Apple»? Оставив за бортом аргументы в стиле «Андроид лучше!», попробуем разобраться в причинах, которые привели к доминированию мобильных процессоров Apple над предложениями Qualcomm.

Фактор первый: исторический

Вспомним 2013 год. В арсенале Qualcomm – весьма удачные чипы Snapdragon 800, основанные на 32-разрядных ядрах Krait 400 собственной разработки. На этом чипе (и его последователе, Snapdragon 801) были выпущены десятки, если не сотни самых разнообразных моделей. На момент анонса у топового чипсета Qualcomm просто не было альтернатив: основанные на ядрах ARM Cortex A15 решения были прожорливы до чрезвычайности и не могли составить конкуренцию четырём кастомным ядрам Krait. Казалось бы, всё хорошо; Qualcomm – король горы, достаточно продолжать развивать удачную архитектуру. Казалось бы, что может пойти не так? (далее…)

Как выглядит современный смартфон? Чёрный брусок прямоугольной формы. С одной стороны – экран, с другой – одна или две камеры. Похожесть устройств последних поколений достигла степени смешения, когда с первого взгляда невозможно определить ни модель, ни даже производителя. Но так было не всегда. В нашей лаборатории побывало порядка больше полутора сотен моделей; порядка пятидесяти из них были в более или менее длительном постоянном использовании. Сегодня мы расскажем о моделях, которые запомнились чем-то необычным и которые выбиваются из стройных рядов чёрных прямоугольников. В отличие от множества подобных статей, основанных на официальных спецификациях и картинках, мы всеми описанными устройствами пользовались в течение достаточно длительного времени, и описанные впечатления выражают мнения нас как пользователей.

LG G Flex 2. Изогнутый экран – это удобно?

Начнём с одной из моделей, которая до сих пор вызывает интерес своей необычностью. LG G Flex 2 – смартфон на платформе Snapdragon 810 (по остальным характеристикам – скорее, середнячок), обладающий одной необычной особенностью. Его экран – не плоский, а сильно изогнутый. Такая форма выглядит и ощущается необычной. С эргономической точки зрения смартфон чрезвычайно удобен: по нему удобно разговаривать, экраном очень приятно пользоваться. За счёт использования пластикового OLED смартфон обладает запасом гибкости, позволяющей носить его в заднем кармане брюк и не опасаться bendgate. (далее…)

Многочисленные публикации подробно осветили тот факт, что OnePlus 6 поступил в продажу с критической уязвимостью. По данным исследователей (подтверждённым самой компанией OnePlus), смартфон поставляется с загрузчиком, который даже в «заблокированном» состоянии позволяет загружать неподписанный код. Эксплуатация уязвимости выглядит предельно просто: достаточно загрузить телефон в штатный режим fastboot, откуда выполнить команду загрузки неподписанного образа (к примеру, fastboot boot unsigned.img). В устройствах, загрузчики которых не содержат критических ошибок, команда не будет отработана и выдаст сообщение об ошибке. OnePlus 6 соглашается загрузить неподписанный код:

Уязвимость загрузчика OnePlus 6

(далее…)

Устанавливать или не устанавливать очередное обновление, «прилетевшее» на смартфон? В свете недавних событий, связанных с Apple и тем, как компания умышленно ограничивает производительность старых устройств (да, теперь это официально доказано) вопрос приобретает особую пикантность. Но что, если выбора-то и нет? Если производитель, выпустивший на рынок очередного «убийцу флагманов», так и не выпустил ни одного крупного обновления? В этой статье мы расскажем о ряде производителей, поступивших именно таким образом.

Android и обновления

Обновления ОС Android – тема, давно набившая оскомину. Нежелание производителей платить за разработку новых версий прошивок для уже проданных устройств усиливается их нежеланием платить производителям чипсетов за обновлённые драйверы. Сертификация Google, а в некоторых странах (например, в США и Канаде) – и дополнительная сертификация мобильным оператором делают возможность распространения обновлений ещё более дорогим, трудным и неимоверно затянутым по времени мероприятием. Да, Project Treble от Google способен существенно упростить, а главное – удешевить процесс обновления между версиями Android, но смартфоны, поддерживающие подсистему Treble, только-только начинают появляться на рынке (или получать подсистему в качестве обновления; но – не всегда и не для всех устройств, обновляющихся до Android 8 Oreo). Для всех же прочих продолжают действовать старые правила игры, описать которые можно всего двумя словами: «минное поле».

В чём проблема?

Почему производителям так сложно, дорого и долго создавать и распространять обновления, повышающие версию Android (сейчас мы не говорим о патчах безопасности или исправлении ошибок в собственных криворуких оболочках, которые так любят некоторые OEM), и почему разработчики кастомных прошивок способны быстро и без больших проблем решить эту, казалось бы, невыполнимую задачу? Для ответа на этот вопрос рассмотрим цепочку участников процесса. (далее…)

Биометрические механизмы аутентификации стали использоваться в смартфонах не так давно. Всего четыре года назад дактилоскопический сканер появился в iPhone 5s. До той поры отдельные попытки интегрировать сканеры отпечатков предпринимались производителями и раньше, но ничего хорошего из этого не выходило.

Прогресс не стоит на месте. Со временем производители встраивали новые способы биометрической аутентификации. Разблокирование по лицу в Android Smart Lock, подсистема Windows Hello, позволяющая разблокировать смартфоны Lumia 950 и 950 XL по результатам сканирования радужной оболочки глаза, а также новейшая разработка Apple – система Face ID, сканирующая трёхмерную модель лица пользователя. Как обстоят дела с биометрией сегодня и стали ли наши смартфоны более безопасными от повсеместного внедрения сканеров отпечатков? Этой публикацией мы открываем серию статей, посвящённых методам биометрической аутентификации в современных смартфонах. Для начала поговорим о самом старом и самом популярном на сегодняшний день способе – датчиках отпечатков пальцев. Начнём наше исследование с устройств Apple – iPhone и iPad, оборудованных датчиком Touch ID. (далее…)

На прошлой неделе прошёл ряд публикаций о новой мобильной ОС, которую разрабатывают в лабораториях Google. Новая ОС получила кодовое название «Fuchsia». Что это такое и чем может заинтересовать экспертов? Попробуем разобраться.

Fuchsia — попытка Google отказаться от использования Linux в смартфонах. С точки зрения Google, Linux — далеко не оптимальный выбор операционной системы для компактных устройств. В Linux есть проблемы с безопасностью, а за счёт сложности и архаичности кода их достаточно трудно выявлять. У монолитного ядра, которое используется в Linux, есть как преимущества, так и недостатки. Наконец, у Google нет возможности целиком контролировать Linux. Для компании вполне логичным является желание разработать полностью свою систему с чистого листа. (далее…)

При запуске 32-разрядных приложений в iOS 10.3 пользователям выдаётся предупреждение о том, что приложение может замедлять работу устройства и может не поддерживаться в новых версиях системы. Таким образом Apple даёт понять, что 32-разрядные приложения уходят в прошлое. С высокой долей уверенности можно предположить, что в iOS 11 не будет поддержки как 32-битных приложений, так и 32-разрядных устройств (iPhone 5 и 5c). Кроме того, можно предположить, что новое поколение устройств под управлением iOS – будущие итерации iPhone и iPad – будут лишены самой возможности исполнять 32-битный код на аппаратном уровне. Что это может означать для индустрии и для нас, пользователей?

Выводы из отказа Apple поддерживать 32-разрядный код следуют очень интересные – разумеется, если компания будет последовательна в своих действиях. (далее…)

НАШИ НОВОСТИ