Статьи по ключевому слову ‘Elcomsoft iOS Forensic Toolkit’

В последнем обновлении iOS Forensic Toolkit появилась поддержка нового способа извлечения данных из iPhone без джейлбрейка, использующий программу-агента собственной разработки. В этой статье мы расскажем об отличиях между извлечением с использованием агента и классическим способа, который использует джейлбрейк для доступа к данным; опишем как преимущества, так и недостатки у нового метода.

Для чего нужен джейлбрейк

Прежде, чем описывать способ извлечения данных без джейлбрейка, попробуем разобраться, для чего нужен джейлбрейк и почему многие пользователи не хотят его устанавливать.

С точки зрения мобильной криминалистики джейлбрейк необходим для того, чтобы получить доступ к защищённым областям хранилища телефона: приватным данным приложений, включая базы данных защищённых чатов, паролям пользователя и маркерам аутентификации для самых разнообразных ресурсов. И если без джейлбрейка эксперту доступна лишь часть данных – та, к которой официально разрешён доступ как разработчиком приложения, так и компанией Apple, — то после установки джейлбрейка становятся доступны абсолютно все данные на смартфоне.

В то же время, цель разработки утилит джейлбрейка лежит далеко за пределами криминалистического анализа. Джейлбрейки часто используются для установки на устройства нелицензионного ПО, модификации элементов интерфейса и доступа к репозитариям приложений, которые по той или иной причине не были приняты в официальный магазин приложений Apple. Для того, чтобы обеспечить эти возможности, в состав джейлбрейка входят компоненты, которые не только нужны для извлечения файловой системы, но и вредят процессу криминалистического анализа, модифицируя системный раздел и изменяя некоторые файлы. Некоторые утилиты джейлбрейка (к примеру, последняя версия unc0ver) позволяют отключить ненужные опции и отказаться от перемонтирования файловой системы, однако требуют предельного внимания и осторожности в процессе установки.

Все эти особенности заставили нас задуматься о разработке собственного агента, который включал бы лишь самое необходимое для доступа к файловой системы, будучи максимально простым и безопасным в использовании.

Доступ к файловой системе и Связке ключей через программу-агента

Список поддерживаемых агентом устройств довольно широк, включая все модели iPhone начиная с iPhone 5s и заканчивая линейкой iPhone Xr, Xs и Xs Max. Поддерживается большинство планшетов iPads, основанных на процессорах соответствующих поколений. Список поддерживаемых версий iOS несколько уже: поддерживаются iOS 11 и 12 всех версий, за исключением iOS 12.3, 12.3.1 и 12.4.1. Оценить совместимость разных способов извлечения данных можно на следующей схеме:

В чём отличия между разными способами извлечения данных?

  1. Логическое извлечение: доступ к данным из резервной копии, расшифровка многих записей Связки ключей, извлечение медиа-файлов, некоторых журналов и данных приложений. Работает на всех устройствах и любых версиях iOS, но количество извлекаемых данных ограничено.
  2. Работа через джейлбрейк: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств и версиями iOS, для которых существует джейлбрейк.
  3. Работа с checkra1n/checkm8: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств (вплоть до A11, т.е. до iPhone 8/8 Plus/iPhone X включительно) и (на данный момент) версиями iOS3-13.3.1. В то же время этот метод использует аппаратную уязвимость, которую Apple не сможет исправить. Кроме того, доступно частичное извлечение в режиме BFU (до первой разблокировки, если пароль устройства неизвестен).
  4. Программа-агент: извлечение файловой системы и расшифровка Связки ключей. Совместимость ограничена моделями устройств (A7-A11) и версиями iOS (11-12, кроме 12.3, 12.3.1, 12.4).

Извлечение файловой системы из iPhone с программой-агентом

Перед тем, как начать работу, потребуется подготовка. Для установки программы-агента на iPhone вам потребуется учётная запись Apple ID, зарегистрированная в программе Apple для разработчиков. Обычный Apple ID использовать для установки программы-агента нельзя.

Для регистрации в программе Apple для разработчиков будет необходимо активировать двухфакторную аутентификацию (если вы не сделали этого ранее). Для установки программы-агента вам потребуется создать пароль приложения; это можно сделать через браузер на странице Apple ID.

Обратите внимание: в программе Apple для разработчиков может быть зарегистрировано до 100 устройств каждого типа (например, 100 телефонов iPhones и 100 планшетов iPads). Вы сможете удалить устройство из вашей учётной записи после того, как закончите с ним работать.

Для извлечения файловой системы и расшифровки Связки ключей проделайте следующие действия.

  1. Подключите iPhone к компьютеру. Подтвердите запрос на установление связи (на телефоне может потребоваться ввести код блокировки).
  2. Запустите Elcomsoft iOS Forensic Toolkit 5.30 или более новую версию.
  3. В качестве первого шага рекомендуем выполнить логическое извлечение (создание резервной копии, извлечение медиа-файлов и т.д.)
  4. Для работы с программой-агентом используйте цифровые команды 1…4.
  5. Установка агента на iPhone: команда ‘1’ (Install agent). Вам потребуется ввести логин от Apple ID (напомним, зарегистрированного в программе для разработчиков) и пароль приложения, который вы сгенерировали ранее. Далее введите ‘Team ID’ из учётной записи для разработчиков. После установки агента, запустите приложение-агент на телефоне и оставьте его работать в активном режиме.
  6. Дальнейшие шаги похожи на извлечение с использованием джейлбрейка за исключением того, что командой ‘D’ (Disable lock) пользоваться не нужно.
  7. Извлечение Связки ключей: команда ‘2’.
  8. Создание образа файловой системы: команда ‘3’. Копия файловой системы iPhone будет сохранена на компьютере в архиве в формате TAR.
  9. Для удаление программы-агента с iPhone используйте команду ‘4’.

Просмотреть содержимое файловой системы можно посредством Elcomsoft Phone Viewer или альтернативного приложения, поддерживающего формат TAR. Для анализа Связки ключей используйте Elcomsoft Phone Breaker. Для анализа в ручном режиме смонтируйте или распакуйте образ файловой системы (для этого желательно использовать систему на основе UNIX или macOS).

Заключение

В сравнении с традиционным способом извлечения файловой системы через джейлбрейк использование агента собственной разработки «Элкомсофт» позволяет сделать процесс анализа значительно более удобным и совершенно безопасным. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило нашим разработчикам добиться максимально возможной для каждой модели скорости передачи данных. По завершении работы агент удаляется с устройства одной командой.

В недавнем обновлении Elcomsoft iOS Forensic Toolkit получил возможность извлечения образа файловой системы из ряда устройств под управлением iOS, включая модели от iPhone 5s до iPhone X включительно. Новая возможность работает независимо от установленной в телефоне версии iOS; подробности – в статье iOS Device Acquisition with checkra1n Jailbreak. Сегодня же мы хотим рассказать об очередном нововведении в продукте: возможности частичного извлечения Связки ключей и особенностей работы с заблокированным устройством, даже если разблокировать его невозможно.

Заблокированные устройства и устройства после холодного старта

Что такое заблокированное устройство? В зависимости от контекста термин имеет множество значений. Мы будем понимать под «заблокированным» такое устройство, экран которого заблокирован неизвестным кодом блокировки либо на экране устройства присутствует надпись «iPohne отключен. Подключитесь к iTunes». (далее…)

Основным новшеством недавно анонсированного обновления инструментария iOS Forensic Toolkit стала поддержка новой утилиты джейлбрейка checkra1n. Новый джейлбрейк стал безусловным прорывом в области мобильной криминалистики. В чём принципиальное отличие checkra1n от всех предыдущих утилит для взлома iPhone, как установить его на устройство, как использовать и что именно можно извлечь с его помощью? Попробуем разобраться.

В предыдущей статье мы протестировали работу checkra1n с ТВ-приставкой Apple TV 4, убедившись в его работоспособности даже на столь отличной от телефонов платформе. Сегодня же мы расскажем о том, как использовать новый джейлбрейк для анализа широкой линейки iPhone начиная с iPhone 5s и заканчивая моделями iPhone 8, 8 Plus и iPhone X вне зависимости от установленной на них версии iOS.

(далее…)

Смартфоны и планшеты Apple становятся более безопасными с каждым поколением. Каждое обновление операционной системы также вносит дополнительные элементы в систему безопасности. Так, с выходом iOS 8, доступной даже для достаточно старых устройств, в Apple полностью пересмотрели механизм депонирования ключей на компьютеры, синхронизированные с iPhone или iPad через iTunes.

Важным результатом нововведений в системе безопасности мобильной операционной системе стали изменения в официальной политике Apple. Теперь компания отказывается помогать правоохранительным органам в извлечении данных из устройств, работающих под управлением iOS 8 и более новых версий. И если извлечение данных из разблокированного iPhone в целом не представляет проблемы, то программно-техническая экспертиза устройств, заблокированных паролем и/или с помощью датчика отпечатков пальцев представляет серьёзнейшую проблему.

В результате усилий Apple резко сократилось число вариантов для извлечения данных из заблокированных устройств. В данной публикации мы рассмотрим техническую возможность извлечения данных из заблокированного iPhone при следующих обстоятельствах:

  1. На телефоне установлена iOS версии с 8.x по 10.x
  2. При конфискации устройство было включено и заблокировано
  3. Устройство не выключалось и не перезагружалось в промежутке между конфискацией и анализом
  4. На устройство не установлен или не может быть установлен jailbreak, либо статус jailbreak неизвестен
  5. Имеется доступ к компьютеру (Mac или PC) с установленным приложением iTunes, к которому подключался iPhone. Пользователь установил доверенные отношения с компьютером, подтвердив запрос “Trust this PC” на устройстве

Список из пяти пунктов может показаться чрезмерным, но именно в такой ситуации чаще всего оказываются следственные органы при проведении криминалистического анализа. Пожалуй, самый неочевидный момент – это требование не выключать и не перезагружать устройство с момента конфискации. Дело в том, что после загрузки устройство безальтернативно потребуется разблокировать с помощью пароля. В противном случае установленные ранее доверенные отношения с компьютером использоваться не удастся.

(далее…)

НАШИ НОВОСТИ