Статьи по ключевому слову ‘iPhone’

Рутинная процедура изъятия. У подозреваемого – Apple iPhone. Аппарат изымается, проверяется на предмет блокировки экрана, извлекается SIM-карта, телефон выключается и передаётся в лабораторию. Казалось бы, что может пойти не так? В описанном выше сценарии «не так» — буквально каждая мелочь. Результат – телефон, с которым эксперту будет сложно или и вовсе невозможно работать. В чём состоят ошибки и как их избежать? Об этом – в нашей статье.

Выключение питания

Самая распространённая ошибка, которая повторяется из раза в раз – выключение изъятых устройств. Как правило, устройство отключают для того, чтобы не дать ему подключиться к беспроводным сетям, получить дистанционную команду на удаление данных.

Фактически же сотрудник, выключающий изъятое устройство, заметно осложнит работу эксперта. И вот почему.

  • Устройство переводится из состояния AFU* в состояние BFU* со всеми вытекающими последствиями.
  • Ключи шифрования пользовательского раздела хранятся в оперативной памяти устройства. При его выключении ключи исчезают, а восстановить их можно исключительно вводом корректного пароля (кода блокировки экрана).
  • Если возникнет необходимость подобрать код блокировки, то скорость атаки после выключения или перезагрузки устройства будет почти на порядок медленнее.
  • Перестанут работать записи lockdown; логическое извлечение станет невозможным.
  • Если код блокировки неизвестен, извлечение данных придётся проводить в режиме BFU.

* Что такое состояния AFU и BFU? AFU – режим After First Unlock, «после начальной разблокировки». Он означает, что пользователь хотя бы раз разблокировал телефон паролем после перезагрузки. В режиме AFU расшифрованы пользовательские данные, их можно попытаться извлечь. Скорость перебора кодов блокировки в этом режиме высокая (порядка нескольких минут на PIN-код, состоящий из 4 цифр).

Режим BFU – Before First Unlock, или режим холодного старта. Устройство было перезагружено или выключено; ключей шифрования пользовательских данных в памяти нет, а сами данные – надёжно зашифрованы.  Скорость перебора паролей низкая; на полный перебор 4 цифр PIN-кода может уйти до нескольких дней, а перебор 6-значного цифрового пароля теряет смысл.

Как делать правильно? Мы описали корректную процедуру в статье The Art of iPhone Acquisition.

Извлечение SIM-карты

Вторая распространённая ошибка как сотрудников полиции, так и экспертов – извлечение из устройства SIM-карты. С точки зрения сотрудника полиции это действие несёт тот же смысл, что и выключение устройства; полезность этого действия со стороны эксперта сомнительна, ведь анализ смартфонов должен проводиться в изолированном от беспроводных сетей помещении.

Извлечение SIM-карты приводит к печальным последствиям, сравнимым с отключением телефона. Если iPhone работает под управлением iOS 11, 12 или 13, извлечение SIM-карты будет иметь следующие последствия:

  • Экран телефона блокируется
  • Биометрические датчики Touch ID и Face ID временно блокируются; разблокировать экран можно только паролем
  • Включается режим ограничений USB

Подробнее об этом можно почитать в наших статьях: Passcode vs. Biometrics: Forensic Implications of Touch ID and Face ID in iOS 12; о режиме ограничений USB: USB Restricted Mode Inside Out (обновления: iOS 12 Enhances USB Restricted Mode и USB Restricted Mode in iOS 13: Apple vs. GrayKey, Round Two).

Иными словами, не извлекайте SIM-карту из iPhone.

“Не держите его таким образом”

Фраза, высказанная Стивом Джобсом в ответ на критику iPhone 4, давно стала крылатой. Однако для новых iPhone, оборудованных системой распознавания лиц Face ID, эта фраза несёт и второй смысл. Достаточно взглянуть на телефон, и одна из пяти попыток разблокировки по лицу будет утрачена. Именно это случилось на сцене во время анонса iPhone X: YouTube.

Если же iPhone оборудован датчиком Touch ID, не стоит пытаться проверить, включено ли устройство, нажимая на кнопку датчика отпечатков пальцев. Воспользуйтесь вместо этого кнопкой блокировки экрана, расположенной на верхней или боковой грани смартфона.

Сброс пароля к резервной копии

Во многих случаях (за исключением возможности установки джейлбрейка через уязвимость checkm8), логическое извлечение с использованием резервных копий iTunes является основным источником данных. Мы подробно рассказывали о резервных копиях iPhone в статье The Most Unusual Things about iPhone Backups.

Одной из основных проблем, которые могут возникнуть в процессе логического анализа, является пароль на резервную копию. Если резервная копия защищена паролем, атака на уже созданную резервную копию будет чрезвычайно медленной (за единичным исключением конкретной версии iOS 10). Тем не менее, во всех версиях iOS начиная с iOS 11 и более новых существует возможность сбросить пароль: iOS 11 Makes Logical Acquisition Trivial, Allows Resetting iTunes Backup Password.

Проблема в том, что все пароли в iOS взаимосвязаны сложными и неочевидными способами; мы писали об этом в статье Four and a Half Apple Passwords. Соответственно, попытка сбросить один пароль неизбежно повлияет и на другие.

В iOS 11, 12 и 13 сброс пароля к резервной копии осуществляется командой “Reset all settings” (почти все пользовательские данные и пароли остаются нетронутыми). Ключевое слово здесь – «почти». При использовании этой команды будут сброшены пароли к Wi-Fi, история транзакций Apple Pay, скачанные сообщения Exchange и некоторые другие данные. Однако самым важным будет тот факт, что сбрасывается в том числе и код блокировки экрана. Почему это важно? В статьях iOS 11 Horror Story: the Rise and Fall of iOS Security и Protecting Your Data and Apple Account If They Know Your iPhone Passcode мы подробно описали, что именно зависит от наличия кода блокировки. Сюда входят, в частности, такие вещи, как доступ к зашифрованным данным в iCloud (облачная связка ключей, сообщения в iCloud, данные приложения «Здоровье» и т.д.)

Логический анализ iOS

Казалось бы, совершить ошибку в процессе логического анализа iOS достаточно сложно. Логический анализ – это резервная копия iTunes, но не только. Впрочем, даже в процессе создания резервной копии можно совершить несколько ошибок, которые могут привести к печальным последствиям.

Резервная копия создаётся в программе iTunes. Действительно, во многих лабораториях до сих пор используют программу iTunes для создания резервной копии. Этот подход логичен: конечный результат (резервная копия) не зависит от того, каким приложением его извлекали из устройства. Резервная копия создаётся внутри телефона, а программа (iTunes, Elcomsoft iOS Forensic Toolkit или любая другая) всего лишь принимает поток данных и сохраняет его в файлы на диске. Проблема с использованием в целях криминалистического анализа программы iTunes в том, что в iTunes по умолчанию включена синхронизация. Соответственно, ещё до того, как из телефона получится извлечь резервную копию, iTunes уже модифицирует данные на устройстве. Синхронизацию в iTunes необходимо отключить, причём сделать это нужно до того, как телефон будет подключён к компьютеру.

Резервная копия без пароля. Резервную копию легче проанализировать, если пароль не установлен? С одной стороны, действительно, легче. С другой – iOS использует пароль для шифрования таких данных, как Связка ключей (пароли пользователя), «Здоровье», с недавнего времени – история браузера Safari и журнал звонков. Если же пароль не установлен, все эти и некоторые другие данные будут зашифрованы аппаратным ключом, и расшифровать их в процессе логического анализа не удастся. Если есть возможность, всегда задавайте известный пароль перед началом извлечения.

Что-то упущено. Резервная копия – далеко не всё, что можно извлечь из iPhone в процессе логического анализа. Логический анализ позволяет извлечь и медиа-файлы (фото и видео, включая EXIF, а также метаданные), журналы диагностических событий (полезны для реконструкции активности пользователя), данные приложений (iTunes shared data). Все эти данные можно извлечь независимо от того, установлен ли пароль на резервную копию. Более того, некоторые типы данных можно извлечь и из устройств Apple Watch и Apple TV при использовании Elcomsoft iOS Forensic Toolkit.

Заключение

Я перечислил лишь наиболее часто встречающиеся ошибки, которые относятся к анализу Apple iPhone. В то же время, возможностей совершить ошибку современная техника оставляет множество. Точное следование инструкциям, подробное документирование каждого шага, повторяемость и возможность верификации результатов – важнейшие составляющие процесса. Уследить за постоянно меняющимся рынком мобильных устройств нелегко. В помощь органам охраны правопорядка мы предлагаем учебные курсы как по мобильной, так и по компьютерной криминалистике.

Для исследований, демонстраций и разработки нам приходится ежемесячно приобретать множество устройств с iOS. Как правило, мы стараемся брать iPhone с умеренно свежим процессором (если не требуется самая свежая версия iOS или экзотическая комбинация программного и аппаратного обеспечения). Выход джейлбрейка checkra1n, работающего на старых устройствах независимо от версии iOS, открыл дополнительные возможности, позволяя нам разобраться во внутренностях самых свежих версий iOS, работающих на старых платформах.

Старые устройства недоступны в официальном магазине Apple, зато их можно приобрести в любом из множества онлайновых магазинов. Как правило, по низкой цене предлагаются устройства, описанные как «новые, в коробке, проверка при доставке».

(далее…)

Важность информации, создаваемой и хранящейся в современных смартфонах, невозможно переоценить. Всё чаще смартфон (а точнее — данные, которые он содержит) является той самой уликой, которая способна сдвинуть расследование с мёртвой точки. Кошельки с криптовалютами, пароли от сайтов, с которых распространяют нелегальные вещества, учётные записи от социальных сетей, через которые преступники осуществляют поиск клиентов и данные для входа в приватные чаты и программы мгновенного обмена сообщениями, через которые преступные группировки координируют свою деятельность — лишь малая часть того, что может оказаться (и, как правило, оказывается) в смартфоне подозреваемого.

В то же время производители смартфонов предпринимают серьёзные меры по защите информации. Сквозное шифрование и активное противодействие спецсредствам для разблокировки устройства и получения доступа к его содержимому, а также широко известные возможности по удалённому блокированию устройств и уничтожению информации заставляют специалистов тщательно соблюдать все правила техники безопасности. Узнать об этих правилах и о том, как сохранить информацию в изъятом устройстве и о шагах, которые нужно сделать для того, чтобы получить к ней доступ, вы сможете из этой статьи. Важное уточнение: речь в данной статье пойдёт в первую очередь о моделях  iPhone компании Apple.

(далее…)

Почему iPhone 7 работает быстрее Samsung Galaxy S7, а iPhone 8 – быстрее Galaxy S8? Если оставить в стороне оптимизацию (с которой у Samsung, честно говоря, просто беда), есть и различия в идеологии операционных систем, и байт-код JVM в Android. Действительно ли в конечном счете всё сводится к тому, что в Apple поддерживают ограниченный диапазон аппаратного обеспечения собственной разработки, что позволяет оптимизировать операционную систему до совершенства? Мы готовы поспорить с этим утверждением, приведя аргументы в пользу аппаратной начинки iPhone, одним из основных преимуществ которого были и остаются уникальные системы на чипе. Процессоры A10 и A11 заметно обгоняют в бенчмарках аналогичные предложения от Qualcomm в лице Snapdragon 820/821 и Snapdragon 835 соответственно. Почему так происходит? В чём заключается «магия Apple»? Оставив за бортом аргументы в стиле «Андроид лучше!», попробуем разобраться в причинах, которые привели к доминированию мобильных процессоров Apple над предложениями Qualcomm.

Фактор первый: исторический

Вспомним 2013 год. В арсенале Qualcomm – весьма удачные чипы Snapdragon 800, основанные на 32-разрядных ядрах Krait 400 собственной разработки. На этом чипе (и его последователе, Snapdragon 801) были выпущены десятки, если не сотни самых разнообразных моделей. На момент анонса у топового чипсета Qualcomm просто не было альтернатив: основанные на ядрах ARM Cortex A15 решения были прожорливы до чрезвычайности и не могли составить конкуренцию четырём кастомным ядрам Krait. Казалось бы, всё хорошо; Qualcomm – король горы, достаточно продолжать развивать удачную архитектуру. Казалось бы, что может пойти не так? (далее…)

НАШИ НОВОСТИ