Статьи по ключевому слову ‘jailbreak’

Совсем недавно мы представили новый способ извлечения данных из устройств iPhone и iPad. Агент-экстрактор — быстрый, безопасный и не требующий установки джейлбрейка способ извлечь полный образ файловой системы устройства и расшифровать все записи из Связки ключей. В свежей версии Elcomsoft iOS Forensic Toolkit мы существенно расширили список устройств, с которыми совместим агент-экстрактор. В новой версии инструментария агент-экстрактор доступен на устройствах iPhone и iPad поколений A9-A13, работающих под управлением всех версий от iOS 11.0 до iOS 13.3. Для старых моделей (iPhone 5s и 6) доступна поддержка iOS 11, 12-12.2 и 12.4. В этой статье приводится полная матрица совместимости моделей iPhone и iPad с новым методом извлечения данных.

Совместимость

Агент-экстрактор совместим со следующими комбинациями устройств и версий iOS:

  • iPhone 6s до iPhone X, iPad 5 и 6, iPad Pro 1 и 2 поколений: iOS/iPadOS 11.0 — 13.3
  • iPhone Xr, Xs, Xs Max, iPad Mini 5, iPad Air 3, iPad Pro 3, iPod Touch 7: iOS/iPadOS 12.0 — 13.3
  • iPhone 11, 11 Pro, 11 Pro Max: iOS 13.0 — 13.3

Следующие модели поддерживаются, если работают под управлением iOS 11-12.2 и iOS 12.4:

  • iPhone 5s, 6, 6 Plus
  • iPad Mini 2 и 3
  • iPad Air 1

Мы протестировали более 50 комбинаций устройств и версий iOS. К сожалению, некоторые комбинации аппаратного и программного обеспечения нам не удалось протестировать ввиду их отсутствия в лаборатории. В частности, работу агента на устройствах iPad Mini 4 и iPad Air 2 мы смогли протестировать с iOS 11 и iOS 12 — 12.2. В нашей лаборатории не нашлось устройств этих моделей, которые работали бы под управлением iOS 12.3, 12.4.1 и 13.

Требования

Требования достаточно просты: убедитесь, что устройство и версия iOS поддерживаются агентом-экстрактором и зарегистрируйтесь в программе Apple разработчиков (для чего это нужно). Разумеется, вам также потребуется свежая версия iOS Forensic Toolkit. Приложение достаточно просто в использовании; как его использовать с максимальной эффективностью, можно узнать, записавшись на тренинг.

Преимущества агента-экстрактора

Основное преимущество метода — его широкая совместимость с различными моделями iPhone и iPad. В будущем список поддерживаемых устройств планируется расширить как вперёд (в сторону более новых версий iOS), так и назад, в сторону iOS 10 и более старых.

Ещё одно преимущество агента-экстрактора — надёжность и безопасность. Принцип работы агента таков, что агент просто не может повредить работоспособности устройства. Худшее, что может случиться по вине агента-экстрактора — это перезагрузка устройства или ошибка при извлечении данных (справиться с ошибками поможет информация из секции «Возможные проблемы»). В редких случаях, когда агент не срабатывает с первого раза, рекомендуем просто повторить попытку.

Что насчёт лабораторной чистоты метода? Ответ зависит от того, что понимать под «лабораторной чистотой». Стандартное определение подразумевает, что лабораторно чистое извлечение данных позволяет использовать полученную информацию в качестве улик и доказательств в суде. Если пользоваться таким определением, то агент-экстрактор — действительно лабораторно чистый метод.

В то же время гарантировать абсолютную неизменность данных не может НИ ОДИН существующий метод, работающий на современных 64-разрядных устройствах iOS несмотря ни на какие заявления производителей соответствующих продуктов. Следы работы остаются всегда, как минимум — в виде записей в системных журналах.

Важное преимущество метода — скорость работы, достигающая на современных моделях iPhone 2.5 ГБ/мин. Такой скорости удалось добиться, отказавшись от использования SSH и перейдя на прямую передачу данных через порт USB.

Наконец, простота использования. Нет, это всё ещё не «решение одной кнопкой»; таких в настоящее время просто не существует. Мы постарались максимально упростить и автоматизировать процесс, и продолжаем работать в этом направлении.

И последнее. Агент-экстрактор позволяет расшифровать все записи из Связки ключей без исключения — в отличие от других методов, основанных на расшифровке резервных копий в формате iTunes, способных вернуть лишь часть записей. Просмотреть записи из Связки ключей можно при помощи Elcomsoft Phone Breaker:

Преимущества в сравнении с использованием джейлбрейка

Извлечь образ файловой системы и расшифровать Связку ключей можно и посредством джейлбрейка, в том числе для последних моделей iPhone и свежих версий iOS.

Установка джейлбрейка — небезопасный процесс, который может привести к блокировке устройства и невозможности загрузки. Кроме того, джейлбрейк модифицирует данные на устройстве, даже если это джейлбрейк rootless.

Недостатки агента в сравнении с джейлбрейком? Их нет — разумеется, если агент совместим с требуемой версией iOS. Единственное потенциальное исключение — джейлбрейк checkra1n, о котором ниже.

В iOS 13 доступ к некоторым файлам и папкам невозможен, если используется tar через ssh. У агента-экстрактора такой проблемы не возникает.

Наконец, мы сделали агент-экстрактор совместимым и с бета-версиями iOS 11-13.3, для которых джейлбрейки, как правило, не работают.

Преимущества в сравнении с извлечением через checkm8

Возможность извлечения данных с использованием уязвимости checkm8 представляет интерес, но дьявол кроется в деталях.

Во-первых, checkm8 совместим с ограниченным количеством устройств и версий iOS. Поддерживаются iPhone 5s — iPhone X и версии iOS от 12.3 и выше. Соответственно, работа с устройствами iPhone Xr, Xs, 11 и 11 Pro (и соответствующими поколениями iPad) невозможна. Кроме того, несмотря на то, что эксплуатируется аппаратная уязвимость, джейлбрейк checkra1n (и все актуальные реализаци извлечения через checkm8) не поддерживают iOS 12.2 и более старые версии.

Во-вторых, джейлбрейк checkra1n не является стопроцентно надёжным. Несмотря на огромное количество поддерживаемых в теории устройств, их число на практике оказывается значительно меньшим. Если возникает ошибка, с ней невозможно бороться. Скорость работы? Зачастую чрезвычайно низкая из-за использования ssh и некоторых других вещей. В некоторых случаях процесс извлечения безрезультатно работал неделями.

Преимущества? Их два. Использование checkra1n/checkm8 не требует регистрации Apple ID в программе для разработчиков; доступно частичное извлечение в режиме BFU (Before First Unlock, до первой разблокировки) для устройств с неизвестным паролем. Мы поддерживаем джейлбрейк checkra1n в iOS Forensic Toolkit для частичного извлечения файловой системы из заблокированных устройств.

Как использовать. Возможные проблемы

Ознакомьтесь с инструкцией к iOS Forensic Toolkit и двумя статьями из нашего блога:

Работать с инструментарием достаточно просто. Мы описали процесс в статье Извлечение данных из iPhone без джейлбрейка (iOS 11-12):

  • Переведите устройство в режим полета и подключите его к компьютеру с EIFT.
  • Установить доверительные отношения (потребуется подтвердить запрос на телефоне).
  • Установите агент-экстрактор через EIFT. Вам нужно будет ввести Apple ID и пароль приложения для учетной записи, зарегистрированной в программе Apple для разработчиков; затем — TeamID. Обратите внимание, что для подписи агента требуется подключение к Интернету на вашем компьютере (но не на устройстве iOS, которое должно всегда оставаться в автономном режиме).
  • После установки агента отключите все подключения к Интернету на компьютере, на котором выполняется работа.
  • Настройте агент-экстрактор на устройстве iOS и оставьте его работать в качестве активного приложения.
  • Извлеките Связку ключей и создайте образ файловой системы. Во время извлечения Связки ключей вам нужно будет ввести пароль на устройстве.
  • Удалите агент.

В случае возникновения ошибки (например, сообщения «Can’t connect to device on specified port» в EIFT), просто перезагрузите устройство. Перед тем, как запустить агент-экстрактор, подождите как минимум одну минуту после загрузки устройства.

В устройствах Apple, работающих под управлением операционной системы iOS (а это – и смартфоны iPhone, и планшеты iPad, и даже приставки Apple TV и часы Apple Watch) встроен ряд специальных режимов, представляющих особый интерес для специалистов, работающих в области мобильной криминалистики. Использование таких режимов, как режим восстановления (recovery mode) и режим обновления прошивки (DFU) позволяет как извлекать информацию, так и взламывать некоторые устройства. Специальный режим экстренного вызова SOS, напротив, способен затруднить работу специалиста. Сегодня мы расскажем о том, как работают, для чего используются и как могут повлиять на работу специалиста режимы обновления прошивки, восстановления и экстренного вызова.

Режим восстановления: recovery mode

Режим восстановления (в англоязычных источниках – iOS recovery mode) – самый простой для понимания. Согласно информации Apple, этот режим используется для восстановления доступа к устройству через компьютер (имеется в виду приложение iTunes) в случае, когда что-то пошло не так.

Данный режим имеет смысл использовать в следующих ситуациях:

  • Компьютер не распознает устройство или сообщает, что оно находится в режиме восстановления.
  • Устройство не загружается. На экране уже несколько минут отображается логотип Apple без индикатора хода выполнения или отображается экран режима восстановления. Такая ситуация довольно часто встречается при попытке обновить устройство при недостатке свободного места или при обновлении устройства, работающего на очень старой версии iOS. Так, недавно нам принесли устройство, пользователь которого попытался обновить на актуальную версию iOS3 телефон iPhone 7, всё это время проработавший на iOS 9.
  • Пользователь забыл код блокировки и хочет сбросить устройство к заводским настройкам. При этом будет активирована защита в виде iCloud lock: для активации устройства потребуется ввести пароль от учётной записи Apple ID, к которой было привязано устройство перед сбросом.

Перевод устройства в режим восстановления

В отличие от режима DFU, режим восстановления отлично документирован. Для перевода устройства в этот режим необходимо выполнить принудительную перезагрузку, после чего выполнить следующие действия.

  1. Принудительно перезагрузите подключенное устройство, следуя инструкциям. Не отпускайте кнопки, когда появится логотип Apple, — дождитесь, пока откроется экран режима восстановления.
  2. На моделях iPad с Face ID: нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Нажмите верхнюю кнопку и удерживайте ее, пока устройство не начнет перезагружаться. Продолжайте удерживать верхнюю кнопку, пока устройство не перейдет в режим восстановления.
  3. На iPhone 8 или более поздних моделей: нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Затем нажмите и удерживайте боковую кнопку, пока не появится экран режима восстановления.
  4. На iPhone 7, iPhone 7 Plus и iPod touch (7-го поколения): одновременно нажмите и удерживайте верхнюю (или боковую) кнопку и кнопку уменьшения громкости. Продолжайте удерживать их, пока не появится экран режима восстановления.
  5. На iPad с кнопкой «Домой», iPhone 6s или более ранних моделей и iPod touch (6-го поколения) или более ранних моделей: нажмите и удерживайте одновременно кнопку «Домой» и верхнюю (или боковую) кнопку. Продолжайте удерживать их, пока не откроется экран режима восстановления.

 

(Источник: https://support.apple.com/ru-ru/HT201263)

Для чего используется режим восстановления

Режим восстановления (recovery mode) может быть использован в следующих целях.

  1. Переустановка или обновление iOS (установить можно только актуальную версию iOS, которая подписывается Apple на момент установки). Как правило, данные пользователя при этом сохраняются.
  2. Переход с бета-версии на актуальную версию iOS. В этом случае данные сохраняются не всегда.
  3. Сброс устройства. Часто используется пользователями, которые забыли пароль, а также пользователями, устройство которых заблокировано с индикацией «Подключите устройство к iTunes». Данные пользователя также будут сброшены.
  4. Частичное извлечение данных через режим recovery mode. Для работу потребуется свежая версия iOS Forensic Toolkit (EIFT10 или более новая).

Данные, которые можно извлечь в режиме восстановления

Режим восстановления позволяет извлечь лишь ограниченное количество информации об устройстве. Доступны следующие данные:

Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: XXXXXXXXXXX
IMEI: XXXXXXXXXXXXXXX
MODE: Recovery

Пояснения:

  • Device model и Model: идентификация модели устройства в двух разных представлениях. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п.
  • ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
  • Serialnumber: серийный номер устройства в формате XXXXXXXXXXX (или N/A)
  • IMEI: XXXXXXXXXXXXXXX (или N/A). Обратите внимание: как правило, информация об IMEI устройства системой не выдаётся даже тогда, когда в него вставлена SIM-карта.
  • Mode: индикация режима, в данном случае – Recovery, режим восстановления.

Выход из режима восстановления

Процедура вывода устройства из режима восстановления также различается для разных поколений устройств. Общие для всех устройств шаги:

  • Отсоедините кабель USB.
  • Зажмите и удерживайте кнопку питания до отключения устройства.
  • Чтобы включить устройство, продолжайте удерживать комбинацию кнопок или отпустите, а потом снова зажмите указанные кнопки.
  • Отпустите кнопки. Устройство начнёт загружаться.

В случае, если штатным образом вывести устройство из режима восстановления не удаётся, воспользуйтесь следующей процедурой.

  • iPhone 6s и более старые модели, модели iPad с Touch ID: зажмите и удерживайте кнопки «Домой» и кнопку выключения питания, пока устройство не перезагрузится.
  • iPhone 7 и iPhone 7 Plus: удерживайте кнопку выключения питания и уменьшения громкости до перезагрузки.
  • iPhone 8 и более новые: короткое нажатие Громкость+, короткое нажатие Громкость-, затем удерживать кнопку отключения питания до перезагрузки.

Использование режима восстановление в целях мобильной криминалистики

С точки зрения эксперта-криминалиста, режим восстановления обладает ограниченной ценностью.

  • Можно узнать информацию об устройстве, не зная пароля.
  • Режим блокировки USB не влияет на результат.
  • Для новых устройств, основанных на процессоре A12 и более новых, возвращает больше информации, чем режим DFU.

Интересный момент: при установке джейлбрейка checkra1n с использованием встроенной утилиты установки программа сначала переводит устройство в режим восстановления, а потом выдаёт инструкции для переключения устройства в режим DFU. Этот промежуточный шаг можно пропустить, если устанавливать checkra1n из командной строки.

Режим обновления прошивки DFU

В отличие от режима восстановления, для режима обновления прошивки DFU отсутствует какая-либо официальная документация. Последовательность шагов для перевода устройства в режим DFU отличается для устройств разных поколений, а сам процесс значительно сложнее. Для успешного перехода в этот режим требуется в точности выдерживать заданные задержки. Если недодержать или передержать кнопки в процессе выполнения инструкций, устройство просто перезагрузится.

Режим DFU – часть загрузочного процесса, которая прошита в устройства Apple на аппаратном уровне. Прошивка на аппаратном уровне не позволяет компании обновлять соответствующий код. Уязвимость, обнаруженная в устройствах, основанных на процессорах поколений A7 — A11, позволяет взломать устройство и извлечь часть данных даже тогда, когда код блокировки устройства неизвестен. Подробности в статье BFU Extraction: Forensic Analysis of Locked and Disabled iPhones.

Ниже приводится информация о переводе в режим DFU ряда устройств, для которых нам удалось найти соответствующие инструкции. Обратите внимание: в режиме DFU экран устройства останется чёрным; никакого визуального подтверждения перехода в режим DFU вы не увидите. Ресурс iPhone Wiki содержит актуальную информацию по переводу устройств в режим DFU.

Apple TV

  1. Подключите устройство к компьютеру кабелем USB.
  2. Принудительно перезагрузите устройство, зажав кнопки «меню» и «вниз» на 6-7 секунд.
  3. Зажмите кнопки «меню» и «проигрывание» сразу после перезагрузки. Продолжайте удерживать кнопки, пока в iTunes не появится сообщение о том, что обнаружено устройство Apple TV в режиме восстановления.

Устройства с процессорами A9 и более старые (ряд моделей iPad, iPhone 6s и более старые, iPhone SE и iPod touch 6 и более старые)

  1. Подключите устройство к компьютеру кабелем USB.
  2. Зажмите кнопки «Домой» и питания.
  3. Ровно через 8 секунд отпустите кнопку питания, продолжая удерживать кнопку «Домой».
    • Если на экране появилось «яблоко» Apple, вы удерживали кнопку питания слишком долго. Повторите попытку.
  4. При успешном входе в режим DFU экран остаётся чёрным. В iTunes отобразится сообщение о том, что обнаружено устройство в режиме восстановления.
    • Если экран устройства не чёрный, вероятно, устройство загружено в режиме восстановления, а не DFU. Повторите попытку.

Альтернативный способ 1:

  1. Удерживайте кнопку питания 3 секунды
  2. Продолжая удерживать кнопку питания, удерживайте кнопку «Домой» (15 сек)
  3. Отпустите кнопку питания. Продолжайте удерживать кнопку «Домой» (10 сек)
  4. Устройство должно перейти в режим DFU

Альтернативный способ 2:

  1. Подключите устройство к компьютеру и запустите iTunes. Выключите устройство.
  2. Удерживайте нажатой кнопку блокировки и кнопку «Домой» ровно 10 секунд, затем отпустите кнопку блокировки.
  3. Продолжайте удерживать кнопку «Домой», пока iTunes на вашем компьютере не покажет сообщение о том, что устройство в режиме восстановления было обнаружено.

Экран устройства останется полностью черным.

Устройства с процессором A10 devices (iPhone 7 и iPhone 7 Plus, iPad 2018, iPod touch 7)

  1. Подключите устройство к компьютеру с помощью USB-кабеля.
  2. Нажмите и удерживайте боковую кнопку и кнопку уменьшения громкости.
  3. Через 8 секунд отпустите боковую кнопку, продолжая удерживать нажатой кнопку уменьшения громкости.
  4. Если появляется логотип Apple, боковая кнопка удерживалась слишком долго.
    • Если устройство успешно перешло в режим DFU, экран остаётся чёрным. iTunes выведет сообщение, что обнаружено устройство в режиме восстановления.

Если на экране устройства отображается сообщение о подключении устройства к iTunes, повторите процедуру.

Устройства с процессором A11 и более новые (iPhone 8 и новее, iPad Pro 2018, iPad Air 2019, iPad Mini 2019)

  1. Подключите устройство к компьютеру с помощью USB-кабеля.
  2. Нажмите и сразу отпустите увеличения громкости.
  3. Нажмите и сразу отпустите кнопку уменьшения громкости.
  4. Удерживайте боковую кнопку, пока экран не станет черным, затем нажмите боковую кнопку и кнопку уменьшения громкости одновременно.
  5. Ровно через 5 секунд отпустите боковую кнопку, продолжая удерживать нажатой кнопку уменьшения громкости.
    • Если появляется логотип Apple, боковая кнопка удерживалась слишком долго. Повторите процедуру.

Если устройство успешно перешло в режим DFU, экран остаётся чёрным. iTunes выдаст сообщение, что обнаружено устройство в режиме восстановления.

Если на вашем устройстве отображается экран с сообщением о подключении устройства к iTunes, повторите процедуру.

Дополнительная информация: iphonewiki и другие источники.

Информация, доступная в режиме DFU

Если не учитывать джейлбрейк checkra1n, то режим DFU возвращает ещё меньше информации даже в сравнении с режимом восстановления.

Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: N/A
IMEI: N/A
MODE: DFU

Режим DFU поддерживает iOS Forensic Toolkit 4.10 и более новые версии.

  • Devicemodel и Model: идентификация модели устройства в двух разных представлениях. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п.
  • ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
  • Serialnumber: в режиме DFU недоступен.
  • IMEI: в режиме DFU недоступен.
  • Mode: индикация режима, в данном случае – DFU, режим обновления прошивки.

Выход из режима DFU

Процесс выхода из режима DFU также различен для разных устройств.

Для устройств с физической кнопкой «Домой» (вплоть до iPhone 6s и iPhone SE включительно): удерживайте кнопку «Домой» и кнопку блокировки до перезагрузки устройства.

Для iPhone 7 и iPhone 7 Plus: удерживайте боковую кнопку и кнопку уменьшения громкости, пока устройство не перезагрузится.

Для iPhone 8 и iPhone 8 Plus, iPhone X: нажмите кнопку увеличения громкости, затем кнопку уменьшения громкости, после чего нажмите и удерживайте боковую кнопку, пока устройство не перезагрузится.

Значение режима DFU для мобильной криминалистики

Несмотря на скудность доступной в режиме DFU информации, он имеет неожиданные последствия. Значение режима обновления прошивки для мобильных криминалистов сложно переоценить. В зависимости от модели устройства, вам может быть доступен вариант с установкой джейлбрейка checkra1n даже тогда, когда пароль от устройства неизвестен. Для устройств iPhone, iPod Touch и iPad на базе процессоров Apple поколений от A5 до A11 (это устройства iPhone от iPhone 4s до iPhone 8, 8 Plus и iPhone X включительно, а также соответствующие модели iPad) была обнаружена аппаратная уязвимость в загрузчике. Эту уязвимость невозможно исправить, т.к. её код прошит в режиме «только для чтения». Уязвимость позволяет устанавливать джейлбрейк checkra1n независимо от установленной версии iOS. В своб очередь checkra1n позволяет извлекать ограниченный, но существенный объём данных в режиме DFU, даже если пароль неизвестен.

  • Все устройства: позволяет получать информацию об устройстве без пароля
  • Все устройства: позволяет обойти ограниченный режим USB (доступно ограниченное количество информации)
  • Устройства iOS с уязвимостью checkm8 (поколения от A5 до A11): доступно значительно больше информации по сравнению с режимом восстановления.

Известно, что преступники используют эту уязвимость для снятия блокировки активации (iCloud lock) с уязвимых устройств, работающих под управлением старых версий iOS. Несмотря на то, что эта возможность была исправлена Apple в iOS 13.3, вскоре появились решения как для iOS 13.3, так и для 13.3.1. Похоже на то, что защита от кражи iPhone (iCloud Lock) стала неэффективной для устройств Apple вплоть до моделей iPhone 8, 8 Plus и iPhone X включительно.

Из уязвимых устройств удаётся извлечь следующую информацию:

  • Ограниченное извлечение файловой системы: список установленных приложений, некоторые данные Wallet, список подключений Wi-Fi, некоторые мультимедийные файлы, уведомления (в них могут содержаться некоторые сообщения чатов, одноразовые пароли и другие полезные данные) и множество точек местоположения.
  • Записи из Связки ключей с атрибутами kSecAttrAccessibleAlways и kSecAttributeAccessibleAlwaysThisDeviceOnly.
  • Кроме того, набор программ Oxygen Forensic Detective извлекает дополнительные данные из таких файлов, как /private/var/wireless/Library/Databases/DataUsage.sqlite (сетевая активность приложений), /private/var/preferences/ (сетевые интерфейсы) или /private/var/mobile/Library/Voicemail/ (голосовые сообщения).

Дополнительная информация: BFU Extraction: Forensic Analysis of Locked and Disabled iPhones и iOS Device Acquisition with checkra1n Jailbreak.

Различия между режимами восстановления и DFU

Несмотря на то, что оба режима DFU и восстановления (recovery mode) предназначены для одной и той же цели (восстановления устройства посредством перепрошивки), различий между ними гораздо больше.

Режим восстановления загружается посредством загрузчика iBoot, и работает посредством команд, исполняемых загрузчик. Загрузчик, в свою очередь, является частью операционной системы и может быть обновлён компанией Apple, если последняя обнаружит в нём какие-либо уязвимости. Режим восстановления позволит прошить только подписанные образы, поэтому возврат к прошивке, которая больше не подписывается Apple, невозможен. Когда устройство находится в режиме восстановления, пользователь получает чёткую индикацию на устройстве.

Режим обновления прошивки DFU (Device Firmware Upgrade) также позволяет восстанавливать устройства, однако способен проделать это из любого состояния, даже если повреждён сам загрузчик. DFU раз и навсегда прошивается в устройство как часть SecureROM. В результате DFU не может быть обновлён; в нём невозможно исправить ошибки и уязвимости, его нельзя и отключить. В результате Apple не в состоянии исправить широко известную уязвимость в bootrom и соответствующий эксплойт checkm8. Это позволяет экспертам извлекать определённые данные из уязвимых устройств, обходя при этом защиту паролем и ограничения USB.

Впрочем, установить неподписанный образ через DFU не удастся: в этом режиме также принимаются только подписанные прошивки. Однако, в отличие от режима восстановления, вы можете свободно понижать или повышать версию iOS при условии, что выбранный вами образ подписывается Apple. Ещё одно отличие состоит в том, что при работе DFU нет никакой индикации на экране устройства. Всё время работы в DFU экран устройства остаётся чёрным.

Режим восстановления был разработан для того, чтобы им могли воспользоваться обычные пользователи продуктов Apple. Режим DFU не предназначен для конечного пользователя. Вход в режим восстановления прост; любой пользователь может успешно воспользоваться режимом. Войти в DFU не только значительно сложнее, но и потребует некоторой сноровки и внимания со стороны эксперта. Стоит передержать или недодержать кнопку во время любого шага, и устройство перезагрузится.

Режим экстренного вызова S.O.S.

Последний специальный режим iOS, о котором мы хотим рассказать, носит название SOS. Режим SOS (режим экстренного вызова) можно активировать вручную; на сайте Apple есть вся необходимая документация.

Вход в режим SOS

Для iPhone 8 и более поздних моделей переход в режим SOS выполняется следующим образом:

Нажмите и удерживайте боковую кнопку и одну из кнопок регулировки громкости до тех пор, пока не появится ползунок «Экстренный вызов — SOS».

Для iPhone 7 и более ранних моделей:

Быстро нажмите боковую (или верхнюю) кнопку пять раз. Появится ползунок «Экстренный вызов — SOS». (В Индии потребуется нажать кнопку только три раза, после чего iPhone автоматически наберёт номер служб экстренной помощи.)

Обратите внимание: переход в режим SOS временно блокирует биометрическую аутентификацию; для разблокировки экрана необходимо ввести пароль. Кроме того, использование режима SOS активирует режим ограничений USB.

Выход из режима SOS

Для выхода из режима SOS просто нажмите «Отмена» на соответствующем экране. Для разблокировки экрана необходимо будет ввести пароль.

Значение режима SOS для мобильной криминалистики

В отличие от режимов восстановления и DFU, режим способен доставить криминалистам лишь неудобства.

  • Устройство переводится в состояние BFU (Before First Unlock), ключи шифрования удаляются из памяти. Извлечение данных в режиме AFU (After First Unlock) становится невозможным даже для устройств со старыми (до 11.4 включительно) версиями iOS.
  • Биометрические способы аутентификации (Touch ID и Face ID) временно блокируются. Устройство должно быть разблокировано паролем.
  • Отключается передача данных через порт USB (активируется режим ограничения USB). Фактически, таким образом Apple пытается защитить пользователя от решений для перебора кодов блокировки, предлагаемых такими компаниями, как Cellebrite и GrayShift.

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

(далее…)

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

(далее…)

В конце 2017 года специалист проекта Google Project Zero опубликовал информацию об уязвимости, присутствующей во всех версиях iOS 10 и 11 вплоть до 11.1.2. Как правило, подобные публикации ограничиваются исключительно информацией об уязвимости, но на сей раз специалист опубликовал всё до мельчайших деталей. Был создан и опубликован даже исходный код инструмента, который демонстрировал эксплуатацию этой уязвимости с целью эскалации привилегий. На основе этого кода были созданы как публично доступные jailbreak для указанных версий iOS, так и приватные эксплойты, которые используются в ряде криминалистических инструментов для получения доступа к файловой системе iOS. Чем грозит существование уязвимости (и работоспособных джейлбрейков) обычным пользователям и чем она может быть полезна для экспертов-криминалистов? Попробуем разобраться. (далее…)

НАШИ НОВОСТИ