Elcomsoft iOS Forensic Toolkit

Уникальный механизм низкоуровневого доступа позволяет извлечь существенное количество информации из устройств, оборудованных сопроцессором Secure Enclave. Извлекается как полный образ файловой системы устройства в формате TAR, так и содержимое связки ключей. Для устройств поколений iPhone 5s...iPhone X извлечение файловой системы и расшифровка связки ключей доступны независимо от установленной на устройство версии iOS (за исключением iOS 16 на iPhone 8/8 Plus/X)

Для старых моделей iPhone, включающих 32-разрядные iPhone 3GS, 4, 4s, 5 и 5c и устройства на аналогичных чипах, доступна полноценная поддержка, включающая как взлом кода блокировки, так и создание точного образа раздела данных, извлечение и расшифровку связки ключей.

Инструментарий позволяет подобрать код блокировки экрана к перечисленным устройствам, что позволяет разблокировать такие устройства с неизвестным паролем. Атака работает с максимально возможной скоростью. Всё, что требуется для её проведения - компьютер под управлением macOS и обычный кабель USB - Lightning (кабели Lightning - Type-C не поддерживаются); для модели iPhone 4s дополнительно потребуется микроконтроллер Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта.

Скорость перебора паролей - максимально возможная для аппаратной платформы. Все возможные комбинации паролей из 4 цифр перебираются за 12 минут (iPhone 5/5c); для более старых устройств скорость перебора ниже. Реальное время разблокировки, как правило, меньше. Для 32-битных устройств данные извлекаются даже для устройств, которые попали в лабораторию в состоянии блокировки после 10 неверных попыток ввода пароля.

Обратите внимание: Поддержка iPhone 3GS, 4, 4s, 5 и 5c доступна в редакциях для Mac и Linux. Поддержка iPhone 4s реализована посредством аппаратного модуля - микроконтроллера Raspberry Pi Pico со специальной прошивкой, которая входит в состав продукта. Плата микроконтроллера приобретается отдельно. Для моделей, работающих под управлением iOS 4-7, физический анализ возможен без взлома кода блокировки. Оценки времени восстановления кода блокировки приведены для iPhone 5/5c; для более старых устройств скорость атак ниже.

Для доступа к данным устройств iPhone и iPad в процессе низкоуровневого извлечения используется специализированная программа-агент собственной разработки. Использование агента-экстрактора позволяет быстро, эффективно и максимально безопасно извлечь полный образ файловой системы и расшифровать связку ключей с использованием программного агента собственной разработки.

Использование агента собственной разработки позволяет сделать процесс анализа значительно более удобным и совершенно безопасным, а набор получаемых с его помощью данных соответствует тому, который получается в процессе физического анализа посредством эксплойта загрузчика. Агент не модифицирует системный раздел устройства и пользовательские данные, не перемонтирует файловую систему и не оставляет явных следов работы; худшее, что может произойти с устройством – перезагрузка в штатном режиме. При извлечении данных автоматически подсчитываются и сохраняются хэш-суммы. Кроме того, использование агента позволило добиться максимально возможной для каждой модели скорости передачи данных – до 2.5 ГБ в минуту. По завершении работы агент удаляется с устройства одной командой.

Помимо полного извлечения файловой системы доступен режим экспресс-извлечения. В этом режиме из файловой системы извлекаются только данные пользователя, но не файлы операционной системы. Экспресс-режим позволяет сэкономить время и место на диске и упростить анализ извлечённых данных.

Для установки агента потребуется учётная запись Apple ID. Можно использовать как обычные Apple ID, так и учётные записи, зарегистрированные в программе Apple для разработчиков.

Извлечение данных непосредственно из часов Apple Watch позволяет оперативно получить доступ к важной информации, включая фотографии с метаданными EXIF, включающими данные о местоположении. В устройствах Apple Watch и Apple TV не предусмотрены локальные резервные копии в формате iTunes. Соответственно, в список доступных для извлечения данных входят медиа-файлы, системные журналы диагностики и Apple Unified Logs, данные приложений и информация об устройстве. Единственная альтернатива использованию iOS Forensic Toolkit – создание резервной копии iPhone, к которому привязаны часы Apple Watch.

• Для доступа к данным часов Apple Watch до модели S6 включительно необходимо проводное подключение устройства к компьютеру через отладочные контакты с использованием стороннего отладочного кабеля IBUS.
• Для моделей Apple Watch S7 и выше, SE2, Ultra 1 и Ultra 2 требуется специальный беспроводной адаптер.
• Низкоуровневое извлечение через эксплойт загрузчика для моделей Apple Watch S0..S3
• Логическое извлечение для всех существующих моделей Apple Watch S0..S10, Ultra, Ultra 2, SE1 и SE2

С устройств Apple TV зачастую возможно извлечение фотографий, если в учётной записи пользователя активирован сервис iCloud Photos. Устройства Apple TV не могут быть защищены кодом блокировки, что позволяет извлечь фотографии даже в случаях, когда телефон пользователя заблокирован, а пароль от iCloud неизвестен. Кроме того, для устройств Apple TV поддерживается извлечение связки ключей.

Для приставок Apple TV 4K первого поколения и более старых, а также часов Apple Watch поколений от S0 до S3 включительно доступен криминалистически чистый способ извлечения через эксплойт загрузчика. Для ряда моделей понадобятся специализированные адаптеры.

Криминалистически чистое извлечение доступно и для умных колонок HomePod первого поколения, в которых используется чип с уязвимостью checkm8. Для подключения к диагностическому порту потребуется частичная разборка устройства и адаптер, который можно распечатать на 3D-принтере.

У низкоуровневого метода извлечения данных есть ограничения по моделям и версиям iOS. Эти ограничения возможно обойти, использовав логическое извлечение данных.

Данные, полученные в результате логического извлечения, можно проанализировать в Elcomsoft Phone Viewer или сторонних приложениях, поддерживающих формат данных iTunes. Если полученная резервная копия зашифрована неизвестным паролем, нужно использовать Elcomsoft Phone Breaker для подбора пароля и расшифровки данных.

Если пароль на резервную копию не установлен, iOS Forensic Toolkit автоматически установит временный пароль «123», который сбрасывается по завершении процедуры. Использование временного пароля позволит успешно расшифровать keychain, который в противном случае был бы зашифрован аппаратным ключом.

При помощи iOS Forensic Toolkit можно быстро извлечь полный набор медиа-файлов, включая фотографии, видеоролики, книги и другие медиа-данные. Данный режим предлагает оперативную альтернативу созданию резервных копий. Медиа-файлы успешно извлекаются во всех случаях, даже если установлен неизвестный пароль на резервные копии iTunes.

В рамках логического анализа поддерживается извлечение двух типов журналов: sysdiagnose и Unified Logs. Журналы sysdiagnose необходимо предварительно генерировать (как правило, при помощи комбинации кнопок на устройстве); в них попадает детальная информация о периоде в 24 часа до момента создания логов. Журналы Unified Logs покрывают существенно больший промежуток времени - как правило, порядка 10 дней для большинства типов записей (точное время жизни записей зависит от системных констант).

Поддержка режимов обновления прошивки (DFU), восстановления (Recovery) и диагностики (Diagnostic) позволяет анализировать устройства, заблокированные после десяти неудачных попыток разблокировки, а также устройства с активированным режимом ограничений USB. Из устройств в режиме восстановления можно извлечь информацию об идентификаторе модели, ECID/UCID, серийном номере устройства, а в некоторых случаях - и его IMEI. Кроме того, в режиме восстановления определяется версия загрузчика (bootloader), что позволяет определить точную версию iOS либо диапазон версий iOS, под управлением которых может работать устройство.

В отличие от ранее используемых методов расшифровки, Elcomsoft iOS Forensic Toolkit работает с устройством напрямую, что позволяет расшифровывать данные «на лету». При наличии исследуемого устройства становится возможным извлечь из устройства оригинальные ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.

Elcomsoft iOS Forensic Toolkit предоставляет криминалистам полный доступ к информации, хранящейся в защищённом системном хранилище - связке ключей. В системном хранилище записываются такие данные, как логины и пароли к сайтам, почте, программам и прочим ресурсам. Расшифровка данных из связки ключей должна осуществляться на устройстве, экран которого остаётся разблокированным в течение всего процесса. Для поддержания экрана в разблокированном состоянии в состав iOS Forensic Toolkit включена соответствующая утилита, отключающая автоматическую блокировку экрана.

Использование одноплатного микроконтроллера Raspberry Pi Pico позволяет автоматизировать рутинные процедуры.

Авто-DFU

Эта возможность позволяет переводить iPhone 8, 8 Plus и iPhone X в режим DFU в автоматическом режиме. Стандартная процедура перевода в режим DFU требует последовательного нажатия кнопок на устройстве и точного соблюдения таймингов; новый же способ перевода в DFU максимально прост, корректно переводя в режим DFU в том числе и устройства с отказавшими кнопками.

Скриншоты с прокруткой

Использование Raspberry Pi Pico позволяет частично автоматизировать процесс снятия «длинных» снимков экрана (скриншотов с прокруткой). Полуавтоматический режим снятия скриншотов доступен для всех моделей iPhone и версий iOS.

Автоматизацию снимков экрана можно рассматривать как ещё один способ доступа к данным, позволяющий извлечь информацию, недоступную в рамках расширенного логического анализа (например, историю переписки в защищённых программах мгновенного обмена сообщениями). Этот способ доступа дополняет набор дынных, доступный через расширенное логическое извлечение.

Функциональный файрволл для безопасной установки агента

При установке агента-экстрактора на устройства iOS операционная система может потребует верифицировать цифровую подпись, подключившись к серверу Apple. Установка соединения с сервером несёт риск искажения цифровых улик в в процессе нежелательной синхронизации с облаком, а в худшем случае грозит потенциальной удалённой блокировкой устройства или уничтожением данных. Использование Raspberry Pi с нашей прошивкой позволит безопасно установить агент-экстрактор, верифицировав цифровую подпись при заблокированном доступе в интернет для исследуемого устройства.