Новый способ извлечения данных из «облака» позволяет следить за iPhone

Новый способ извлечения данных из «облака» позволяет следить за iPhone

Для того, чтобы извлечь данные из iPhone, нужно как минимум иметь доступ к самому iPhone. Или не обязательно? Действительно, ещё несколько лет назад извлечь информацию из смартфона можно было только имея устройство на руках. Появление «облачных» сервисов привело к постепенному смещению акцента в сторону дистанционных методов извлечения, а появление встроенных механизмов синхронизации данных через «облако» ещё больше повышает привлекательность дистанционного извлечения.

Какие же методы дистанционного извлечения данных из смартфонов iPhone и планшетов iPad доступны современному эксперту-криминалисту? Попробуем разобраться.

Резервные копии в iCloud

«Облачные» резервные копии – далеко не новость. Они появились в iOS ещё в восьмой версии. Именно в iOS 8 в iPhone и iPad был представлен удобный автоматический механизм для создания и восстановления резервных копий, работающий через «облако» iCloud. Год спустя этот механизм был переработан. В iOS 9 «облачные» резервные копии перекочевали из iCloud в iCloud Drive, что привело к ряду немаловажных последствий. Одним из таких последствий стало изменение срока действия двоичных маркеров аутентификации (о них – в отдельной статье), которые теперь не «сгорают» в течение считанных часов, а остаются действительными в течение длительного времени.

В «облачных» резервных копиях содержится почти полная информация об устройстве начиная со списка установленных приложений и их данных и заканчивая звонками и SMS-сообщениями пользователя. Информацию из «облака» можно скачать с помощью Elcomsoft Phone Breaker . Для доступа потребуются учётные данные пользователя (логин и пароль Apple ID, а также одноразовый пароль, если включена двухфакторная аутентификация). Альтернативный способ авторизации – двоичный маркер аутентификации, который можно извлечь с компьютера пользователя. Использование маркера аутентификации позволяет обойти и пароль, и дополнительную защиту методом двухфакторной авторизации.

Слабое место «облачных» резервных копий с точки зрения эксперта – их эпизодичность: резервные копии создаются и обновляются не чаще одного раза в сутки при совпадении ряда условий (телефон находится на зарядке, экран заблокирован, устройство подключено к известной сети Wi-Fi). Разумеется, пользователь может создать резервную копию и вручную, но рассчитывать на это во время следственных действий обычно не приходится. Если требуется доступ к актуальной информации, на помощь приходит механизм синхронизации данных iOS.

Синхронизированные данные и почему это важно

Итак, с «облачными» резервными копиями разобрались. В них содержится достаточно полная информация об устройстве за вычетом данных из keychain (шифруются ключом устройства, восстанавливаются только на тот же самый телефон) и некоторых других типов данных (например, сообщений электронной почты). В то же время по разным причинам актуальная резервная копия далеко не всегда бывает доступна. В случаях, когда нужна самая свежая информация о действиях пользователя, его актуальных контактах, звонках, заметках или истории открытых веб-страниц, на помощь приходит механизм синхронизации.

Механизм синхронизации актуальных данных между различными устройствами существует в iOS параллельно с «облачными» резервными копиями. Для синхронизации используется тот же облачный сервис iCloud, но отличаются протокол и реализация. Так, если резервные копии iPhone содержат большой массив данных, но создаются не чаще раза в день, то отдельные типы данных синхронизируются в режиме реального времени независимо от того, подключено ли устройство к зарядке и есть ли соединение с Wi-Fi. Объемы передаваемых данных невелики; синхронизируются звонки, заметки, календари, контакты, а также открытые вкладки в браузере Safari и история открытых пользователем веб-страниц.

В отличие от резервных копий, которые автоматически создаются с максимальной частотой раз в сутки, синхронизированные данные обновляются с минимальной задержкой. Часто не проходит и нескольких минут после звонка или открытия новой вкладки в Safari, как эти данные уже поступают на сервер Apple.

Сам факт наличия такой синхронизации малоизвестен и относительно слабо изучен. Наличие синхронизации не афишируется Apple, а способ её отключения не описан ни в одной справке Apple. Сам способ совершенно не очевиден: для выключения синхронизации требуется полностью выключить службы iCloud Drive, что ведёт к заметному ухудшению опыта использования устройства в целом.

Синхронизированные данные – а это звонки, в том числе звонки FaceTime, контакты, заметки, открытые в Safari вкладки и список посещённых веб-страниц, – невозможно извлечь штатными средствами. Эти данные должны поступать на другие устройства под управлением iOS, привязанные к той же учётной записи. Эти же данные можно скачать гораздо проще, воспользовавшись последней версией Elcomsoft Phone Breaker. В версии 6.30 как раз и появилась возможность извлечения из «облака» многих типов синхронизированных данных. Извлекаются синхронизированные журналы звонков, контакты, календари, заметки и история действий пользователя в браузере Safari, в том числе информация об открытых в браузере вкладках.

Так же, как и в случае с «облачными» резервными копиями, для доступа к синхронизированным данных потребуются учётные данные пользователя (логин и пароль Apple ID) или двоичный маркер аутентификации.

Использование синхронизированных данных открывает правоохранителям ряд возможностей, недоступных при использовании одних только резервных копий. Становится возможной слежка за подозреваемым, получение актуальных данных с минимальной задержкой.

Другой сценарий использования – дополнение данных, извлечённых из локальной или «облачной» резервной копии, более свежей и актуальной информацией, полученной с сервера Apple спустя минуты после её обновления на телефоне. Так, в нашумевшей истории с террористом из Сан-Бернардино самая свежая резервная копия в iCloud была месячной давности. ФБР пришлось заплатить большие деньги за взлом самого устройства исключительно для того, чтобы получить доступ к данным, предшествовавшим теракту. Возможно, извлечение и анализ синхронизированных данных могли бы помочь правоохранителям в получении требуемой информации.


Alt text