Для того, чтобы извлечь данные из iPhone, нужно как минимум иметь доступ к самому iPhone. Или не обязательно? Действительно, ещё несколько лет назад извлечь информацию из смартфона можно было только имея устройство на руках. Появление «облачных» сервисов привело к постепенному смещению акцента в сторону дистанционных методов извлечения, а появление встроенных механизмов синхронизации данных через «облако» ещё больше повышает привлекательность дистанционного извлечения.
Какие же методы дистанционного извлечения данных из смартфонов iPhone и планшетов iPad доступны современному эксперту-криминалисту? Попробуем разобраться.
Резервные копии в iCloud
«Облачные» резервные копии – далеко не новость. Они появились в iOS ещё в восьмой версии. Именно в iOS 8 в iPhone и iPad был представлен удобный автоматический механизм для создания и восстановления резервных копий, работающий через «облако» iCloud. Год спустя этот механизм был переработан. В iOS 9 «облачные» резервные копии перекочевали из iCloud в iCloud Drive, что привело к ряду немаловажных последствий. Одним из таких последствий стало изменение срока действия двоичных маркеров аутентификации (о них – в отдельной статье), которые теперь не «сгорают» в течение считанных часов, а остаются действительными в течение длительного времени.
В «облачных» резервных копиях содержится почти полная информация об устройстве начиная со списка установленных приложений и их данных и заканчивая звонками и SMS-сообщениями пользователя. Информацию из «облака» можно скачать с помощью Elcomsoft Phone Breaker . Для доступа потребуются учётные данные пользователя (логин и пароль Apple ID, а также одноразовый пароль, если включена двухфакторная аутентификация). Альтернативный способ авторизации – двоичный маркер аутентификации, который можно извлечь с компьютера пользователя. Использование маркера аутентификации позволяет обойти и пароль, и дополнительную защиту методом двухфакторной авторизации.
Слабое место «облачных» резервных копий с точки зрения эксперта – их эпизодичность: резервные копии создаются и обновляются не чаще одного раза в сутки при совпадении ряда условий (телефон находится на зарядке, экран заблокирован, устройство подключено к известной сети Wi-Fi). Разумеется, пользователь может создать резервную копию и вручную, но рассчитывать на это во время следственных действий обычно не приходится. Если требуется доступ к актуальной информации, на помощь приходит механизм синхронизации данных iOS.
Синхронизированные данные и почему это важно
Итак, с «облачными» резервными копиями разобрались. В них содержится достаточно полная информация об устройстве за вычетом данных из keychain (шифруются ключом устройства, восстанавливаются только на тот же самый телефон) и некоторых других типов данных (например, сообщений электронной почты). В то же время по разным причинам актуальная резервная копия далеко не всегда бывает доступна. В случаях, когда нужна самая свежая информация о действиях пользователя, его актуальных контактах, звонках, заметках или истории открытых веб-страниц, на помощь приходит механизм синхронизации.
Механизм синхронизации актуальных данных между различными устройствами существует в iOS параллельно с «облачными» резервными копиями. Для синхронизации используется тот же облачный сервис iCloud, но отличаются протокол и реализация. Так, если резервные копии iPhone содержат большой массив данных, но создаются не чаще раза в день, то отдельные типы данных синхронизируются в режиме реального времени независимо от того, подключено ли устройство к зарядке и есть ли соединение с Wi-Fi. Объемы передаваемых данных невелики; синхронизируются звонки, заметки, календари, контакты, а также открытые вкладки в браузере Safari и история открытых пользователем веб-страниц.
В отличие от резервных копий, которые автоматически создаются с максимальной частотой раз в сутки, синхронизированные данные обновляются с минимальной задержкой. Часто не проходит и нескольких минут после звонка или открытия новой вкладки в Safari, как эти данные уже поступают на сервер Apple.
Сам факт наличия такой синхронизации малоизвестен и относительно слабо изучен. Наличие синхронизации не афишируется Apple, а способ её отключения не описан ни в одной справке Apple. Сам способ совершенно не очевиден: для выключения синхронизации требуется полностью выключить службы iCloud Drive, что ведёт к заметному ухудшению опыта использования устройства в целом.
Синхронизированные данные – а это звонки, в том числе звонки FaceTime, контакты, заметки, открытые в Safari вкладки и список посещённых веб-страниц, – невозможно извлечь штатными средствами. Эти данные должны поступать на другие устройства под управлением iOS, привязанные к той же учётной записи. Эти же данные можно скачать гораздо проще, воспользовавшись последней версией Elcomsoft Phone Breaker. В версии 6.30 как раз и появилась возможность извлечения из «облака» многих типов синхронизированных данных. Извлекаются синхронизированные журналы звонков, контакты, календари, заметки и история действий пользователя в браузере Safari, в том числе информация об открытых в браузере вкладках.
Так же, как и в случае с «облачными» резервными копиями, для доступа к синхронизированным данных потребуются учётные данные пользователя (логин и пароль Apple ID) или двоичный маркер аутентификации.
Использование синхронизированных данных открывает правоохранителям ряд возможностей, недоступных при использовании одних только резервных копий. Становится возможной слежка за подозреваемым, получение актуальных данных с минимальной задержкой.
Другой сценарий использования – дополнение данных, извлечённых из локальной или «облачной» резервной копии, более свежей и актуальной информацией, полученной с сервера Apple спустя минуты после её обновления на телефоне. Так, в нашумевшей истории с террористом из Сан-Бернардино самая свежая резервная копия в iCloud была месячной давности. ФБР пришлось заплатить большие деньги за взлом самого устройства исключительно для того, чтобы получить доступ к данным, предшествовавшим теракту. Возможно, извлечение и анализ синхронизированных данных могли бы помочь правоохранителям в получении требуемой информации.
