En mi nuevo blog sobre Habré, quiero compartir información única sobre cómo extraemos exactamente los datos de los teléfonos inteligentes. En nuestro propio sitio, publicamos una serie de artículos sobre este tema, contando, al parecer, todo lo posible sobre las formas de extraer datos de los teléfonos inteligentes y tabletas Apple. El análisis lógico, la extracción de nubes y el análisis de extracción física de bajo nivel tienen fortalezas y debilidades; Trataré de hablar sobre ellos en las siguientes publicaciones.
Supongo que nunca me cansaré de hablar sobre los beneficios del análisis físico. Aquí está el acceso a todos los contenidos del sistema de archivos y el descifrado de todas las entradas del llavero (y estas son contraseñas, incluidas, por cierto, las contraseñas para billeteras de criptomonedas y chats "secretos"). Aquí, extraer datos de todas las aplicaciones (y no solo de aquellos cuyos desarrolladores permitieron hacer copias de seguridad) y acceder a mensajes de correo electrónico descargados, salas de chat y correspondencia en una amplia variedad de aplicaciones, incluidas las bien protegidas (a mano, los usuarios de Telegram y Signal agitarán nuestras manos).
¿Cómo llegar a lo más interesante? Por supuesto, necesitamos acceso de bajo nivel a los datos, lo cual es imposible sin obtener derechos de superusuario. ¿Y cómo obtener derechos de superusuario? Si no es un empleado de la policía o de servicios especiales de EE. UU., Israel o la UE, entonces solo hay una opción: instalar un jailbreak. Hoy hablaré sobre los riesgos y las consecuencias del análisis físico de los dispositivos asociados con el uso de jailbreak para extraer datos.
¿Para qué sirve el jailbreak?
Probablemente todos sepan qué es un jailbreak para iOS y cómo se diferencia de la raíz para Android (pista: para casi todos). Jailbreak es el nombre colectivo de la clase de aplicación para el sistema operativo iOS, que permite la ampliación de privilegios para obtener derechos de superusuario en el dispositivo. La escalada de privilegios se lleva a cabo utilizando errores en el sistema de seguridad iOS. Dado el hecho de que los desarrolladores de Apple corrigen rápidamente los errores con el lanzamiento de actualizaciones de iOS, el lanzamiento de nuevas y nuevas herramientas de jailbreak es un proceso continuo.
Los investigadores independientes utilizan jailbreaks para analizar los sistemas de seguridad de iOS y los usuarios entusiastas que tienen la oportunidad de modificar la apariencia y el comportamiento del sistema, así como instalar aplicaciones de fuentes de terceros además de la tienda oficial de aplicaciones de Apple. Para nosotros, estas oportunidades son superfluas; todo lo que necesitamos es acceso al dispositivo a través de SSH y, por supuesto, acceso completo al sistema de archivos.
Por lo tanto, en nuestro laboratorio (así como en los laboratorios de expertos forenses), los jailbreaks se utilizan para obtener acceso ilimitado al sistema de archivos, extraer datos de iPhone y iPad y descifrar llaveros (contraseñas de usuario almacenadas en Safari, sistema y aplicaciones de terceros) .
Usar el jailbreak tiene los siguientes beneficios:
Imagen del sistema de archivos:
- Bases de datos de aplicaciones en funcionamiento, archivos WAL, acceso a registros eliminados recientemente
- Datos para todas las aplicaciones, incluidas aquellas para las que están prohibidas las copias de seguridad
- Acceda a su historial de chat en aplicaciones como Signal y Telegram
- Correo electrónico descargado e intercambio
- Registros del sistema
Llavero:
- Además de las contraseñas de usuario, que también se pueden recuperar de la copia de seguridad con una contraseña, los registros protegidos por el atributo this_device_only también se descifran
- Incluyendo la recuperación de la contraseña de respaldo de iTunes
Usar un jailbreak no solo trae beneficios, sino que también conlleva una serie de riesgos.
Riesgos de Jailbreak
Instalar y usar un jailbreak implica algunos riesgos. El riesgo de instalar un jailbreak a menudo se malinterpreta. En la mayoría de los casos, temen "quemar" el dispositivo, una situación como resultado de la cual un iPhone o iPad pirateado deja de cargarse. La idea de tal peligro de jailbreaks ha estado ocurriendo desde iOS 8 y 9, para lo cual los jailbreaks parchearon el kernel e intentaron (a veces, con éxito, pero más a menudo, no muy) deshabilitar Kernel Patch Protection, protección KPP. La activación de KPP condujo a un reinicio espontáneo del dispositivo o su bloqueo.
Para los jailbreaks modernos (comenzando con jailbreaks para iOS 10) este riesgo está prácticamente ausente: los jailbreaks no modifican el núcleo del sistema y no afectan el proceso de arranque (y, por supuesto, no tocan KPP). Además, incluso los dispositivos con un jailbreak instalado arrancan en modo normal; Para obtener derechos de superusuario, el jailbreak deberá ejecutarse nuevamente, después de la carga.
A un mínimo absoluto, este riesgo se reduce en los jailbreaks de la categoría Rootless. Estos jailbreak no solo no modifican el sistema, sino que ni siquiera vuelven a montar la partición del sistema. En consecuencia, tales jailbreaks no pueden influir en el proceso de arranque del sistema de ninguna manera.
¿Cuáles son los riesgos de instalar un jailbreak? Listamos
1.
La conexión a Internet del dispositivo. Durante la instalación del jailbreak, deberá obtener una firma digital para el paquete IPA, que contiene el jailbreak. Las IPA sin firmar no se pueden transferir al dispositivo, y mucho menos no se pueden iniciar en él. Firma digital emitida por los servidores de Apple; deben ser contactados para su recepción. El proceso está automatizado: utiliza una aplicación Cydia Impactor de código abierto lista para usar y muy fácil de usar. Sin embargo, si permite que el dispositivo acceda a Internet, corre el riesgo: un atacante puede enviar de forma remota un comando al dispositivo para bloquearlo o destruir datos.
Solución: este problema puede evitarse utilizando un certificado para desarrolladores (Programa de desarrolladores de Apple). Vea el
Tutorial para más detalles.
2.
Jailbreak simplemente no se instala. Sí, el segundo riesgo más grave es que el jailbreak simplemente no llega al iPhone. Los jailbreaks usan no uno, sino toda una cadena de vulnerabilidades; encontrar y usar una cadena de este tipo es un trabajo duro. Por desgracia, el error en cualquier etapa lleva al hecho de que el jailbreak no se instalará, y se encontrará en el mejor de los casos con un dispositivo sin jailbreak, y en el peor de los casos con un dispositivo con una partición de sistema montada, pero sin un jailbreak (sobre lo que es malo, a continuación )
Solución: en términos generales, hay muchos jailbreaks. Para iOS 12, por ejemplo, contamos al menos 4 jailbreaks viables (de hecho, hay más). ¿Un jailbreak no funcionó? Solo prueba con otro; sobre ellos nuevamente en el
Tutorial .
Las consecuencias
Descubrimos los riesgos, el jailbreak está instalado. ¿Cómo podría amenazar esto?
Antes de hablar sobre los riesgos del jailbreak, entenderemos sus tipos. Solo hay dos: jailbreak ordinarios (clásicos) y jailbreak sin raíz.
El clásico jailbreak proporciona al usuario, por así decirlo, "relleno completo": la verificación de firma digital está deshabilitada (puede instalar y ejecutar cualquier aplicación), se instala una tienda de aplicaciones de terceros (la mayoría de las veces es Cydia, pero también comenzaron a aparecer opciones alternativas). Para esto, se escriben una gran cantidad de archivos en la partición del sistema, y la partición del sistema se vuelve a montar en modo r / w.
¿Qué significa esto en la práctica? Basura en la partición del sistema, que a veces no se puede eliminar por completo durante el proceso de eliminación de jailbreak (especialmente si el usuario logró instalar diferentes jailbreak). Posible inestabilidad del dispositivo (ya menudo real). Finalmente, la imposibilidad de instalar correctamente las actualizaciones de OTA. Solo la recuperación completa del firmware a través de iTunes ayuda, y a veces la inestabilidad del dispositivo persiste, y debe restablecer la configuración de fábrica. No muy bien
Todas estas cosas no suceden si usa el nuevo tipo de jailbreak sin raíz, cuyo único representante es RootlessJB. Este jailbreak no ganó la popularidad de sus contrapartes clásicas por una razón obvia: no instala (y no admite trabajo) tiendas de terceros (Cyida y similares). Un usuario entusiasta común en este momento desaparece, y crea un clásico jailbreak.
Mientras tanto, para nuestros propósitos, RootlessJB es de particular valor. El hecho es que debemos devolver el iPhone en estudio en aproximadamente la forma en que fue recibido para su análisis. Es decir, al menos el dispositivo no debería funcionar menos estable que antes del análisis, y no debería haber problemas para instalar actualizaciones OTA. Esto es exactamente lo que RootlessJB nos da. Juzgue usted mismo: este jailbreak no modifica la partición del sistema sin escribir un solo archivo adicional. Además, no puede hacer esto: el principio de funcionamiento de este jailbreak en sí no implica volver a montar la partición del sistema en modo r / w.
Más es más. Dado que el jailbreak de RootlessJB no necesita ser compatible con una tienda de aplicaciones de terceros, no es necesario deshabilitar la verificación de firma digital (puede ejecutar archivos binarios individuales, pero las rutas a ellos deben ingresarse manualmente en el archivo de control de permisos). No es necesario deshabilitar la verificación de firma digital; no es necesario escribir nada en la partición del sistema. No es necesario abrir la partición del sistema para la grabación: puede omitir el funcionamiento de la vulnerabilidad correspondiente, lo que simplifica el proceso de instalación y lo hace más confiable. En otras palabras, para nosotros, RootlessJB es literalmente un regalo.
Terminamos el artículo con una tabla en la que comparamos los efectos del uso de diferentes tipos de jailbreak.
Conclusión
Este artículo es el primero planeado. Planeo hablar sobre cómo exactamente en los laboratorios de la policía y los servicios especiales de nuestro país y en el extranjero obtienen acceso a la información en los dispositivos Apple. Quédate con nosotros, ¡será interesante!