حماية النسخ الاحتياطية فون

أريد أن أتحدث اليوم عن ميزات iOS غير المعروفة والمتعلقة بحماية النسخ الاحتياطية ، وتجاوز هذه الحماية (العودية) والحماية من تجاوز الحماية (العودية المزدوجة). سيكون الكرز الموجود على الكعكة عبارة عن إرشادات قصيرة تسمح لك بتجاوز الحماية من تجاوز الحماية الاحتياطية (على سبيل المثال ، التكرار من الدرجة الثالثة) ، بالإضافة إلى التوصيات التي ستساعد في الحماية من تجاوز الحماية ضد تجاوز الحماية الاحتياطية (اعتيادية ، ترتيب رابع - أعتقد حصل على ميدالية!).

حماية النسخ الاحتياطي: في حين أن كل شيء بسيط

نظام النسخ الاحتياطي IOS - حقا خارج المنافسة. لقد رأينا شيئًا مماثلاً فيما يتعلق بالنسخ الاحتياطية المحلية في BlackBerry 10 ، لكن هذا النظام قد مات ، ولم تصل BlackBerry إلى السحابة. (بالمناسبة ، في النسخ الاحتياطي لنظام التشغيل BlackBerry 10 كان يتم تشفيره دائمًا ، وكان المفتاح دائمًا مخزّنًا في السحابة - إما في معرّف BlackBerry الخاص بالمستخدم أو على شبكة الشركة). لقد كان من المناسب إجراء نسخ احتياطي لـ "السحابة" وفي Windows Phone 8.1 ، وكذلك في Windows 10 Mobile - لكن هذه الأنظمة قد ماتت الآن ، ولم تكن هناك نسخ احتياطية محلية فيها.

المنافس الوحيد لنظام iOS هو نظام Android ، حيث يتم إنشاء نسخ احتياطية منه بشكل حصري في السحابة (سوف نتجاهل أمر النسخ الاحتياطي adb: هناك بيانات أقل تم حفظها فعليًا بواسطة هذا الأمر أكثر من وصولها إلى السحابة). نعم ، ستساعد بعض الحيل في الحصول على المزيد من البيانات ، ولكن النسخ الاحتياطية في Android ليست مثالية.

كجزء من هذه المقالة ، نحن مهتمون بشكل أساسي بالنسخ الاحتياطية المحلية ؛ كتبت عن محتواها على مدونتنا في وقت سابق. يمكن إنشاؤها ، على سبيل المثال ، في تطبيق iTunes ، ولكن ليس فقط في ذلك: هناك العديد من تطبيقات الطرف الثالث (بما في ذلك iOS Forensic Toolkit الخاصة بنا) التي ، عند الاتصال بـ iPhone ، ستنشئ نسخة احتياطية منه. بالمناسبة ، باستخدام Toolkit ، يمكن في بعض الأحيان سحب نسخة احتياطية من الهاتف حتى عندما تكون الشاشة مقفلة ورمز القفل غير معروف (تستخدم ملفات القفل لهذا).

تعد النسخة الاحتياطية وسيلة مريحة وعالمية وبسيطة للغاية لاستخراج نسخة جديدة من البيانات من جهاز تخزين محمي بشكل جيد (وبالمناسبة ، جهاز تخزين مشفر). تندرج معظم الأشياء الأكثر إثارة للاهتمام في النسخ الاحتياطية: كلاً من بيانات معظم التطبيقات ، وتسجيلات الدخول بكلمات مرور قام المستخدم بحفظها في متصفح Safari وتطبيقات الطرف الثالث ، وكلمات مرور Wi-Fi ، والنسخ الاحتياطي على مدار الساعة ، وبيانات نشاط المستخدم (الخطوات ، نبضات في وقت معين في الوقت المناسب). الوقوع في النسخ الاحتياطي وأشياء أخرى كثيرة حيوية للتحقيق في الجرائم.

لماذا أحتاج إلى نسخة احتياطية إذا كان رمز القفل معروفًا؟

غالبًا ما نطرح السؤال (لكي نكون دقيقين في الصياغة ، فهم "يدعون"): إذا كان رمز القفل معروفًا بالفعل ، فلماذا نحتاج إلى نسخة احتياطية؟ هل يمكنني رؤية كل شيء على iPhone نفسه؟

لا ، ليس كل شيء. حتى إذا كان رمز القفل معروفًا ، فلا يمكن عرض جميع البيانات المثيرة للاهتمام على iPhone نفسه. يقوم iPhone بعمل نسخة احتياطية من الكثير من البيانات في نُسخ احتياطية ، حتى بعد إرادة المستخدم. ربما لا يعرف المستخدم أن هذه البيانات موجودة! ينطبق هذا ، على سبيل المثال ، على محفوظات متصفح Safari - على الهاتف نفسه أو في iCloud ، يمكنك عرض السجل لمدة 30 يومًا الماضية ، ويقع السجل بأكمله طوال الوقت الذي تستخدم فيه الهاتف في النسخة الاحتياطية (إذا لم يقم المستخدم بمسح السجل يدويًا). بالمناسبة ، ينطبق الشيء نفسه على سجل المكالمات: في تطبيق الهاتف ، يكون مرئيًا فقط خلال آخر 30 يومًا ، ويتم حفظ المعلومات حول جميع المكالمات في نسخة احتياطية. هذا وحده يكفي لوكالات إنفاذ القانون للبحث عن النسخ الاحتياطية ، ولكن هذا ليس كل شيء. يمكن للمستخدم حذف بعض الرسائل في برنامج المراسلة الفورية - ولن تراها على شاشة الجهاز ؛ في الوقت نفسه ، يمكن أن تحتوي قاعدة البيانات بتنسيق SQLite على سجلات محذوفة لفترة طويلة - حتى يتم بدء إجراء عملية جمع البيانات المهملة بشكل دوري. الأشياء المهمة هي التحليل والبحث والتصدير للبيانات ، بما في ذلك البيانات المحذوفة (أول طلب للشرطة هو "أين كان المستخدم في مثل هذا التاريخ ومثل هذا التاريخ" ، حاول الإجابة على هذا السؤال باهتمام ، وجعل هاتفك الخاص بك في يديك واكتشف كم سيستغرق الأمر من الوقت ، وسيؤدي تحليل البيانات من النسخة الاحتياطية إلى إجابة في الثانية.) هناك أيضًا أشياء صغيرة - على سبيل المثال ، تاريخ إضافة جهة الاتصال أو تاريخ إنشاء الحدث في التقويم ، وهي غير مرئية في واجهة المستخدم.

في الوقت نفسه ، في أيدي المهاجم ، يتحول النسخ الاحتياطي إلى سلاح ضد المستخدم. تتيح لك عمليات تسجيل الدخول وكلمات المرور من Keychain "اختطاف" الحسابات ، والوصول إلى مراسلات وأموال المستخدم. لمنع ذلك ، تسمح Apple للمستخدم بتعيين كلمة مرور للنسخ الاحتياطية.

إذا تم تعيين كلمة مرور ، فسيتم تشفير النسخة الاحتياطية بالكامل باستخدام مفتاح قوي يتم إنشاؤه استنادًا إلى كلمة المرور. يحدث التشفير داخل الجهاز ؛ إذا تم تعيين كلمة مرور ، فإن البيانات غير المشفرة ببساطة لا تترك الهاتف. وفقًا لذلك ، بغض النظر عن برنامج النسخ الاحتياطي الذي تستخدمه ، ستكون النتيجة هي نفسها: النسخ الاحتياطي المشفر.

يعد تشفير النسخ الاحتياطية المحلية في الإصدارات الحديثة نسبيًا من iOS (10.2 والإصدارات الأحدث) قويًا لدرجة أنه حتى باستخدام تسريع الأجهزة باستخدام وحدة معالجة الرسومات Nvidia GTX 1080 ، لم نتمكن من الحصول على سرعة البحث لأكثر من مائة كلمة مرور في الثانية. وفقًا لذلك ، فإن الهجوم الأمامي لا فائدة منه حتى إذا تم استخدام كلمة مرور بسيطة مكونة من 7 أحرف فقط (متوسط ​​المستشفى). ومع ذلك ، حتى لو كان لديك كلمة مرور قوية للتشفير من هاتفك ، يمكنك استخراج الصور وملفات الوسائط إذا كنت تعرف رمز المرور أو لديك تأمين.

في iOS 10.2 وحتى إصدار iOS 11 ، كانت كلمة مرور النسخ الاحتياطي الطويلة والمعقدة بمثابة حماية مطلقة ؛ لم تكن هناك طريقة لحذف كلمة المرور أو تغييرها دون إدخال كلمة المرور القديمة ، في الإصدارات القديمة من النظام لم تكن موجودة. في نظام التشغيل iOS 11 ، تغير الوضع.

العودية الأولى: إعادة تعيين كلمة المرور إلى النسخ الاحتياطي

لقد كتبت بالفعل حول ما يمكن القيام به في iOS 11 و 12 و 13 باستخدام رمز القفل. من بين أشياء أخرى كثيرة ، في هذه الإصدارات من iOS ، يمكن استخدام رمز قفل الشاشة لإعادة تعيين كلمة مرور النسخ الاحتياطي. الآن ، إذا علم أحد المهاجمين رمز قفل الشاشة ، فيمكنه إعادة تعيين كلمة المرور إلى نسخة احتياطية محلية ، وتوصيل الهاتف بالكمبيوتر واستخراج جميع البيانات ، وكذلك فك تشفير جميع كلمات المرور من سلسلة المفاتيح.

يوفر موقع Apple إرشادات مفصلة حول كيفية المتابعة لإعادة تعيين كلمة المرور للنسخ الاحتياطي:

في نظام التشغيل iOS 11 أو الأحدث ، يمكنك إنشاء نسخة احتياطية مشفرة من جهازك عن طريق إعادة تعيين كلمة المرور الخاصة بك. للقيام بذلك ، اتبع الخطوات التالية:

1. على جهاز iOS الخاص بك ، حدد الإعدادات> عام> إعادة تعيين.
2. انقر فوق "إعادة تعيين جميع الإعدادات" وأدخل كلمة مرور iOS.
3. اتبع التعليمات لإعادة. لن يؤثر هذا على بيانات المستخدم أو كلمات المرور ، ولكنه سيعيد ضبط الإعدادات مثل سطوع الشاشة ، وموضع البرنامج على الشاشة الرئيسية ، وورق الحائط. سيتم أيضًا حذف كلمة مرور تشفير النسخ الاحتياطية. (بين قوسين: في هذه المرحلة ، سيطلب منك الجهاز إدخال رمز قفل الشاشة).
4. أعد توصيل الجهاز بـ iTunes وإنشاء نسخة احتياطية مشفرة جديدة.
5. لا يمكنك استخدام النسخ الاحتياطية المشفرة التي تم إنشاؤها مسبقًا ، ولكن يمكنك استخدام iTunes لعمل نسخة احتياطية من البيانات الحالية وتعيين كلمة مرور احتياطية جديدة.

على جهاز يعمل بنظام iOS 10 أو إصدار سابق ، لا يمكن إعادة تعيين كلمة المرور.

العودية الثانية: نحمي أنفسنا من محاولات إعادة تعيين كلمة المرور للنسخ الاحتياطي

إن السهولة التي يستطيع بها المهاجم تجاوز كلمة المرور الأكثر تعقيدًا وطويلة فقط عن طريق إدخال رمز قفل الشاشة أمر مذهل للغاية. ومع ذلك ، يمكنك محاولة حماية نفسك من هذه الآفة. ستكون آلية الحماية هنا هي قيود الرقابة الأبوية (iOS 11) أو كلمة مرور وقت الشاشة (iOS 12 و 13). للبساطة ، سأصف بالضبط iOS 12.

دعنا نقول اي فون الخاص بك سقطت في أيدي المهاجم. لنفترض أن المهاجم نجح في تجسس رمز القفل الخاص بك ؛ الآن يحاول فك ربط الهاتف من السحابة ، وفي الوقت نفسه دمج نسخة من البيانات ، للوصول إلى كلمات المرور من Keychain. يمكنك حماية نفسك من مثل هذا التطور للأحداث بمساعدة كلمة مرور وقت الشاشة. يمكنك قراءة المزيد حول إمكانيات التحكم في وقت الشاشة في مقالة Apple باستخدام المراقبة الأبوية على أجهزة iPhone و iPad و iPod touch الخاصة بالطفل . نحن مهتمون الآن بإمكانية أخرى لهذا النظام: لحماية الهاتف من إعادة تعيين كلمة المرور للنسخ الاحتياطي.

من الغريب أن الحد من القدرة على إعادة تعيين كلمة المرور للنسخ الاحتياطي المحلي لنظام iOS بسيط للغاية: كل ما عليك القيام به هو تعيين كلمة مرور وقت الشاشة على هذا النحو. درجة تعقيد كلمة المرور هذه منخفضة: الخيار الوحيد المتاح هو رمز PIN المكون من 4 أرقام. ومع ذلك ، فإن هذه الحماية موثوقة بشكل عام. نظرًا لأن كلمة المرور هذه نادرًا جدًا وتختلف عن رمز قفل الجهاز ، فلا يمكن تجسسها عن طريق الخطأ. هذا الرمز مطلوب في حالات نادرة للغاية عندما تريد تغيير الإعدادات أو تعطيل القيود. يمكنك تعيين رمز عشوائي عن طريق كتابته على قطعة من الورق تُرك في المنزل - وستكون آمنة تمامًا.

ماذا يحدث إذا حاولت إعادة تعيين كلمة المرور الخاصة بي للنسخ الاحتياطي الآن؟ في الخطوة الأولى ، لا توجد اختلافات: سيطلب النظام كلمة مرور قفل الجهاز. ولكن بعد ذلك مباشرةً ، سيتم طلب كلمة مرور إضافية من 4 أرقام وقت الشاشة. هذا الإجراء الأمني ​​قادر تمامًا ليس فقط على صد الفضوليين ، ولكن أيضًا حماية iPhone من محاولات القرصنة الخطيرة جدًا.

العودية الثالثة: كيفية معرفة كلمة مرور وقت الشاشة

يتم تخزين كلمة مرور وقت الشاشة على الجهاز نفسه. من المستحيل استلامه في فترة زمنية معقولة: مساحة صغيرة من 10000 مجموعة محمية بالتأخير التدريجي بين محاولات الإدخال. بعد العديد من المحاولات غير الناجحة ، سيحد النظام من سرعة تعداد كلمات مرور وقت الشاشة عن طريق إدخال تأخير تدريجي قدره 1 و 5 و 15 و 60 دقيقة. بعد 10 محاولات فاشلة ، لا يمكن إجراء كل محاولة لاحقة قبل ساعة واحدة من المحاولة السابقة ؛ إعادة تشغيل الجهاز لن يساعد في تسريع العملية. وبالتالي ، يمكن فرز جميع المجموعات البالغ عددها 10000 مجموعة في 416 يومًا.

ومع ذلك ، هناك طرق أكثر إثارة للاهتمام. سأقوم بالحجز على الفور: أول كلمة تعمل فقط عندما تكون كلمة مرور النسخة الاحتياطية غير معروفة أو معروفة ، والثانية - إذا تمكنت من كسر جهاز iPhone (أي أن إصدار iOS عليه ليس أحدث من نظام التشغيل iOS 12.2). بالنسبة إلى iPhone بكلمة مرور غير معروفة للنسخ الاحتياطي الذي يعمل على أحدث إصدار من iOS (اليوم هو 12.4) ، لا توجد طريقة عمل لاكتشاف كلمة مرور وقت الشاشة (في الوقت الحالي).


الأسلوب 1: استخراج من النسخ الاحتياطي

في نظام التشغيل iOS 7-11 ، يتم تخزين كلمة المرور هذه (وتسمى القيود هناك) كتجزئة. الخوارزمية قوية نسبيًا (pbkdf2-hmac-sha1 ، لكن عدد التكرارات صغير نسبيًا). نظرًا لأن كلمة المرور هذه تتكون دائمًا من 4 أرقام فقط ، يستغرق البحث الكامل للتجزئة على الكمبيوتر عدة ثوانٍ. يتم تخزين التجزئة نفسها في الملف com.apple.restrictionspassword.plist ، والذي يقع في النسخ الاحتياطي. وفقًا لذلك ، يمكن فتح كلمة مرور القيود إذا كان لدينا (أحد):

• النسخ الاحتياطي دون كلمة المرور
• النسخ الاحتياطي مع كلمة المرور ، بالإضافة إلى كلمة المرور منه

في نظام التشغيل iOS 12 (هنا ، يتم تخزين كلمة مرور وقت الشاشة ، أو وقت الشاشة) بشكل واضح. لا ، لم يزداد الوضع سوءًا: لقد تم نقل كلمة المرور إلى Keychain. ومع ذلك ، تم تعيين فئة الحماية لكلمة المرور الخاصة بوقت الشاشة كحد أدنى: فهي غير مرتبطة بالجهاز. يتم تعيين فئة الحماية الدنيا عن قصد. يتم ذلك بحيث يتم استعادة كلمة مرور الشاشة تلقائيًا عند استعادة iPhone جديد من النسخة الاحتياطية (وبالتالي أغلقت شركة Apple القدرة على إزالة كلمة مرور وقت الشاشة عن طريق إنشاء نسخة احتياطية وإعادة ضبط الجهاز ثم استعادة النسخة الاحتياطية). لا تنتهي سجلات المفاتيح التي تحتوي على فئات حماية أعلى بنسخ احتياطية أو ينتهي بها المطاف ، ولكنها محمية بواسطة مفتاح الجهاز بالجهاز (أي ، يمكن استعادتها فقط على نفس الجهاز).

للحصول على كلمة مرور وقت الشاشة ، تحتاج إلى:

• نسخة احتياطية بكلمة مرور بالإضافة إلى كلمة المرور منه

الطريقة 2: من خلال الهروب من السجن

من الواضح أن الطريقة الأولى ستعمل فقط عندما تكون كلمة مرور النسخة الاحتياطية غير محددة أو معروفة. إذا تم تعيين كلمة مرور النسخة الاحتياطية ، ولكنها غير معروفة ، فإن الطريقة الوحيدة المتبقية لمعرفة كلمة مرور وقت الشاشة هي الوصول إلى Keychain. بالنسبة للإصدارات الأقدم من نظام التشغيل iOS ، فأنت بحاجة إلى نسخة من نظام الملفات.

لنظام التشغيل iOS 7-11 تحتاج:

• صورة لنظام الملفات الذي تم تصويره بواسطة EIFT (بحاجة إلى كسر حماية) أو GrayKey (كسر الحماية ليس ضروريًا ، رمز قفل الجهاز يكفي ، ولكن المنتج نفسه متاح فقط لوكالات إنفاذ القانون في بعض البلدان)

لنظام التشغيل iOS 12:

• سلسلة المفاتيح الملغومة بواسطة EIFT أو GrayKey

هل هناك أي حاجة للقيام بذلك؟ لست متأكدًا: إذا كان من الممكن تثبيت كسر الحماية ، فيمكنك أولاً استخراج كل كلمات المرور بدون وسيط في صورة نسخة احتياطية. ثانياً ، يمكنك معرفة كلمة المرور الخاصة بالنسخ الاحتياطي عن طريق فك تشفير Keychain: يتم تخزين كلمة المرور الخاصة بالنسخ الاحتياطي (تمامًا مثل كلمة المرور الخاصة بوقت الشاشة) بشكل واضح. ومع ذلك ، إذا كان الهدف هو إزالة قيود وقت الشاشة ، فهذا النهج مناسب تمامًا.

شيء آخر

ومن المثير للاهتمام ، أن كلمة مرور وقت الشاشة يتم تخزينها أيضًا في سحابة iCloud ، ولكن فقط إذا قمت بتمكين المصادقة ثنائية العوامل وتنشيط خيار "وقت الشاشة" "مشاركة عبر الأجهزة". لا يقع المفتاح نفسه في Cloud Keychain ، ولكن يتم تخزينه بشكل منفصل (تقريبًا في نفس النموذج مثل المفتاح لاستعادة الوصول إلى مجلدات FileVault 2 المشفرة). لا توجد حاليًا آليات لاستخراجها من iCloud وعرضها. نحن نعمل عليه ؛ في الخريف ، من المخطط إصدار أحدث إصدار من Elcomsoft Phone Breaker ، والذي سيحتوي على هذه الميزة (إذا لم يتغير شيء في آلية التخزين مع إصدار iOS 13 ؛ فهناك مثل هذا الاحتمال: لقد قام iOS 13 بالفعل بتغيير موقع التخزين لكلمة المرور هذه).

في أي حال ، لسحب كلمة مرور وقت الشاشة من iCloud ، ستحتاج إلى كل ما يلي:

• اسم المستخدم وكلمة المرور للمستخدم Apple ID (iCloud)
• رمز قفل شاشة الجهاز
• الوصول إلى عامل المصادقة الثاني (هو الجهاز نفسه ، إذا كان رمز القفل معروفًا ؛ ومع ذلك ، بطاقة SIM مع رقم هاتف موثوق به كافية)

لكننا لم نتحقق من السيناريو عن طريق إعادة ضبط الجهاز ثم استعادته من النسخة الاحتياطية "السحابية" ، لذلك لا يمكنني القول على وجه اليقين ما إذا كانت كلمة مرور وقت الشاشة قد تم تنشيطها إذا قمت بإنشاء نسخة احتياطية في iCloud ، أعدت ضبط iPhone واستردت من السحابة. علاوة على ذلك ، يمكن للنظام أن يتصرف بشكل مختلف في الحالات التي تتم فيها استعادة نفس iPhone أو الجهاز الجديد من النسخة الاحتياطية.

العودية الرابعة ، والأخير: كيفية حماية الوصول إلى كلمة مرور وقت الشاشة

لذلك وصلنا إلى النقطة الأخيرة. إذا كان هدفك هو تأمين الجهاز قدر الإمكان ، فمن مصلحتك التأكد من عدم إعادة تعيين كلمة مرور وقت الشاشة أو التعرف عليها. كما في الجزء السابق ، لدي خبران: جيد وسيئ.

الخبر السار هو أن حماية كلمة مرور وقت الشاشة من الشخص العادي وحتى وحدة تكسير المحترفين أمر بسيط للغاية: ما عليك سوى تعيين كلمة مرور طويلة وقوية لنسخة احتياطية ، ثم احتفظ بالجهاز محدّثًا عن طريق تثبيت أحدث إصدارات نظام التشغيل iOS فور خروجها. لا تخرج Jailbreaks للإصدارات الجديدة من iOS على الفور. في بعض الأحيان تنقضي الأشهر بين إصدار تحديث iOS وظهور كسر حماية عملي له.

قد تخاف من حدوث سيناريو عندما يتم وضع جهاز مسروق (مع رمز حظر معروف للمهاجمين) على رف في انتظار ظهور كسر الحماية. ومع ذلك ، هنا ، يمكن أن يساعد "Erase [device]" القياسي في بوابة Find my iPhone. الحقيقة هي أنه لتثبيت كسر الحماية ، يجب عليك أولاً توقيع ملف IPA ، ثم تأكيد التوقيع الرقمي مباشرة على iPhone نفسه. يتم التحقق من التوقيع الرقمي على خادم Apple ؛ وهذا يعني أن المهاجم يجب أن يسمح لـ iPhone المسروق بالاتصال بالإنترنت. في هذه اللحظة ، يعمل الأمر على الأرجح على محو الجهاز.

يمكن للمهاجمين حل هذه المشكلة باستخدام تكوينات جهاز توجيه خاصة ، حيث سيتم رفض الوصول إلى العقد المسؤولة عن وظيفة Find My iPhone. بالإضافة إلى ذلك ، بدلاً من الشهادة المعتادة ، يمكنهم استخدام شهادة مطور للتوقيع على كسر الحماية ، الذي لا يتطلب من iPhone الاتصال بالإنترنت لتأكيد التوقيع الرقمي.
الأخبار السيئة هي أنه بغض النظر عن مدى صعوبة المحاولة ، فلن تكون قادرًا على حماية جهاز iPhone الخاص بك من الوصول عبر أنظمة GrayKey أو UFED Premium: فقد تمكن مطوروهم من تجاوز معظم آليات أمان iPhone. إذا كان رمز قفل الشاشة معروفًا ، فسيتمكن مستخدمو هذه المجمعات من الوصول إلى نظام الملفات وفك تشفير Keychain دون أي مشاكل خاصة. من ناحية أخرى ، تتوفر هذه المجمعات فقط لوكالات إنفاذ القانون ، وليس بأي حال من الأحوال في أي بلد (على سبيل المثال ، لا يتم توفيرها لروسيا). وضعهم في أيدي المهاجمين مستبعد عمليا. وبالتالي ، من غير المرجح أن تتعرض لهذا الخطر.