No meu novo blog sobre Habré, quero compartilhar informações exclusivas sobre como exatamente extraímos dados de smartphones. Em nosso próprio site, publicamos vários artigos sobre esse tópico, informando, ao que parece, tudo possível sobre maneiras de extrair dados de smartphones e tablets da Apple. A análise lógica, a extração em nuvem e a análise de extração física de baixo nível têm pontos fortes e fracos; Vou tentar contar sobre eles nas seguintes publicações.
Acho que nunca vou me cansar de falar sobre os benefícios da análise física. Aqui está o acesso a todo o conteúdo do sistema de arquivos e a descriptografia de todas as entradas do Keychain (e essas são senhas, incluindo, a propósito, senhas para carteiras de criptomoeda e chats "secretos"). Aqui, extração de dados de todos os aplicativos (e não apenas daqueles cujos desenvolvedores permitiram backup) e acesso a mensagens de email baixadas, salas de bate-papo e correspondência em uma ampla variedade de aplicativos, incluindo aplicativos bem protegidos (à mão, os usuários de Telegram e Signal acenam com as mãos).
Como chegar ao mais interessante? Obviamente, precisamos de acesso de baixo nível aos dados, o que é impossível sem a obtenção de direitos de superusuário. E como obter direitos de superusuário? Se você não é funcionário da polícia ou de serviços especiais dos EUA, Israel ou da UE, existe apenas uma opção: instalar um jailbreak. Hoje vou falar sobre os riscos e consequências da análise física de dispositivos associados ao uso do jailbreak para extrair dados.
Para que serve o jailbreak?
Provavelmente todo mundo sabe o que é um jailbreak para iOS e como ele difere da raiz do Android (dica: para quase todo mundo). Jailbreak é o nome coletivo da classe de aplicativo para o sistema operacional iOS, que permite escalar privilégios para obter direitos de superusuário no dispositivo. O escalonamento de privilégios é realizado usando erros no sistema de segurança do iOS. Dado o fato de que os desenvolvedores da Apple corrigem rapidamente os erros com o lançamento das atualizações do iOS, o lançamento de novas e novas ferramentas de jailbreak é um processo contínuo.
Os jailbreak são usados tanto por pesquisadores independentes para analisar os sistemas de segurança iOS quanto por usuários entusiasmados que têm a oportunidade de modificar a aparência e o comportamento do sistema, além de instalar aplicativos de fontes de terceiros, além da Apple App Store oficial. Para nós, essas oportunidades são supérfluas; tudo o que precisamos é de acesso ao dispositivo via SSH e, é claro, acesso total ao sistema de arquivos.
Assim, em nosso laboratório (assim como nos laboratórios de especialistas forenses), os jailbreaks são usados para obter acesso ilimitado ao sistema de arquivos, extrair dados do iPhone e iPad e descriptografar Keychains (senhas de usuário armazenadas no Safari, sistema e aplicativos de terceiros) .
O uso do jailbreak tem os seguintes benefícios:
Imagem do sistema de arquivos:
- Bancos de dados de aplicativos em funcionamento, arquivos WAL, acesso a registros excluídos recentemente
- Dados para todos os aplicativos, incluindo aqueles para os quais os backups são proibidos
- Acesse seu histórico de bate-papo em aplicativos como Signal e Telegram
- E-mail e Exchange baixados
- Logs do sistema
Chaveiro:
- Além das senhas de usuário, que também podem ser recuperadas do backup com uma senha, os registros protegidos pelo atributo this_device_only também são descriptografados
- Incluindo recuperação de senha de backup do iTunes
Usar um jailbreak traz não apenas benefícios, mas também traz uma série de riscos.
Riscos de fuga de presos
Instalar e usar um jailbreak envolve alguns riscos. O risco de instalar um jailbreak geralmente é mal compreendido. Na maioria das vezes, eles têm medo de "queimar" o dispositivo - situação em que um iPhone ou iPad invadido para de carregar. A idéia de tal perigo de jailbreaks está em andamento desde o iOS 8 e 9, para os quais os jailbreaks corrigiram o kernel e tentaram (às vezes - com sucesso, mas com mais freqüência - não muito) desativar o Kernel Patch Protection, a proteção KPP. O acionamento do KPP levou a uma reinicialização espontânea do dispositivo ou de sua alvenaria.
Os jailbreaks modernos (começando com jailbreaks para iOS 10) praticamente não apresentam esse risco: os jailbreaks não modificam o kernel do sistema e não afetam o processo de inicialização (e, é claro, não tocam no KPP). Além disso, até dispositivos com jailbreak instalam a inicialização no modo normal; Para obter direitos de superusuário, o jailbreak precisará ser executado novamente, após o carregamento.
Para um mínimo absoluto, esse risco é reduzido nos jailbreaks da categoria Rootless. Esses jailbreaks não apenas modificam o sistema, mas nem remontam a partição do sistema. Consequentemente, esses jailbreaks não podem influenciar o processo de inicialização do sistema de forma alguma.
Quais são os riscos de instalar um jailbreak? Nós listamos.
1.
A conexão à Internet do dispositivo. Durante a instalação do jailbreak, você precisará obter uma assinatura digital para o pacote IPA, que contém o jailbreak. IPAs não assinados não podem ser transferidos para o dispositivo, muito menos não pode ser iniciado nele. Assinatura digital emitida pelos servidores da Apple; eles devem ser contatados para recebimento. O processo é automatizado: ele usa um aplicativo Cydia Impactor de código aberto pronto para uso e muito fácil de usar. No entanto, se você permitir o acesso do dispositivo à Internet, corre o risco: um invasor pode enviar remotamente um comando ao dispositivo para bloqueá-lo ou destruir dados.
Solução: Esse problema pode ser contornado usando um certificado para desenvolvedores (Apple Developer Program). Veja o
passo a
passo para obter detalhes.
2. O
jailbreak simplesmente não é instalado. Sim, o segundo risco mais sério é que o jailbreak simplesmente não chegue ao iPhone. Os jailbreak usam não um, mas toda uma cadeia de vulnerabilidades; encontrar e usar essa cadeia é um trabalho árduo. Infelizmente, o erro em qualquer estágio leva ao fato de que o jailbreak não será instalado, e você se encontrará no melhor caso com um dispositivo sem jailbreak e, no pior caso, com um dispositivo com uma partição de sistema remontada, mas sem um jailbreak (sobre o que é ruim - abaixo )
Solução: de um modo geral, existem muitos jailbreaks. Para o iOS 12, por exemplo, contamos pelo menos 4 jailbreaks viáveis (na verdade, existem mais). Um jailbreak não funcionou? Apenas tente outro; sobre eles novamente no
passo a
passo .
As consequências
Nós descobrimos os riscos, o jailbreak está instalado. Como isso pode ameaçar?
Antes de falarmos sobre os riscos do jailbreak, entenderemos seus tipos. Existem apenas dois deles: jailbreak comuns (clássicos) e jailbreak sem raiz.
O jailbreak clássico fornece ao usuário, por assim dizer, "preenchimento total": a verificação da assinatura digital está desativada (você pode instalar e executar qualquer aplicativo), uma loja de aplicativos de terceiros é instalada (na maioria das vezes é Cydia, mas também começaram a aparecer opções alternativas). Para isso, muitos arquivos são gravados na partição do sistema e a própria partição do sistema é remontada no modo r / w.
O que isso significa na prática? Lixo eletrônico na partição do sistema, que às vezes não pode ser completamente removida durante o processo de remoção do jailbreak (especialmente se o usuário tentar instalar diferentes jailbreaks). Instabilidade potencial (e frequentemente real) do dispositivo. Por fim, a incapacidade de instalar corretamente as atualizações do OTA. Somente a recuperação completa do firmware através do iTunes ajuda e, às vezes, a instabilidade do dispositivo persiste, e você precisa redefinir as configurações de fábrica. Não é legal demais.
Todas essas coisas não acontecem se você usar o novo tipo de jailbreak sem raiz, cujo único representante é o RootlessJB. Esse jailbreak não conquistou a popularidade de seus colegas clássicos por um motivo óbvio: ele não instala (e não oferece suporte ao trabalho) lojas de terceiros (Cyida e similares). Um entusiasta do usuário comum neste momento desaparece e ele cria um jailbreak clássico.
Enquanto isso, para nossos propósitos, o RootlessJB é de particular valor. O fato é que devemos devolver o iPhone em estudo aproximadamente na forma em que ele foi recebido para análise. Ou seja, pelo menos o dispositivo não deve funcionar menos estável do que antes da análise e não deve haver problemas ao instalar atualizações do OTA. É exatamente isso que o RootlessJB nos fornece. Julgue por si mesmo: esse jailbreak não modifica a partição do sistema sem gravar um único arquivo extra. Além disso, ele não pode fazer isso: o princípio de operação desse jailbreak em si não implica remontar a partição do sistema no modo r / w.
Mais é mais. Como o jailbreak RootlessJB não precisa ser suportado por um repositório de aplicativos de terceiros, não há necessidade de desativar a verificação de assinatura digital (você pode executar binários individuais, mas os caminhos para eles devem ser inseridos manualmente no arquivo de controle de permissão). Não é necessário desativar a verificação de assinatura digital - não é necessário gravar nada na partição do sistema. A partição do sistema não precisa ser aberta para gravação - você pode pular a operação da vulnerabilidade correspondente, o que simplifica o processo de instalação e o torna mais confiável. Em outras palavras, para nós, o RootlessJB é literalmente um presente.
Terminamos o artigo com uma tabela na qual comparamos os efeitos do uso de diferentes tipos de jailbreaks.
Conclusão
Este artigo é o primeiro planejado. Eu pretendo falar sobre como exatamente nos laboratórios da polícia e nos serviços especiais do nosso país e do exterior obtém acesso a informações nos dispositivos Apple. Fique conosco, será interessante!