在我关于Habré的新博客中,我想分享有关我们如何精确地从智能手机提取数据的独特信息。 在我们自己的网站上,我们发布了许多有关此主题的文章,似乎在讲述从Apple智能手机和平板电脑提取数据的所有方式。 逻辑分析,云提取和低级物理提取分析各有优缺点; 我将在以下出版物中尝试介绍它们。
我想我永远不会厌倦谈论物理分析的好处。 这是对文件系统所有内容的访问权,以及对来自钥匙串的所有条目的解密(这些都是密码,包括,顺便说一句,包括加密货币钱包和“秘密”聊天的密码)。 在这里,从所有应用程序中提取数据(而不仅仅是那些允许开发人员备份的应用程序),并在包括受保护的应用程序在内的各种应用程序中访问下载的电子邮件,聊天和通信(用手,Telegram和Signal用户将挥舞我们的双手)。
如何获得最有趣的? 当然,我们需要对数据的低级别访问,而如果没有获得超级用户权限,这是不可能的。 以及如何获得超级用户权限? 如果您不是美国,以色列或欧盟的警察或特殊服务雇员,那么只有一种选择:安装越狱。 今天,我将讨论与越狱提取数据有关的设备物理分析的风险和后果。
越狱的目的是什么?
也许每个人都知道iOS越狱是什么,它与Android的根本区别是什么(提示:几乎每个人都知道)。 越狱是iOS操作系统的应用程序类的总称,它允许升级特权以获得设备上的超级用户权限。 使用iOS安全系统中的错误进行特权升级。 鉴于Apple开发人员可以通过发布iOS更新来快速修复错误,因此新的和新的越狱工具的发布是一个持续的过程。
独立研究人员使用越狱来分析iOS安全系统和热情的用户,他们有机会修改系统的外观和行为,以及从官方Apple App Store之外的第三方来源安装应用程序。 对我们来说,这些机会是多余的。 我们所需要做的就是通过SSH访问设备,当然还有对文件系统的完全访问权限。
因此,在我们的实验室(以及法医专家的实验室)中,越狱用于获得对文件系统的无限制访问,从iPhone和iPad提取数据以及解密钥匙串(存储在Safari,系统和第三方应用程序中的用户密码) 。
使用越狱有以下好处:
文件系统映像:
- 工作中的应用程序数据库,WAL文件,访问最近删除的记录
- 所有应用程序的数据,包括禁止备份的应用程序
- 在Signal和Telegram等应用中访问您的聊天记录
- 下载的电子邮件和交流
- 系统日志
钥匙串:
- 除了用户密码(也可以使用密码从备份中检索)之外,还会解密this_device_only属性保护的记录。
- 包括iTunes备份密码检索
越狱不仅带来好处,而且带来许多风险。
越狱风险
安装和使用越狱会带来一些风险。 人们常常误解了安装越狱的风险。 大多数情况下,他们担心“烧焦”设备-这种情况导致被入侵的iPhone或iPad停止加载。 自从iOS 8和9以来,就一直存在这种越狱危险的想法,为此,越狱对内核进行了修补,并尝试(有时-成功,但更多时候-不是很成功)禁用内核补丁保护,KPP保护。 触发KPP会导致设备自发重启或阻塞。
现代越狱(从iOS 10的越狱开始)几乎没有这种风险:越狱不会修改系统内核,也不会影响启动过程(当然,不要触碰KPP)。 而且,即使安装了越狱的设备也以正常模式启动; 要获得超级用户权限,在加载后,越狱将需要再次运行。
将此风险降低到最低限度,可以降低无根类别的越狱风险。 这些越狱行为不仅不会修改系统,甚至不会重新安装系统分区。 因此,这种越狱行为不会以任何方式影响系统的引导过程。
安装越狱有什么风险? 我们列出。
1.
设备的Internet连接。 在安装越狱期间,您将必须获取包含越狱的IPA软件包的数字签名。 未签名的IPA无法传输到设备,更少的不能在其上启动。 苹果服务器发布的数字签名; 必须联系他们以获取收据。 该过程是自动化的:它使用现成且易于使用的开源Cydia Impactor应用程序。 但是,如果允许设备访问Internet,则存在风险:攻击者可以远程向设备发送命令以阻止它或破坏数据。
解决方案:可以通过使用开发人员证书(Apple Developer Program)来
解决此问题。 有关详细信息,请参见
演练 。
2.
越狱只是不安装。 是的,第二个最严重的风险是越狱根本无法在iPhone上进行。 越狱使用的不是一个漏洞,而是整个漏洞。 找到并使用这样的链条是艰苦的工作。 las,任何时候的错误都会导致无法越狱的事实,您会发现最好的情况是使用没有越狱的设备,而在最坏的情况下是使用具有重新安装的系统分区的设备,但没有越狱的情况(下面有什么不好的地方-下文) )
解决方案:一般来说,越狱情况很多。 例如,对于iOS 12,我们计算了至少4个可行的越狱次数(实际上,还有更多)。 一次越狱没有效果? 只是尝试另一个; 在
演练中再次讨论他们。
后果
我们发现了风险,安装了越狱软件。 这怎么可能威胁到?
在讨论越狱风险之前,我们将了解它们的类型。 它们只有两种:普通(经典)越狱和无根越狱。
经典的越狱可以为用户提供“完全填充”功能:禁用数字签名验证(您可以安装和运行任何应用程序),安装了第三方应用程序商店(通常是Cydia,但是替代选项也开始出现)。 为此,将很多文件写入系统分区,并且系统分区本身以r / w模式重新安装。
在实践中这意味着什么? 系统分区中的垃圾,有时无法在越狱删除过程中将其完全删除(特别是如果用户设法尝试安装其他越狱)。 潜在的(通常是真实的)设备不稳定。 最后,无法正确安装OTA更新。 只有通过iTunes进行完整的固件恢复才有帮助,有时设备的不稳定状态仍然存在,因此您必须重置为出厂设置。 不太好
如果使用新的无根类型的越狱,所有这些事情都不会发生,唯一的代表就是RootlessJB。 这次越狱没有明显的理由赢得经典对手的欢迎:它没有安装(并且不支持工作)第三方商店(Cyida等)。 此刻普通用户的热情消失了,他设置了经典的越狱功能。
同时,就我们的目的而言,RootlessJB具有特别的价值。 事实是,我们应该以收到的iPhone大致用于分析的形式退还正在研究的iPhone。 也就是说,至少该设备的工作稳定性不应低于分析之前,并且安装OTA更新应该没有问题。 这些正是RootlessJB给我们的。 自己判断:这个越狱操作不会在不向系统分区写入单个额外文件的情况下对其进行修改。 而且,他不能这样做:越狱本身的操作原理并不意味着以r / w模式重新安装系统分区。
更多就是更多。 由于第三方应用程序商店无需支持RootlessJB越狱,因此无需禁用数字签名验证(您可以运行单个二进制文件,但是必须手动将它们的路径输入到权限控制文件中)。 无需禁用数字签名验证-无需向系统分区写入任何内容。 无需打开系统分区进行记录-您可以跳过相应漏洞的操作,从而简化了安装过程并使其更加可靠。 换句话说,对我们而言,RootlessJB实际上是一种礼物。
我们以一个表格结尾,在该表格中我们比较了使用不同类型越狱的效果。
结论
本文是计划的第一篇。 我打算谈一谈在警察实验室以及国内外的特殊服务部门如何准确地访问Apple设备中的信息。 和我们在一起,这将很有趣!