Статьи

Як розблокувати Айфон (iPhone)

  1. Вступ
  2. Метод chip-off
  3. метод зеркалирования
  4. Помилки реалізації протоколу захисту
  5. Використання модифікованих образів відновлення
  6. Використання lockdown-файлів
  7. спеціалізовані сервіси
  8. висновки

У статті розглядаються основні криміналістичні підходи до розблокування iOS-пристроїв. Наводиться огляд існуючих методів, прийомів і практик, які використовуються для здійснення подібних дій в Форензік. Описано покрокові інструкції для найбільш простих методів розблокування iOS-пристроїв. Ознайомившись з цією статтею, читач зможе вирішити: чи використовувати йому якийсь із описаних методів розблокування iOS-пристрої самостійно або передати iOS-пристрій для аналізу в криміналістичну лабораторію.

1. Введення

2. Метод chip-off

3. Метод зеркалирования

4. Помилки реалізації протоколу захисту

5. Використання модифікованих образів відновлення

6. Використання lockdown-файлів

7. Спеціалізовані сервіси

8. Висновки

Вступ

Сьогодні мобільні пристрої Apple (iPhone, iPad і iPod) є одними з найбезпечніших пристроїв в світі для зберігання особистих даних. Піклуючись про збереження інформації власників пристроїв, компанія-розробник докладає значних зусиль для забезпечення їх конфіденційності. При спробі злому пристрою дані користувача швидше будуть безповоротно втрачені, ніж потраплять в руки сторонніх осіб. Тому дослідження цих пристроїв доставляє багато проблем форензик-фахівцям. Особливо складним завданням є отримання доступу до даних заблокованого iOS-пристрої. Досить згадати справу « Міністерство юстиції США проти Apple », В результаті якого за злом не самою топової моделі iOS-пристрої була заплачена сума порядку 250.000 доларів. У цій статті будуть розглянуті методи, використовувані в Форензік для розблокування і вилучення даних із заблокованих мобільних пристроїв Apple.

Метод chip-off

Chip-off - метод, що припускає витяг мікросхеми пам'яті з мобільного пристрою і подальшого зчитування даних з неї. Створюється фізичний дамп пам'яті пристрою, який може бути проаналізований форензик-програмами (наприклад, програмою «Мобільний Криминалист» чи чимось подібним).

Цей метод особливо корисний в дослідженні ранніх моделей iOS-пристроїв, в яких не застосовувалося шифрування даних користувача. Комусь може здатися, що такі пристрої є сильно застарілими. Однак вони часто потрапляють на дослідження в криміналістичні лабораторії. Так, автором статті було досліджено понад десятка подібних пристроїв за перші три місяці цього року.

Для початку досліджуваний пристрій потрібно розібрати і випаять з нього мікросхему пам'яті.

Малюнок 1. Системна плата iPhone 3 G з відпаяні мікросхемою пам'яті

Мікросхема пам'яті має стандартний DIP-корпус і може бути без праці вичитана будь-яким підходящим программатором (наприклад, компанії ACELab або Rusolut).

Складність цього методу полягає в подальшій обробці отриманого «сирого дампа» (файлу, що містить необроблену копію даних, вичитаних з мікросхеми пам'яті за допомогою програматора), який необхідно привести в формат, зрозумілий для форензик-софта.

Дамп конкретно нашого пристрою має наступну структуру:

  • В кожній сторінці NAND: 8 секторів з даними, розташованими підряд, + 12 байт ідентифікатор сторінки + 90 байт ECC (контрольна сума).
  • Розмір сторінки: 4224 байт.
  • Розмір сектора: 524 байт.

Додатково дані в мікросхемі розділені на чотири області, які пов'язані один з одним за принципом RAID.

Обробка «сирого дампа» може бути проведена за допомогою спеціалізованого програмного забезпечення зазначених вище компаній. Крім того, база знань компанії ACELab містить вже готові рішення для аналізу «сирих дампов», отриманих з мікросхем пам'яті подібних пристроїв.

Малюнок 2. Результат аналізу «сирого дампа» iPhone 3 G. Видно логічні розділи і знаходяться в них файлові системи

Видно логічні розділи і знаходяться в них файлові системи

метод зеркалирования

Загальновідомо, що якщо на iOS-пристрої десять разів поспіль ввести неправильний пароль, то пристрій буде заблоковано. Але що буде, якщо пристрій повернути в початковий стан? Тоді у дослідника буде ще десять спроб введення пароля! Потім, використовуючи ту ж техніку, пристрій можна знову повернути в початковий стан.

Сьогодні існує дві техніки повернення таких пристроїв в початковий стан. це:

  • Метод зеркалирования.
  • Помилки реалізації протоколу захисту.

Теоретично можливість підбору пароля мобільного пристрою компанії Apple методом віддзеркалення була передбачена Джоната Джігарскі (Jonathan Zdziarski), автором книги iPhone Forensics Recovering Evidence, Personal Data, and Corporate Assets. Суть методу полягає в наступному: хоча ми не знаємо, де точно в пам'яті пристрою знаходиться лічильник спроб введення неправильного пароля, в будь-якому випадку, це значення зберігається в мікросхемі пам'яті. Отже, дослідник може отримати з досліджуваного пристрою мікросхему пам'яті і зробити її еталонну копію ( «еталонний дамп»). Потім можна вставити мікросхему пам'яті в пристрій і здійснити десять спроб введення пароля. Після того як пристрій заблокується, мікросхему пам'яті необхідно витягти, завантажити в неї «еталонний дамп» і знову помістити її в досліджуваний пристрій. В результаті у дослідника буде десять нових спроб введення пароля.

Те, що це можливо здійснити практично, було показано Сергієм Скоробогатовим в роботі The bumpy road towards iPhone 5c NAND mirroring.

Мінуси цього методу - трудомісткість його реалізації, висока вартість програматора і адаптера.

Так як ключі шифрування даних зберігаються в процесорі, для підбору пароля необхідно використовувати оригінальний пристрій. Це призводить до неможливості використовувати стендове обладнання, які б значно спростило рішення цього завдання. З пристрою необхідно акуратно випаять мікросхему пам'яті і впаяти на її місце спеціалізований адаптер. Через те що радіодеталі вмонтовані в системній платі пристрою дуже щільно, випайки мікросхеми пам'яті гарантовано призведе до пошкодження інших дрібних елементів системної плати, які в подальшому потрібно буде якось відновити.

Помилки реалізації протоколу захисту

У ранніх версіях операційної системи iOS (до восьмої версії) існував баг, що дозволяє програмно скинути лічильник спроб неправильного введення пароля. Це було використано провідними форензик-компаніями для підбору пароля мобільних пристроїв Apple в своїх криміналістичних інструментах. Особливо тут можна відзначити компанію Secure View, яка розробила цілий роботизований комплекс для підбору пароля подібним методом.

Крім того, існує ряд недорогих автономних пристроїв під загальною назвою IP-BOX, які дозволяють підібрати пароль для заблокованого пристрою і також експлуатують дану уразливість.

Малюнок 3. Зовнішній вигляд пристрою IP - BOX

Зовнішній вигляд пристрою IP - BOX

Використання модифікованих образів відновлення

Якщо перевести мобільний пристрій Apple в режим DFU (Device Firmware Update), то в нього можливо завантажити модифікований образ відновлення. За допомогою цього способу можливо:

  • відновити пароль блокування;
  • отримати фізичний дамп пристрою, не маючи прав суперкористувача на ньому;
  • витягти зашифровані дані;
  • витягти ключі шифрування і інші дані, збережені в keychain.

Всі ці процедури, включаючи процедуру відновлення пароля блокування, можна здійснити, наприклад, за допомогою набору програм компанії «Елкомсофт» під загальною назвою iOS Forensic Toolkit.

Малюнок 4. Вікно програми iOS Forensic Toolkit, в якому показані результати відновлення пароля iPhone

Існують і інші криміналістичні утиліти, що дозволяють здійснити подібні дії.

Використання lockdown-файлів

Найбільш простим способом отримання даних з розблокованого iOS-пристрої є використання lockdown-файлів, які допоможуть фахівцеві отримати дані з пристрою без введення пароля. Подібні файли створюються програмою iTunes при підключенні пристрою до комп'ютера, наприклад, при синхронізації аудіофайлів.

Тому якщо у форензик-фахівця крім досліджуваного пристрою є доступ до комп'ютера (ноутбуку), до якого воно підключався, він може знайти ці файли за наступними шляхами:

  • Mac OS X: \ private \ var \ db \ lockdown;
  • Windows 2000 і XP: C: \ Documents and Settings \ All Users \ Application Data \ Apple \ Lockdown;
  • Windows Vista, 7, 8 і 10: C: \ ProgramData \ Apple \ Lockdown.

Знайдені файли фахівець повинен скопіювати з досліджуваного комп'ютера і помістити на свій (в той же каталог). Після чого дані з iOS-пристрої можна витягти будь-який спеціалізованої криміналістичної програмою.

Примітка: якщо на досліджуваному пристрої встановлена ​​операційна система iOS версії 9 або більш пізня, то пристрій, перезавантажених після блокування екрану, не може бути розблоковано подібним способом.

спеціалізовані сервіси

Часто компанії, що займаються розробкою спеціалізованого програмного забезпечення для криміналістичного дослідження мобільних пристроїв, надають додаткові послуги з вилучення даних із заблокованих пристроїв. Однак ці послуги мають високу вартість. Так, розблокування мобільного пристрою Apple, в залежності від моделі та версії операційної системи iOS, коливається в межах від 4 до 15 тис. Доларів США.

висновки

Для того щоб усвідомити, наскільки складно отримувати дані із заблокованих iOS-пристроїв, досить сказати, що на складах з доказами у кримінальних справах зберігаються тисячі подібних пристроїв.

Ймовірно, з більшості цих пристроїв дані так і не будуть витягнуті.

Компанія Apple не тільки оперативно усуває уразливості, виявлені в її програмному забезпеченні, нарощує безпеку своїх пристроїв, але і має найдорожчу програму заохочення дослідників, які виявлятимуть баги в їх програмах. Все це в сукупності перешкоджає витоку критичних вразливостей в публічний доступ і робить безглуздою реалізацію функціоналу з розблокування таких пристроїв в публічних криміналістичних рішеннях. Як тільки таке рішення з'явиться на ринку, компанія Apple усуне виявлені вразливості, і, при оновленні програмного забезпечення мобільного пристрою, корисність цієї криміналістичної розробки буде зведена до нуля.

Тому сьогодні не існує універсального методу розблокування iOS-пристроїв. Кожен метод, описаний в статті, має обмежене застосування (в залежності від моделі iOS-пристрої і версії використовуваної на ньому операційної системи). Проте ці методи працюють і дозволяють отримати дані з деяких заблокованих iOS-пристроїв.

Після розблокування мобільного пристрою з нього можна витягти дані, використовуючи метод, описаний в статті « Криміналістичне вилучення даних з мобільних пристроїв Apple ».

Але що буде, якщо пристрій повернути в початковий стан?

Новости