有研究者最近發現了一種在運行iOS 13和iPhone 11的設備上提取完整的文件系統和鑰匙串的方法,這種方法快速、簡單和安全,且無需越獄。該方法是藉助 Elcomsoft iOS Forensic Toolkit的最新版本,該版本填補了以前的許多空白功能。Elcomsoft iOS Forensic Toolkit的最新版本已經可以正式支持最新一代的iPhone設備,包括iPhone 11,iPhone 11和iPhone 11 Pro。
兼容性
以下型號和iOS版本支持提取代理:
1. iPhone 6s至iPhone X,iPad第5代和第6代,iPad Pro第1代和第二代,這些型號的設備運行iOS / iPadOS 11.0 - 13.3;
2. iPhone Xr,Xs,Xs Max,iPad Mini 5,第三代iPad Air,第三代iPad Pro,第七代iPod Touch,這些型號的設備運行iOS / iPadOS 12.0 - 13.3;
3. iPhone 11、11 Pro,11 Pro Max,這些型號的設備運行iOS 13.0- 13.3。
對於某些較舊的型號,兼容性保持不變。如果運行iOS 11-12.2和iOS 12.4,則支持以下型號的設備:
1. iPhone 5s,6、6 Plus;
2. iPad Mini 2和3;
3. iPad Air(第一代)。
雖然基於代理的提取方法肯定可以在運行iOS 11至12.2的這些設備上使用,但我們尚未在運行iOS 12.3、12.4.1或任何運行iOS 13的iPad Mini 4和iPad Air2設備上對其進行測試。
在運行iOS 13和iPhone 11的設備上提取完整的文件系統和鑰匙串的配置
確保你的設備型號和作業系統版本兼容,並註冊一個蘋果開發者帳號,至於具體原因請點此。當然,你也需要最新版本的iOS Forensic Toolkit。這個軟體使用起來真的很簡單,但是我們仍然要對它進行一些介紹。
iOS Forensic Toolkit的優勢介紹
首先,iOS Forensic Toolkit的主要優點是廣泛兼容多種iPhone和iPad型號設備。在未來,該工具的開發者可能會增加對老版本iOS的支持,其目的就是省去越獄的麻煩,當然開發者也會盡最大努力增加與新版本(iOS 13.3.1及以上版本)的兼容性。
其次,提取代理安全可靠,不會發生任何錯誤,最壞的情況也就是重啟設備,否則我們的方法可能根本無法在你的設備上運行。
那這種對文件的提取是否合法?如果以法律可以接受的方式收集、分析、處理和存儲數字證據,則這些數字證據被認為是合理的。使用本文介紹的方法,數字證據將不會被破壞。
對於64位的iPhone(從iPhone 5s開始),不管其他廠商怎麼說,沒有一種數據採集方法不會對系統做出任何更改。總是會留下一些痕跡,例如某些系統日誌中的記錄。
第三,iOS Forensic Toolkit的提取速度特別快。無需重新使用ssh,可以直接通過USB傳輸數據。這種方法更可靠,而且速度更快。在最新的iPhone設備上,速度約為2.5 GB/min。
第四,iOS Forensic Toolkit的使用非常簡單。雖然它與眾所周知的「一鍵式」解決方案相距甚遠,儘管如此,和其他工具相比它已經做得非常好了,並且仍在不斷地改進中。
最後,iOS Forensic Toolkit的代理不僅可以提取完整的文件系統,而且還可以提取完整的鑰匙串。雖然你還可以從iTunes類的備份中提取鑰匙串,但由於許多記錄無法解密,因此鑰匙串並不完整。而使用Elcomsoft Phone Breaker,則可以查看所有鑰匙串記錄:
越獄的優勢
用戶甚至可以通過越獄的方式獲取運行iOS 13的設備型號的完整文件系統,但是有些注意事項你應該知道。比如越獄並不完全安全,它可能會使設備崩潰或進入不斷地重啟模式,而且即使是使用無根越獄,它還會對設備文件系統進行多次更改。
基於代理的提取是否有缺點?至少在運行iOS 11.0到13.3的設備上沒有,除了checkra1n 。
另外,在iOS 13中,一些文件和文件夾的安全屬性得到了改進,並且tar無法通過ssh對其進行訪問,而基於代理的提取則沒有這樣的問題。
優於checkm8提取
Checkm8一款史上最強的iPhone越獄工具,讀作checkmate。這款輔助功能非常強大,支持iPhone 4s到iPhone X之間所有機型,和其他使用同款A系列處理器的iPad、iPod touch等iOS設備,並提供一次越獄終身越獄的使用體驗,並且無法被修復。
但即便Checkm8的優勢很多,Elcomsoft iOS Forensic Toolkit還是具有明顯的優勢。
首先,checkm8隻會與有限型號的設備和iOS版本兼容:iPhone 5s至iPhone X,以及iOS 12.3起。因此, iPhone Xr,Xs,11和11 Pro,以及許多iPad都無法用到這種工具;他們不容易受到這種攻擊。此外,儘管該漏洞利用程序是基於硬體的,但checkra1n越獄以及當前所有基於checkm8的提取過程均與iOS 12.2及以下版本不兼容。
其次,checkra1n越獄並非100%可靠,有很多兼容設備無法使用,而checkm8也是如此。如果有錯誤,你的提取工作將陷入困境。要是不小心,你的設備甚至可以發生崩潰,這確實發生在我們的幾個測試設備上。至於速度,由於是依靠ssh,它的性能實在是太低,比如有些提取無法在一周內完成。
不過checkra1n / checkm8僅有的兩個真正優點是:
1. 它們不需要Apple開發人員帳戶,並且它們允許對密碼未知的設備進行BFU(首次解鎖之前)提取。
2. checkra1n支持iOS 13.3.1(撰寫本文時的最新版本,不過13.4有望很快發布),你可以將checkra1n與iOS Forensic Toolkit結合使用,以獲取部分文件系統以及對鎖定甚至理想設備的鑰匙串進行提取。
使用及故障排除
確保你已閱讀iOS Forensic Toolkit手冊以及以下兩篇文章:
1. 在macOS 10.15 Catalina上安裝和使用iOS Forensic Toolkit ;
2. Windows上的iOS採集:提示與技巧。
下面,我總結了在沒有越獄的情況下獲取iPhone(ios11和ios12)的所有步驟:
1. 將設備強制置於飛行模式,然後使用EIFT將其連接到計算機,確保通過iOS設置(而不是從控制中心)禁用了Wi-Fi和藍牙;
2. 建立信任關係,否則你將在EIFT中收到 「ERROR: Could not connect to lockdownd, error code -2」 消息;
3. 通過EIFT安裝提取代理,你需要輸入Apple ID和特定於應用程式的開發人員帳戶密碼,然後輸入TeamID。請注意,籤署代理需要在你的計算機上連接網際網路,但不在iOS設備上,iOS設備應該一直保持離線狀態。
4. 安裝代理後,建議在執行獲取的計算機上禁用所有網際網路連接。
5. 在設備上調整代理,並使其在前臺運行。
6. 獲取鑰匙串並提取文件系統;在獲取鑰匙串期間,你必須在設備上輸入密碼(有時需要兩次),或使用Touch ID或Face ID解鎖。對於使用Face ID的設備,你將首先收到是否允許代理將其用於鑰匙串訪問的提示。
7. 卸載代理。
如果在設備上運行提取代理時出現問題,例如EIFT中如果出現「無法連接到指定埠上的設備」消息,則可能需要重啟設備。注意,在重新啟動後至少要等待一分鐘,才能再啟動代理。
操作提示:如果你不想在每臺新設備上安裝代理程序時輸入Apple ID、密碼和團隊ID,則可以在EIFT腳本 (Windows: Toolkit.cmd, lines 20-22; macOS: macosx/Toolkit.sh, lines 42-44)中直接設置它們:
·AGENT_PASSWORD=abcd-efgh-ijkl-mnop
·AGENT_TEAMID=XXXXXXXXXX
其中AGENT_ID是註冊到Apple Developer Program的Apple ID; AGENT_PASSWORD是你應該在帳戶上生成的特定於應用程式的密碼,而AGENT_TEAMID是團隊ID,你可以通過登錄到Apple的開發人員中心,在「帳戶」 |「成員身份」中的「成員身份信息」下輕鬆找到它。
參考及來源:https://blog.elcomsoft.com/2020/03/full-file-system-and-keychain-extraction-now-with-ios-13-and-iphone-11-support/