Tajný život zamčeného iPhonu: Co je uvnitř uloženo po léta

Proč je nebezpečné vyhodit telefon?

Jmenuji se Vitaly a ve společnosti Positive Technologies vyšetřuji incidenty týkající se mobilních zařízení. Celkově se mobilní kriminalistice věnuji více než šest let. Za tu dobu jsem prozkoumal mnoho různých telefonů: od nejjednodušších možností – bez zaheslovaného přístupu k obsahu, až po telefony s rozbitou obrazovkou, poškozeným konektorem rozhraní, utopené, zablokované a resetované. Bylo mezi nimi mnoho iPhonů.

Nedávno jsem při procházení věcí v bytě narazil na svůj starý iPhone, na který se na poličce už dlouho sedal prach. Když jsem zařízení zapnul, viděl jsem nepříliš povzbudivou zprávu: „iPhone je vypnutý. „Připojit k iTunes.“ Nejčastěji naznačuje, že přístup k datům je nenávratně ztracen.

Na mobilních zařízeních Apple se po zadání 10 nesprávných kombinací hesel vymažou šifrovací klíče, což znesnadňuje, ne-li znemožňuje přístup k uživatelským datům. V takové situaci je možné extrahovat informace ze zařízení pouze před načtením operačního systému zařízení.

Zařízení založená na procesorech A5–A11 (iPhone 4S — iPhone X) mají hardwarovou zranitelnost, která umožňuje přístup k obsahu zařízení v režimu BFU (Before First Unlock) pomocíexploit checkm8.

O možnosti extrahovat data z telefonů ve stavu „iPhone je zakázán“. Connect to iTunes“ bylo napsáno poměrně hodně článků (např.jednou,dvaAtři), ale nenašel jsem žádné zobecněné informace o tom, jaký konkrétní soubor dat lze extrahovat, a co je neméně důležité, kde to všechno lze vidět. Proto jsem se rozhodl napsat tento článek.

Článek má pouze informativní charakter a není návodem ani výzvou k páchání protiprávního jednání. Naším cílem je informovat o existujících zranitelnostech, které mohou útočníci zneužít, varovat uživatele a poskytovat doporučení pro ochranu osobních údajů. Autor nenese odpovědnost za použití zveřejněných informací. Nezapomeňte svá data uchovávat v bezpečí.

Počáteční údaje

Máme tedy mobilní telefon iPhone 5s (A1533), do jehož paměti je po 10 neúspěšných pokusech o zadání hesla zablokován přístup.

Zranitelnost checkm8 lze použít k extrahování dat z klíčenky a systému souborů v režimu BFU. Tyto informace lze získat pomocí různých nástrojů: Elcomsoft iOS Forensic Toolkit, UFED 4PC atd.

Proces analýzy lze automatizovat a používat jak placené nástroje (například „Mobile Forensic Expert Plus“, „UFED Physical Analyzer“), tak nástroje s otevřeným zdrojovým kódem (například „iLEAPP»). Bohužel ne vždy umožňují zpracování všech typů dat v automatickém režimu, takže některé artefakty je nutné prohlížet ručně.

Během studia extrahovaných dat se ukazuje, že výzkumník může mít přístup k technickým informacím o zařízení a také informacím o uživatelských účtech autorizovaných v systému.

Co je odhaleno výzkumníkovi

Pro usnadnění jsem data, která má výzkumník k dispozici, seskupil do bloků. Ty byly celkem tři: artefakty mobilních zařízení, uživatelská data a artefakty aplikací. Uvedu podrobněji, co každý z bodů obsahuje.

I. Artefakty mobilních zařízení

1. Informace o nainstalované verzi iOS a čísle sestavení. Obvykle to lze vidět v následujících souborech:\private\var\installd\Library\MobileInstallation\LastBuildInfo.plist\System\Library\CoreServices\SystemVersion.plist\private\var\mobile\Library\Preferences\com.apple.locationd.plistNalezené mobilní zařízení mělo nainstalovaný iOS 12.4.3, sestavení 16G130. Tyto informace jsou velmi důležité v kontextu analýzy artefaktů mobilních telefonů, protože extrahovaná data mohou obsahovat různé množství informací v závislosti na verzi operačního systému.
2. IMEI zařízení a telefonní číslo. Informace jsou uloženy v tomto souboru:\private\var\wireless\Library\Preferences\com.apple.commcenter.device_specific_nobackup.plistReportedPhoneNumber uchovává informace o telefonním čísle, které bylo zaregistrováno v systému.imei je jedinečný identifikátor mobilního zařízení.meid — stejné jako IMEI, ale pro zařízení pracující v sítích CDMA.ReportedSubscriberIdentity — ICCID SIM karty.
3. Informace o modelu zařízení a síťových připojeních:\private\var\preferences\SystemConfiguration\NetworkInterfaces.plist
4. Informace o nastavení aplikace Najít můj iPhone:\private\var\mobile\Library\Preferences\com.apple.icloud.findmydeviced.FMIPAccounts.plist
5. Informace o zařízení, poslední záloha zařízení do počítače, nastavení zálohování iCloud:\private\var\root\Library\Lockdown\data_ark.plistDeviceName — název zařízení.com.apple.mobile.data_sync-Contacts → AccountNames — informace o synchronizaci kontaktů s iCloud.
6. Informace o záloze zařízení (vytvořené lokálně nebo na iCloudu), čas vytvoření, chyby:\private\var\root\Library\Preferences\com.apple.MobileBackup.plistRetryAfter — datum a čas, kdy lze zálohu opakovat.BackupIsDelayed – Datum a čas, kdy byla záloha zpožděna.DrySpellFollowUpItem – Datum a čas, kdy je naplánována další záloha.FailureCount – počet neúspěšných pokusů o zálohování.
7. Informace o aktualizacích zařízení:\private\var\mobile\MobileSoftwareUpdate\restore.logtargettOSVersion — verze operačního systému, která se má nainstalovat.deviceClass — typ zařízení.storageCapacity — kapacita paměti.currentOSVersion — aktuální verze operačního systému.eventTime — čas události.batteryLevel — úroveň nabití baterie při instalaci aktualizace.deviceModel — model zařízení.výsledek — zda byla úloha úspěšně dokončena.

II. Údaje identifikující uživatele

1. Nastavení konfigurace sítě systému:\private\var\preferences\SystemConfiguration\preferences.plistModel — model zařízení.Síť → LocalHostName – název přiřazený zařízení v místní síti, který umožňuje ostatním zařízením v této síti jej identifikovat.Systém → Název počítače – název zobrazený v nastavení mobilního telefonu v sekci O tomto zařízení.
2. IMEI zařízení, telefonní číslo, nastavení sítě, identifikátory SIM karty (ICCID, IMSI):\private\var\wireless\Library\Preferences\com.apple.commcenter.plistmdn (Mobile Directory Number) — telefonní číslo účastníka.ts (Timestamp) — časové razítko.label-id – jedinečný identifikátor, který lze použít ke sledování nebo identifikaci tohoto záznamu v systému.
3. Informace o poloze předplatitele (zde také můžete vidět informace o sériovém čísle zařízení):\private\var\root\Library\Caches\locationd\consolidated.db
4. Informace o SIM kartách (ICCID, MSISDN) použitých v zařízení, včetně dat jejich posledního použití:\private\var\wireless\Library\Databases\CellularUsage.dbsubscriber_id — ICCID zařízení.subscriber_mdn — číslo mobilního telefonu.last_update_time — datum jejich použití ve formátu Unix.
5. Informace o AirDrop ID zařízení:\private\var\mobile\Library\Preferences\com.apple.sharingd.plist
6. Informace o nastavení a předvolbách z aplikace Nastavení. Zajímavé je, že může obsahovat data o účtu Apple ID uživatele v mezipaměti:\private\var\mobile\Library\Preferences\com.apple.Preferences.plistcachediCloudTitle — uživatelské jméno.cachediCloudUsername – E-mailová adresa přidružená k účtu uživatele na iCloudu.
7. Informace o připojených a spárovaných zařízeních Bluetooth:\private\var\containers\Shared\SystemGroup\GUID\Library\Database\com.apple.MobileBluetooth.ledevices.paired.dbNázev — název zařízení.Address, ResolvedAddress — MAC adresa zařízení.LastSeenTime a LastConnectionTime jsou časové značky udávající, kdy bylo zařízení naposledy objeveno a připojeno.
8. Informace o konfiguraci aplikace Zprávy. Tento soubor může také ukládat informace o telefonním čísle účastníka:\private\var\mobile\Library\Preferences\com.apple.imservice.SMS.plistDisplayName – zobrazovaný název účtu.LoginAs – Určuje, jak se uživatel přihlašuje. V tomto případě se jedná o telefonní číslo.OnlineAccounts, ActiveAccounts, Status – informace o identifikátoru účtu.

1. Informace o bodech Wi-Fi, ke kterým se zařízení dříve připojilo:\private\var\preferences\SystemConfiguration\com.apple.wifi.plistSSID_STR — název sítě.lastUpdated — datum a čas poslední aktualizace informací.BSSID — MAC adresa přístupového bodu.
2. Informace o oblíbených kontaktech uživatele:\private\var\mobile\Library\Preferences\com.apple.mobilephone.speeddial.plistJméno — jméno kontaktu z adresáře.ABDatabaseUUID je jedinečný identifikátor záznamu.Hodnota — telefonní číslo kontaktu.
3. Informace o uživatelském účtu v aplikaci FaceTime:\private\var\mobile\Library\Preferences\com.apple.conference.plistphoneNumberRegistrationSubscriptionLabel je jedinečný identifikátor.registration.savedAccountName – název uloženého účtu.
4. Informace o zablokovaných kontaktech uživatele:\private\var\mobile\Library\Preferences\com.apple.cmfsyncagent.plist_kCMFItemPhoneNumberCountryCodeKey — kód země._kCMFItemPhoneNumberUnformattedKey — telefonní číslo.
5. Informace o účtech používaných na zařízení (iCloud, Apple ID a další):\private\var\mobile\Library\Accounts\Accounts3.sqlite
6. Informace o účtu iCloud používaném s domácím sdílením. Home Sharing je funkce dostupná na zařízeních Apple, která uživatelům umožňuje sdílet svou knihovnu médií (hudbu, filmy, televizní pořady atd.) s jinými zařízeními ve stejné síti:\private\var\mobile\Library\Preferences\com.apple.homesharing.plisthomeSharingAppleID – Apple ID používané pro domácí sdílení.homeSharingGroupID – ID domácí skupiny sdílení.
7. Informace o stavech ověřování uživatelů uložených v mezipaměti v Apple ID. Tento soubor lze použít k získání informací o tom, kdy aplikace jako iMessage, FaceTime poprvé komunikovaly s jinými zařízeními registrovanými Apple ID:\private\var\mobile\Library\Preferences\com.apple.identityservices.idstatuscache.plistTo však nutně nepotvrzuje skutečnost, že mezi uživateli proběhl dialog: při vytváření konceptů zpráv a následném mazání zprávy je uživatel autentizován pomocí Apple ID a tato data jsou vyplněna v souboru plist.tel — telefonní číslo.LookupDate — datum hledání.Chcete-li zkontrolovat, zda bylo zařízení infikováno spywarem Pegasus, je často analyzován tento konkrétní soubor plist:https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso.Je však třeba zvážit, že počínaje iOS 14.7.0 nejsou v tomto souboru zahrnuty informace o ověření uživatele.
8. Soubor s obsahem klíčenky uchovává informace o uživatelských účtech, což je také důležité pro vyšetřování. Stojí za zvážení, že klíčenka uživatele je šifrovaná. Chcete-li to analyzovat, musíte dešifrovat obsah.

III. Použité aplikace

1. Informace o nejdůležitějších kontaktech uživatele v aplikaci Mail pro iOS:\private\var\mobile\Library\Mail\VIPs.plistEmailAddresses – informace o poštovní schránce zvláště důležitého kontaktu.
2. Velmi zajímavý adresář \private\var\mobile\Library\Logs s různými soubory protokolu zařízení.Soubor \private\var\mobile\Library\Logs\mobileactivationd\mobileactivationd.log obsahuje informace o procesu aktivace zařízení, včetně úspěšných a neúspěšných pokusů o aktivaci, časových razítek.Adresář \private\var\mobile\Library\Logs\CrashReporter obsahuje soubory protokolu zpráv o selhání aplikace. Tyto soubory vytváří systém, když se aplikace neočekávaně ukončí nebo dojde k chybě.Soubory umístěné v adresáři \private\var\mobile\Library\Logs\CrashReporter\WiFi\WiFiManager ukládají informace o selhání součástí správy Wi-Fi.Z těchto souborů můžete získat informace o geolokaci Wi-Fi bodu a přibližné poloze zařízení během zadaného časového období.
3. Protokol \private\var\installd\Library\Logs\MobileInstallation\mobile_installation.log obsahuje informace o instalaci aplikací: najdete v něm záznamy o procesu instalace, aktualizace a odebrání aplikací.
4. Informace o oprávněních pro aplikace: přístup ke kameře, mikrofonu, poloze, kontaktům:\private\var\mobile\Library\TCC\TCC.dbslužba — typ oprávnění.klient — aplikace.
5. Informace o aplikacích, které využívají služby určování polohy:\private\var\root\Library\Caches\locationd\clients.plistru.yandex.mobile.search — identifikátor balíčku aplikace.ReceivingLocationInformationTimeStopped – Čas, kdy bylo zastaveno přijímání informací o poloze.
6. Velmi zajímavý adresář se všemi nainstalovanými aplikacemi \private\var\mobile\Containers\Data\Application.V tomto adresáři byl nalezen podadresář obsahující GUID aplikace WhatsApp. Obsahuje podadresář \Library\Logs s informacemi o změně verze aplikace (z 2.19.51 na 2.19.120), telefonním číslem uživatele, časem odesílání a přijímání zpráv (bez textu samotných zpráv).Podadresář \Library\Caches\ChatMedia, který obsahuje složky s telefonními čísly odběratelů, se kterými si uživatel vyměnil mediální soubory.Soubor \private\var\mobile\Library\Assistant\CustomVocabulary\net.whatsapp.WhatsApp\00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000\ContactGroupNameTypeGroupgroups.Informace o názvech aplikace WhatsAppoType.V souboru \private\var\mobile\Containers\Data\Application\GUID Telegram\Library\SyncedPreferences\ph.telegra.Telegraph.plist jsou uloženy informace o účtu (použité telefonní číslo) v telegramovém messengeru.Informace o webovém obsahu Safari byly nalezeny v adresáři \private\var\mobile\Containers\Data\Application\GUID Webkit\Library\WebKit\WebsiteData: byly získány informace o zdrojích navštívených uživatelem.
7. Zajímavý je adresář \private\var\mobile\Media, sloužící k ukládání mediálních souborů a dalších uživatelských dat. V tomto adresáři jsem našel soubor \Downloads\downloads.28.sqlitedb s informacemi o stažených souborech (typ souboru, odkaz na zdroj, ze kterého bylo stahování provedeno).Adresář Nákupy ukládá obsah souborů. V našem případě se jedná o zvukový soubor a obal alba ve formátu JPEG.
8. Adresář Recordings obsahuje podadresáře udávající datum a čas vytvoření zvukové nahrávky v aplikaci Hlasový záznamník.

Závěry

Jak vidíte, i po 10 neúspěšných pokusech o zadání hesla je stále možné z některých iPhonů získat informace, které se budou hodit nejen pro osobní potřebu, ale i pro vyšetřování. Stojí za zvážení, že existuje mnoho různých nuancí, které určují schopnosti výzkumníka. Například verze OS zařízení, přítomnost hardwarových zranitelností, přítomnost různých aplikací na zařízení, jaké mají verze atd. Nejedná se tedy o vyčerpávající výčet artefaktů, které lze ze zařízení získat.

Abychom vám usnadnili navigaci, jaké informace jsou dostupné z iPhone ve stavu „iPhone je zakázán“. Connect to iTunes“ Sestavil jsem tabulku s údaji, které se mi podařilo získat v rámci aktuálního výzkumu.

Také bych rád sdílel odkazy na zdroje SANS, které mohou být užitečné pro vedení vyšetřování:

• Forenzní analýza macOS a iOS
• DFIR Advanced Smartphone Forenzní
• Plakát forenzní referenční příručky forenzních aplikací třetích stran pro iOS

Bohužel jediný způsob, jak se plně chránit před zneužitím této zranitelnosti, je přestat používat zařízení, která jsou touto zranitelností ovlivněna (iPhone 4S – iPhone X). Pokud to není možné, nainstalujte na svůj iPhone nejnovější dostupné aktualizace. To pomůže snížit riziko úniku důvěrných informací a zlepší celkové zabezpečení vašich dat.

To je vše. Možná teď některé z vás napadne, zda po koupi nového modelu svůj starý iPhone nevyhodit.

Autorství: Kopie materiálů někoho jiného