如何在iOS 11.4和iOS 11.4.1上實現iPhone物理採集
iOS11.4~iOS11.4.1系統終於可以越獄啦!等了那麼久,終於等到了。目前為止,Electra和Unc0ver已經支援iOS11.0~11.4.1系統版本,支援裝置有:A9/A9X/A10/A10X/A11。Reddit的Jalbrick社群中有人分別用Unc0ver/Electra越獄做電量使用測試,在完全相同環境下做電池續航效能測試,完全相同裝置、完全相同的設定和下載完全相同外掛工具,並自然的分別使用一天,測試結果顯示越獄電量續航、發熱明顯改善。那Unc0ver和Electra具體該怎麼選擇呢?我們的意見是,如果現在想越獄的話,就選Unc0ver。如果你手機之前用的Electra但是喜歡折騰的話,可以先平刷或者類平刷,然後再用Unc0ver越獄。如果你之前用Electra但是動手能力沒那麼強的話,可以選擇再觀察一段時間。
以上的這些越獄資訊表明取證人員可以利用unc0ver和Electra,在執行iOS 11.4和iOS 11.4.1的Apple裝置進行檔案系統提取。利用這兩個最新的越獄工具,無論硬體配置如何,所有版本的iOS 11都可以越獄。今天,就讓我們談談如何對鑰匙串和檔案系統提取。
越獄
iOS雖然足夠安全,但僅靠許可權升級還不足以開發出一個有效的越獄。今天的越獄工具會利用一系列漏洞來逃避沙箱,獲取root許可權,重新安裝檔案系統並執行其他步驟來提供可由專家、開發人員或極客安裝和使用的軟體包。
要發現可以利用的漏洞是非常困難的,需要研究團隊的協調努力。其中一個團隊名為 Google Project Zero 。該團隊的工作就是幫助越獄社群為iOS 10的最新版本和iOS 11.4之前的大多數iOS 11版本開發越獄工具。
在此感謝Project Zero,現在iOS 11的兩個最新版本iOS 11.4和iOS 11.4.1,都可以進行越獄。
unc0ver
下載地址: https://github.com/pwn20wndstuff/Undecimus/releases
使用說明: https://www.youtube.com/watch?v=TqHYjLHO0zs
Electra
下載地址: https://coolstar.org/electra/
Google Project Zero(適用於iOS 11.4.x到12.1.2的tfp0漏洞利用): https://bugs.chromium.org/p/project-zero/issues/detail?id=1731#c10
注意:如果你在搜尋引擎上搜索相關的越獄工具,可能會出來許多連結。所以,請確保直接從上面列出的兩個連結下載越獄工具。
那取證專家是如何使用這些越獄工具的呢?下面就讓我們使用這些工具來執行完整的檔案系統提取。
檔案系統提取
訪問檔案系統的先決條件就是要對裝置進行解鎖,如果你不知道密碼,則必須先使用GrayKey等解決方案將其破解。但是,即使你確實知道密碼或取證裝置沒有設定密碼,提取裝置的內容也並非你想的那麼簡單。
iOS裝置從一開始,就使用了安全加密來保護使用者資料免受硬體攻擊。 而iOS 8更是將安全效能提到了一個新的高度,即使蘋果公司自己也無法在沒有密碼的裝置裡提取資訊。 iPhone 5s的釋出又增加了另一項安全措施——Secure Enclave,“Secure Enclave”的高階安全架構,專門開發用於保護密碼和指紋資料。指紋資料會被加密、儲存在裝置上並通過 Secure Enclave 的專用金鑰受到保護。指紋資料僅由 Secure Enclave 使用,以驗證您的指紋是不是與所註冊的指紋資料匹配。裝置上的作業系統或裝置上執行的任何應用程式不會訪問指紋資料。指紋資料絕不會儲存在 Apple 伺服器上,絕不會備份到 iCloud 或其他任何地方,也不會用於匹配其他指紋資料庫。
如果iPhone使用的是iOS11.4~iOS11.4.1之前的系統,則對其進行物理採集通常意味著對資料分割槽進行映像,然後對資料進行解密。由於執行映像需要低階儲存訪問,而這種低階訪問只能由越獄或或基於類似原則的許可權升級漏洞來提供。從iPhone 5s開始,即使進行越獄也無法訪問加密金鑰。這個金鑰由Secure Enclave保護,Secure Enclave是Apple首款64位SoC引入的硬體和軟體子系統。對於iPhone 5s和所有較新的iPhone(iPhone 5c除外),使用物理採集的專家將收到檔案系統(檔案和資料夾)的副本,而不是完整的記憶體轉儲。
所以訪問檔案系統仍需要實施越獄,原先,除了iOS 11.4和iOS 11.4.1之外,iOS 11的所有版本都提供了公共越獄。 不過隨著uncodver和Electra越獄工具的出現,終於所有的iOS都可以進行越獄了,取證專家也可以通過物理採集的方式對iOS裝置的內容進行低級別的訪問。
和所有其他採集方法相比,物理採集具有許多優點。由於可以對檔案系統受保護部分的低階訪問,專家可以提取儲存在應用程式的沙箱資料集中的資訊,訪問系統日誌、臨時檔案、預寫日誌等等。通過對檔案系統的低階訪問,專家可以全面分析裝置的位置歷史和詳細的使用歷史。他們可以閱讀許多即時訊息應用程式的電子郵件和對話歷史記錄,即使有人設法破壞或重置密碼,這些資訊也不會出現在雲備份或本地備份中。
雖然我們開發瞭解密本地和 iCloud 鑰匙串 的方法,但物理採集仍然是針對具有最高保護級別的鑰匙串解密的唯一方法。換句話說,檔案系統提取可以完全訪問應用程式沙箱和所有系統區域。
越獄工具的安裝
所有最新的越獄軟體都是通過Cydia Impactor從計算機的sideload刷機模式.ipa檔案,或者使用線上服務在iPhone上執行相同任務來安裝的。雖然線上安裝方法更容易使用,但有很多安全隱患,因為沒有人確切知道越獄後iPhone上將安裝什麼。Cydia Impactor是Cydia 之父Saurik釋出的一個全新的越獄應用,它可以幫你的iOS越獄裝置恢復到未越獄狀態,恢復到原生iOS韌體,所有安裝了的越獄軟體包都會被移除。
注意:為了通過sideload模式刷機獲得iPhone上.ipa檔案的越獄證書,你需要提供Apple ID的登入名和密碼。雖然你可以使用自己的Apple ID,但我們建議你建立一個不帶雙因素身份驗證的一次性Apple帳戶。方法如下:
1.使用iTunes或Elcomsoft iOS Forensic Toolkit備份資料,如果備份密碼為空,請指定並記錄臨時密碼。
2.使用上面提到的連結,下載你要使用的越獄工具。
注意:如果你嘗試使用搜索引擎來搜尋unc0ver和Electra的連線,你可能會找到許多傳播惡意軟體的網站,我們強烈建議你僅從受信任的來源下載。方法如下:
1.下載 Cydia Impactor 應用程式,Windows,Mac,Linux目前都支援該程式。
2.Cydia Impactor,由Saurik開發,用於簽名IPA檔案,使越獄工具可以在iOS裝置上執行。你需要使用有效的Apple ID憑證來簽名IPA,我們建議你使用新建立的Apple ID來簽名證書。
3.將iOS裝置連線到計算機,選擇信任iOS裝置上的計算機並啟動Cydia Impactor。
4.將越獄IPA拖到Cydia Impactor應用程式上;
5.出現刷機提示時提供Apple ID和密碼。單擊確定以允許Cydia Impactor簽名IPA並將其上傳到iOS裝置上。建議不要使用含有雙因素驗證的一次性Apple帳戶,另外不要使用與裝置上的主ID相同的Apple ID。如果你使用的是非一次性帳戶,並且該帳戶具有雙因素身份驗證,則需要在 https://appleid.apple.com/account/manage 上建立應用專用密碼
6.Cydia Impactor會將IPA檔案通過sideload模式刷機到iOS裝置上;
7.如果你此時嘗試啟動越獄IPA,則嘗試會失敗,因為該應用程式的數字證書尚未受信任。
8.由於你需要信任證書才能啟動越獄,所以,請在iOS裝置上開啟“設定”>“常規”>“裝置管理”。你將在“Apple ID”標題下看到開發人員的個人資料,點選個人資料以建立對此開發人員的信任。
注意:這需要在裝置上進行有效的網際網路連線,不過這可能會帶來風險。你可以通過使用開發人員證書(註冊為開發人員帳戶的Apple ID)來避免此風險,在這種情況下,不需要執行此步驟。
9.在iOS裝置上,找到越獄應用程式並執行它。按照螢幕上的說明操作,如果使用unc0ver,你將看到以下情況。
10.越獄後,裝置將重新啟動。
注意:如果你看到如下所示的錯誤,請參閱上面的先決條件和疑難解答部分。
11.Elcomsoft iOS Forensic Toolkit需要一個有效的SSH連線來對檔案系統進行映像,如果你決定使用unc0ver,則需要從Cydia安裝OpenSSH。 Electra已經捆綁了一個在埠22監聽的SSH守護程序。
注意:unc0ver越獄不附帶捆綁的SSH守護程式,由於iOS Forensic Toolkit需要SSH連線,我們建議從Cydia安裝OpenSSH。以前版本的Electra確實捆綁了一個SSH守護程序,並且不需要安裝OpenSSH。目前,我們還沒有測試當前版本的Electra。
使用雙因素身份驗證的帳戶需要生成特定於應用程式的密碼:
越獄簽名:一次性Apple ID與開發者證書
如上所述,為了使用sideload模式處理IPA檔案並在iOS裝置上執行它,你需要對IPA檔案進行簽名。雖然我們通常建議使用一次性Apple ID帳戶來獲取數字簽名,但這樣做會帶來一定的風險。由於對IPA檔案進行簽名時,需要在計算機上進行有效的網路連線。為了執行新簽名的IPA檔案,你可能需要“信任”你嘗試越獄的iOS裝置上的證書。由於建立信任需要在iOS裝置上有效的網路連線,這反過來又存在允許裝置連線到Apple的Find My iPhone服務的相關風險,使其可能容易受到遠端鎖定或遠端擦除命令的攻擊。
不過你可以使用註冊在蘋果開發者計劃中的蘋果ID賬戶來簽署越獄IPA,從而完全避免這種風險。如果你使用開發人員Apple ID對越獄檔案進行簽名,則不必“信任”裝置上的證書,也不需要有效的網路連線。
使用開發人員證書籤名的越獄工具的有效期是1年,使用一次性Apple ID簽名的IPA檔案可在7天內有效,之後你將就是從sideload模式開始,重複整個過程。
是用Unc0ver還是Electra?
iOS 11.4以及iOS 11.4.1裝置有兩種不同的越獄可用,那到底是用是用Unc0ver還是Electra呢?
由於同一臺蘋果裝置只能執行一種越獄工具,因此我們只能選擇其中一個。根據我們的測試,unc0ver越獄工具安裝後,需要嘗試多次重啟。也就是說,雖然我們沒有測試Electra,但我們希望它以類似的方式工作。我們研究了以前的Electra版本,是關於在 iOS 11.2- iOS 11.3.1上使用 Electra 越獄工具進行iPhone物理採集 的。
提取檔案系統
越獄工具安裝完成後,提取檔案系統相對容易了。步驟如下:
1.禁用正在獲取的iPhone上的Wi-Fi,最好是將裝置置於飛航模式。
2.在執行iOS Forensic Toolkit的計算機上禁用Wi-Fi,以確保沒有其他iOS裝置連線到相同的網路中的其他裝置。
3.執行 Elcomsoft iOS Forensic Toolki 。
4.在主視窗中,選擇“D”以禁用螢幕鎖定。如果要提取鑰匙串項,則需要這樣做。如果螢幕在鑰匙串提取過程中被鎖定,則某些記錄將保持加密狀態,無法被提取;如果在獲取檔案系統時發生這種情況,那麼一些檔案將不會被複制。
5.在主視窗中,選擇“K”以提取鑰匙串。由於鑰匙串與其他資料相比要小得多,因此可以立即進行提取。從64位iOS裝置中提取和解金鑰匙串的能力是Elcomsoft iOS Forensic Toolkit的獨特功能。除此之外,唯一可以解金鑰匙串的工具是GrayKey。鑰匙串包含使用者儲存的密碼以及許多令牌,這些令牌可用於在沒有登入名和密碼的情況下登入各種網站和社交網路。
注意:系統將提示你輸入超級使用者密碼(兩次),預設密碼為alpine。
6.現在,你可以使用“F”命令提取檔案系統。根據提取的iPhone的大小,該過程可能需要的時間則不相同。
映像檔案系統
物理採集的最終結果,會以UNIX格式提取裝置檔案系統的完整映像。UNIX路徑中允許的一些字元和檔名在Windows中是禁止的,出於這個原因,我們選擇使用TAR格式而不是ZIP來儲存檔案系統的內容。出於資料分析的需要,你可以解壓縮或裝載TAR檔案。但是,我會教大家構建了一個用於分析此類TAR檔案的工具。
Elcomsoft Phone Viewer 可以開啟由Elcomsoft iOS Forensic Toolkit生成的iOS TAR檔案。此外,該工具還可以開啟由GrayKey生成的檔案系統的ZIP檔案。有了它,你將獲得全面的 位置資料 、Apple Pay交易歷史, 通知資訊 等。
除了越獄還有其他物理提取的方法嗎?
除了通過越獄進行物理提取,還有其他方法。比如使用GrayKey,灰鑰匙(GrayKey)是由一家名為Grayshift的公司開發,一個專為執法部分破解iPhone的工具,外部有兩個Lightning線纜。另外,GrayKey只提供給特定地區的特定執法機構和政府機構。GrayKey使用與越獄中相同或類似的漏洞。出於顯而易見的原因,該公司沒有披露其解決方案的技術細節。
另外,如果你能夠使用 Cellebrite提供的服務 ,那它則是越獄工具和GrayKey的真正替代品。其開發公司的總部位於以色列,甚至比GrayShift還隱祕,所以我們無法對他們支援的硬體和軟體發表評論。
總結
多虧了Google Project Zero,我們終於可以在iOS 11的最新兩個版本中實現越獄。目前,研究人員已經在iOS 12.0到12.1.2中發現了漏洞。撰寫本文時,最新版本的iOS是12.1.3,但現在仍有可能降級到iOS 12.1.2甚至12.1.1。這些漏洞已經導致了成功的許可權升級漏洞,但我們離成功越獄還有很長的路要走。然而,理論上講,即使沒有越獄也可以完全訪問iOS12檔案系統!