如何對蘋果裝置進行雲取證
雲取證可以說是移動取證的未來發展方向,因為雲端的儲存資訊量要遠遠大於裝置上的資訊量,而且對雲端的取證可以不用考慮裝置的好壞或是否能正常工作。
不過,要對雲端進行訪問,就必須得獲取正確的身份驗證憑證,比如登入名和密碼,還有就是以二進位制身份驗證令牌形式快取的憑證。如果沒有身份驗證憑證,肯定無法訪問資料。然而,你以為有了正確的身份驗證憑證,就可以訪問儲存在雲中的證據了嗎?與人們普遍認為的相反,即使獲取正確的登入憑證,也不一定能對儲存在雲中的資料進行訪問。本文中,我將告訴你如何訪問儲存在Apple iCloud中的資料。
前言
每次當有研究人員釋出有關於雲取證工具的更新時,都會引來很多評論。最新的例子是MacRumors的文章 ofollow,noindex">“極端情況下,ElcomSoft的最新版本可以訪問iCloud中的iMessages” 。此文一出,就有很多網友評論到:
·“這下iCloud都不安全了,攻擊者可以隨意訪問我們的資料了。”;
· 還有人評論到“這就好比有人竊取了我的銀行卡和密碼,可以隨意地在自動取款機上取錢一樣。”;
· 還有人評論到“如果有人獲得你的Apple ID、密碼就一定能夠獲得你的資訊!”。
以上所有的評論,都有一個假設,就是如果一旦正確的憑證被獲取,對方就可以肆無忌憚地訪問雲端的資訊,對吧?
顯然,沒有一個使用者嘗試過這些假設是否能夠實現。說到Apple的封閉式生態系統,擁有正確的身份驗證憑證並不意味著你可以訪問資訊,更不用說“輕鬆訪問”了。
為什麼在雲取證時,除了獲得正確的身份驗證憑證,你還需要藉助額外的工具?
讓我們從一個簡單的測試開始,我會給你一個測試用的Apple賬號的登入名(Apple ID)和密碼,讓你嘗試從該帳戶中提取你認為能提取的應用程式資料、密碼和訊息。假設我們都可以訪問輔助身份驗證因素,並且都知道測試裝置的密碼或系統密碼。我將使用Elcomsoft Phone Breaker,而你可以使用任何你想要的東西(除了任何取證工具),看看誰能獲得使用者儲存的資料。
第1步 :使用登入名、密碼和雙因素身份驗證對iCloud進行身份驗證;
第2步:我將所有已同步的資料(包括密碼和訊息) 下載 到我的測試裝置上。然後,我輸入該測試裝置密碼,獲得資料的時間 總共花了1分52秒 ,其中就有 獲得的密碼 ;
以上是我獲取資料的過程,現在輪到你了。你可以登入 https://appleid.apple.com/ 線上檢視密碼和訊息嗎?不,你只能從Apple裝置訪問訊息和密碼。你需要一個備用的蘋果裝置來恢復iCloud備份,並同步密碼和訊息。
為此,你要備用iPhone,iPad或iPod Touch,並確保它執行最新版本的iOS。接著,你要進行設定,以恢復雲備份,此時測試帳戶的所有者會收到電子郵件警報,然後等待既可。通常為30分鐘到幾個小時)。此時,你要啟用iCloud 鑰匙串和訊息同步,這樣帳戶持有者會收到另一個警報,然後等待既可。
裝置設定完畢後,你可以通過設定逐個檢視密碼:
你可以通過訊息應用程式訪問訊息,如果要將應用程式資料(iCloud備份)轉儲後進行離線分析,你必須先通過iTunes備份手機,然後才能處理該備份資訊。(順便說一下,你是否知道必須為該備份指定一個臨時密碼才能訪問所有信息的操作嗎?之後你需要對其進行解密,如果你不使用取證工具,這樣做可能會很困難)。
注意:備份資料中,沒有地圖資料,因為此資料不會包含在本地備份中。如果你需要訪問使用者的地圖資料,則必須使用Elcomsoft Phone Breaker或類似的取證工具。
如果要取證的裝置有多個備份,你可能需要多次重複出廠設定的過程。
假如你能順利獲取自己想要的資料,那這個過程你花了多少時間?這是一次輕鬆的體驗嗎?
GDPR條款
你可能會想,利用今年新發布的GDPR條款,就可以在 https://privacy.apple.com/ 上填寫一個表格,然後就可以下載到蘋果公司所知道的關於使用者的所有資訊。
而事實上,蘋果公司按著GDPR條款列出的資料並非真正意義上的全部資料,下圖顯示了使用GRPR pulls匯出的完整資料類別列表。
仔細觀察,你會發現通過GDPR請求獲取的資訊中缺少兩個主要類別的資料:
·訊息(SMS和iMessages);
· iCloud 鑰匙串(使用者線上帳戶的密碼);
蘋果公司稱,這些資料是通過一個金鑰進行加密,而該金鑰則由已註冊裝置的密碼或系統密碼保護。因此,使用者或安全調查員無法通過GDPR請求訪問這些型別的證據。
那麼如果你要對訊息和iCloud鑰匙串進行訪問,該怎麼做呢?
如果你擁有正確的登入憑證,並且你對使用取證工具持懷疑態度,那麼你就必須按著複雜的步驟才能達到訪問目的。
1.找一個備用iOS裝置(iPhone、iPad或iPod Touch),該裝置要與要取證的裝置執行相同版本的iOS;
2.將備用的iOS裝置還原到出廠設定,然後在備份的雲資料中,將使用者的Apple ID和密碼進行恢復(可能需要30分鐘到幾個小時);
3.通過iCloud鑰匙串註冊裝置,並進行訊息同步,注意:訊息同步時需要已註冊裝置的密碼或系統密碼;
4.耐心等待裝置同步密碼和訊息(可能需要幾分鐘到幾個小時);
5.如果你只需要獲取特定的密碼或訊息,則可以在裝置上手動訪問它。但是,如果你需要分析所有密碼或訊息,則需要通過本地備份轉儲所有項;
6.將已經轉儲的裝置連線到你的計算機,然後使用iTunes進行本地備份(注意,一定要記住設定的臨時密碼,這是訪問密碼時所必需的)。這個過程可能需要幾分鐘或幾個小時,具體取決於裝置的資料量;
7.不過目前沒有蘋果公司製作的軟體可以處理iTunes備份,因此你需要第三方工具來解密和分析這些備份。
8.最後,你可以匯出密碼和訊息;
總的下來,這個過程大概得花幾個小時的時間。但是如果你使用取證工具呢?只需大約一分鐘就完成了同樣的任務。為此,我親自測試了一下, 大概是33秒 ,就可以提取密碼。
然後獲取訊息的時間, 大約是27秒 。
現在,讓我們繼續接著聊GDPR所能提供的證據資訊。除了訊息(SMS和iMessages)和iCloud 鑰匙串外,那剩下的資料是否就都能得到呢? 蘋果公司聲稱處理GDPR請求可能需要7天時間。
如果你能等得起,那就去等吧。如果著急用,我可以教你一些比較快速的獲取方式。
通過政府請求的方式獲得
執法部門長期以來一直能夠通過政府請求的方式獲取證據,對於Apple帳戶來說,政府請求的資料主要包括兩方面內容:帳戶裡保留的個人資訊和帳戶本身的資訊(比如登入名、密碼),所有請求均按照蘋果公司的隱私政策處理。
不過在回覆政府請求時,蘋果公司都是以其專有格式提供資訊,取證人員以加密形式接收資訊。此時蘋果只會提供解密金鑰,而不提供解密工具。由於解密過程很複雜,許多專家都會選擇使用Kleopatra或GPG等第三方工具,或購買Cellebrite或BlackBag等公司提供的解密服務。由於生成的解密資料採用的是二進位制格式,因此需要藉助更多工具來分析。
通過政府請求的方式獲取資料的好處,是不需要知道使用者的身份驗證憑證。如果登入名和密碼以及二進位制身份驗證令牌都不可用,則政府請求可能是獲取資訊的唯一方式。
不過這些都是政府在獲取一般蘋果裝置的優勢,在獲取雲端的內容時,政府請求的方式就具有許多缺點,比如:
1.需要大量的法律證據和支援;
2.只能申請調取案發以前的資料;
3.這個過程很漫長,可能需要幾周時間(除非你提出緊急請求);
4.蘋果公司以二進位制格式提供加密資料,雖然還提供瞭解密金鑰,但他們不提供解密金鑰的工具。第三方工具和服務可用於幫助調查人員解密資料,這就會增加額外成本並延遲調查;
5.蘋果公司不會提供訊息或密碼(iCloud 鑰匙串),因為這些訊息或密碼還使用了不同的加密金鑰進行加密。如果你需要,你必須使用Elcomsoft Phone Breaker或按照上面所述的步驟操作;
何時需要雲取證工具
如果你決定不用雲取證工具,那隻能花費大量的時間,並使用備用的Apple裝置來到達目的。而使用取證工具(比如Elcomsoft Phone Breaker),即使沒有備用的Apple裝置,也可以在很短的時間內(幾分鐘而不是幾小時)完成相同的任務。
與使用備用裝置來恢復iCloud相比,Elcomsoft Phone Breaker具有以下優勢:
1.不需要備用的Apple裝置;
2.可以訪問已刪除的專案(30內刪除的照片和Safari書籤都可以進行訪問);
3.更快的訪問速度(以分鐘而不是小時計算);
4.選擇性訪問;
5.無需通過iTunes備份;
6.可以訪問同一裝置的先前備份資料,但如果在備用裝置還原,則只能恢復同一裝置的最後一次備份;
7.可以同時訪問同一帳戶上在其他裝置的備份;
8.使用令牌而不是使用者的Apple ID和密碼進行身份驗證;
9.沒有或很少有電子郵件的提醒;
10.使基於SMS簡訊的雙因素認證成為可能;
11.可以獲取地圖資料,但卻不包含在本地備份中;
12.可以獲取iCloud Drive檔案(但也可以使用Mac或PC訪問或使用EPB下載)
與GDPR請求方式相比,Elcomsoft Phone Breaker具有以下優勢:
1.無與倫比的訪問時間優勢,只需幾分鐘而不是7天;
2.訪問已刪除的專案;
3.訪問訊息(需要已註冊裝置的密碼或系統密碼);
4.訪問iCloud 鑰匙串的密碼(需要已註冊裝置的密碼或系統密碼);
與政府請求方式相比,Elcomsoft Phone Breaker具有以下優勢:
1.減少法律的繁瑣過程;
2.很快獲得資料;
3.使用內建解密簡化分析過程;
4.訪問訊息(需要已註冊裝置的密碼或系統密碼);
5.訪問iCloud鑰匙串的密碼(需要已註冊裝置的密碼或系統密碼);