如何提取包括媒體檔案、位置和文件在內的全部iCloud內容
在當今的資訊交流中,訊息傳遞並不完全是基於文字的,還包括使用者交換的圖片、短視訊、語音以及他們當前的位置。這型別的資料是會話歷史的重要組成部分,它們可以像聊天的文字內容一樣成為有價值的證據。
蘋果生態系統提供了一個內建的訊息傳遞工具——imessage,允許使用者在蘋果裝置之間交換訊息。這個內建的imessage在蘋果使用者中非常流行,早在2016年,蘋果公司的高階副總裁就宣佈imessage每秒鐘傳送的訊息就達20多萬條。
所有當前版本的iOS都為文字資料和非文字資料提供了實時的iCloud同步,從iOS 11.4開始,蘋果的所有裝置都可以通過iCloud同步訊息。目前,imessage和簡訊都可以儲存在使用者的iCloud賬戶中,並在共享相同Apple ID的所有使用者裝置上同步。另外,通話記錄、iCloud照片庫或iCloud聯絡人也可以同步,不過就是同步時間(相較於imessage資訊)要靠後一些。然而,在滿足LE請求或GDPR請求時,蘋果既不會提供訊息源,也不提供它們的附件。為什麼會發生這種情況,如何從iCloud賬戶提取訊息,我們又可以在訊息附件中找到什麼樣的證據?這就是我們這篇文章要講的。
歐盟GDPR頒佈的一個主要目的即在於對資料的充分保護,主要涉及資料處理程式的前、中、後三個階段。同時,由於資料型別的紛繁複雜使得資料保護難度頗大,特別是其中相對屬於特殊型別的個人資料,歐盟GDPR更是以專門條款對其相關內容進行了明確規定。
iCloud內容的提取
由於imessage採用的是端到端的加密過程,因此訊息在傳輸過程中會受到安全保護。那些同步到iCloud的內容的安全性呢?蘋果表示,儲存在使用者iCloud賬戶中的資料是安全加密的。另外,蘋果還儲存加密金鑰,這使得該公司有可能向執法機構提供他們所需的資料和GDPR所要求的資料。根據歐盟GDPR規定,在滿足特定條件時,個人資料仍能夠進行相關操作。首先,資料主體明確同意的情形下,資料控制者可以對特殊型別的個人資料進行相關必要的處理。其次,若基於偵查犯罪的需要,在必須使用的情形下,為了公共利益及國家利益的維護,該特殊型別的個人資料同樣需要在未經資料主體同意的情形下被使用。因此,對於特殊型別的個人資料,歐盟GDPR既有原則性的規定以保證資料主體的權益受到最大程度的保護,同時又給予了各成員國一定的自由裁量範圍以更加靈活的兼顧資料保護及資料處理二者之間的關係。
不過根據目前的實際情況, iCloud的訊息和任何附件內容都是不適用於GDPR規定的,且任何人都無法從技術層面上盜取這些資訊,因為蘋果使用了額外的AES256加密來保護同步資訊。另外,加密金鑰會使用使用者的裝置密碼(iOS裝置)或系統密碼(macOS裝置)重新加密,即使使用者在多個關聯的裝置上註冊了不同的密碼,則還是可以使用同一個加密金鑰解密不同的裝置。此外,訊息將只同步具有雙因素身份驗證的帳戶。
iMessage訊息附件的 提 取
iMessage實際上是許多iPhone使用者選擇的即時通訊工具。 ofollow,noindex">《商業內參》(Business Insider) 稱:
在美國年輕人中,蘋果iMessage的使用量已經超過了Facebook Messenger和Snapchat。目前,美國青少年使用iMessage的次數比其他任何社交平臺都要多。
另外 Hacker Noon 網站的Guiseppe Stutto說:
iMessage是一個面向青少年的社交平臺,現在已經成了社交的中心。雖然他們仍然會花很多時間在Instagram、Snapchat、Tumblr或其他應用上,但目前iMessage所佔的份額卻是越來越大,不管是單聊還是群聊。
作為狂熱的iPhone使用者,研究人員對iMessage的安全性進行了各種測試。在對一個測試的iCloud賬戶進行取證分析時,研究人員調取了17萬條資訊,其中包含超過7千兆位元組的訊息附件,這些資訊都是很有價值的。雖然iMessage本身不包含位置資訊(除非使用者共享他們的位置),但附件通常是在iMessage傳送之前用iPhone相機拍下的照片,由於每張照片都帶有EXIF標籤,因此要分析出使用者的位置資訊也不是很難。
同步訊息和雲備份的提取
早在2011年,iCloud備份就是Apple新推出的首批雲平臺服務中的一個。從那時起,許多事情發生了變化,雲備份最多每天建立一次,由於Apple的免費iCloud空間只有5 GB,對於許多使用者而言,因此可能根本不會建立它們。 Apple生態系統的增長意味著使用者擁有多臺Apple裝置的概率很高,因此,Apple繼續將iCloud備份轉移到共享的可同步資料中。例如,一旦使用者啟用iCloud照片庫,他們所有的照片就會自動上傳到iCloud中,並與使用同一Apple ID註冊的所有裝置同步。
根據Apple的說法:
當你啟動iCloud照片庫時,你的照片和視訊會自動上傳到iCloud,且iCloud備份不會重複。
訊息同步也是如此,根據 https://support.apple.com/en-us/HT208532 和 https://support.apple.com/en-ca/HT207428 ,一旦使用者在iCloud中啟用訊息同步,無論是文字訊息還是訊息附件都不會儲存在他們的iCloud備份中。當你在iCloud […]中使用訊息同步時,你的內容將自動儲存在iCloud中,這意味著它們就不會包含在你的iCloud備份中。
為什麼LE和GDPR請求不適用於iCloud內容的取證
通過LE或GDPR請求獲得的資訊中,並不包括iCloud內容。具體的原因如下:據蘋果公司稱,由於加密的原因,他們自己也無法訪問使用者的資訊。 蘋果 表示:
由於使用者的資訊會在他們的裝置上加密,如果沒有裝置密碼,任何人都無法訪問使用者資訊。
如前所述,一旦使用者在iCloud中啟用訊息,訊息和附件都不會儲存在iCloud備份中。因此,只能使用第三方取證軟體從雲中提取訊息,但提取和解密訊息得需要使用者的Apple ID登入名、密碼、雙因素驗證碼和裝置密碼(螢幕鎖定密碼)。
從蘋果iCloud下載訊息和其他內容
為了從iCloud中提取訊息和附件內容,取證人員需要使用Elcomsoft Phone Breaker 8.40或更新的版本。如果你使用的是Windows電腦,你必須安裝iCloud。Mac使用者必須擁有macOS 10.11或更新的版本。訪問訊息的步驟如下所示:
裝置配置
2. 適用於Windows的iCloud ;
3.蘋果的登入ID和密碼;
4.第二身份驗證因素(the second authentication factor)(使用同一蘋果賬戶註冊的SIM卡、iPhone或iPad裝置),注意:由於GS身份驗證,使用者只需要提供一次第二身份驗證因素即可。然後,計算機就會信任你,在隨後的證據提取中,將不會詢問第二身份驗證因素。
5.需要至少一個註冊到與iMessage 同步的裝置的密碼(iPhone/iPad)或系統密碼(Mac);
從iCloud提取訊息的步驟
1.啟動Elcomsoft Phone Breaker,選擇Apple >從iCloud下載 >同步資料;
2.指定使用者的Apple ID和密碼;
3.提供一次性程式碼以通過雙因素身份驗證;
4.選擇要從iCloud獲取的資料,確保選中了“Messages”選項;
5.Elcomsoft Phone Breaker將登入使用者的蘋果賬戶,選擇你知道密碼或系統密碼的受信任裝置,並輸入登入密碼。
6.訊息會被下載,下載訊息之後,單擊“完成”。或者,你也可以設定“在EPV中開啟”時鐘,以便在Elcomsoft Phone Viewer中自動開啟下載的資料。另一種選擇是使用“瀏覽檔案”連結,來驗證已下載的檔案。
7.你現在可以使用Elcomsoft Phone Viewer來分析下載的訊息。
8.單擊“Messages” 選項開啟訊息和附件列表。