Как извлечь данные из iPhone и iPad

Инструмент форензики

Можно ли обойти защитный механизм iOS и извлечь данные? Можно. Но не всегда.

При обмене данными между устройством с iOS и компьютером используются криптографические ключи. Точнее говоря, для каждой связки используется пара асимметричных ключей, один из которых создается в памяти iPhone (и защищается Secure Enclave), а второй передается на компьютер, где и сохраняется в виде файла — так называемого lockdown-файла или pairing record. Для того чтобы два устройства могли обмениваться информацией, требуются оба ключа — и тот, который находится в устройстве, и тот, который сохранен на компьютере.

Еще по теме: Как извлечь данные из Андроид

Как извлечь данные из iPhone и iPad

Так вот, если извлечь lockdown-файл из компьютера пользователя и положить его в соответствующую папку iTunes на своем компьютере (а лучше — воспользоваться специализированным инструментом наподобие Elcomsoft iOS Forensic Toolkit), то для копирования данных из iPhone не придется даже разблокировать его экран.

Есть, правда, одно но: если смартфон был выключен или перезагружался с момента последней разблокировки, то магия не сработает. После перезагрузки в устройстве зашифровано буквально все, включая части ключей доверенных компьютеров, и расшифруются данные только после первого ввода пароля.

Где взять эти ключи?

В папке данных iTunes, местоположение которой зависит от версии операционной системы компьютера.

Windows Vista, 7, 8, 8.1, Windows 10:

Windows XP:

macOS:

Вот, к примеру, содержимое файла 752c613e006babbd9d898f7a0a53cdfaaee28f72.plist — lockdown-записи от одного из наших устройств.

извлечь данные из iPhone
Как извлечь данные из iPhone и iPad. Содержимое lockdown-файла

Достаточно получить этот файл, и iPhone можно будет просто подключить к компьютеру — необязательно даже разблокировать датчиком отпечатков!

Интересно и то, что записи эти — без срока давности. Они будут действительны до бесконечности, точнее — до полного сброса телефона к заводским настройкам или до того, как пользователь отзовет доверенный статус у соответствующего компьютера.

Вопрос на засыпку: как это сделать? Думаю, ответа не знает почти никто, равно как практически никто не догадывается о самом существовании этой возможности. Хотите попытаться найти эту возможность самостоятельно в настройках устройства?

Удачи в нелегком поиске! Разработчики спрятали ее в подпункте:

«Настройки → Основные → Сброс → Сбросить геонастройки»

Кстати, в английской версии название этого пункта более логичное — Reset Location & Privacy.

Еще по теме: Режим SOS iPhone

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий

  1. Игорь

    Познавательно

    Ответить
  2. Влад Ведёхин

    Здравствуйте можно вопрос? У Немагии (это канал на Ютубе) изъяли жёсткий диск компьютера. Вопрос: смогли бы полицейские получить с него информацию, если бы диск был зашифрован? Надеюсь мне кто-нибудь ответит, спасибо за внимание

    Ответить
    1. Falcon

      Я слышал про историю Немагии. Все зависит от вида шифрования. Я думаю они не были готовы к такому повороту, поэтому предполагаю, что у них найдут большую кучу компрометирующих материалов.

      У нас на сайте много информации на тему правильного шифрования и сокрытия информации. Например эта: https://spy-soft.net/ustanovka-tails/

  3. Виталий Рабец

    Влад, если диск зашифрован, то инфу с него получить можно только зная пароль(ключ). их обязуют выдать этот пароль.

    есть еще один способ…. использовать вычеслительную мощь квантовых компьютеров для расшифровки шифра… но это фантастика

    Ответить
    1. Ярослав

      Виталий. Не несите ерунды. Никто не может Вас обязать выдать ключи шифрования от Ваших собственных данных. Те «законы», о которых Вы говорите никакого отношения к Вашим данным не имеют.

      Ключи от шифрования обязаны выдавать «организаторы распространения информации» (Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»). А именно если Вы предоставляете услуги по распространению информации НЕОПРЕДЕЛЁННОМУ кругу лиц.

      Если же Вы зашифровали свою информацию на жестком диске или в сети Интернет, то никто Вас обязать что-то там выдать — не может.

      Можно порассуждать, что если Вы зашифровали чужую информацию и Вас вызвали на допрос в качестве свидетеля и тот, чью информацию, Вы зашифровали не является Вашим близким родственником, то Вы обязаны ответить на вопросы лица, производящего допрос, в том числе о том, какие ключи Вы использовали. Но это уже тонкий юридический момент, который надо обсуждать в каждом конкретном случае.

  4. Влад Ведёхин

    Виталий, спасибо за ответ! насчет того что их обяжут выдать…вы юрист? я просто знаю, что человек имеет право не свидетельствовать против себя и против близких родственников (так сказано в конституции). Это не приравнивается? По какому закону их обяжут выдать и какова отвественность за отказ? спасибо

    Ответить
  5. Виталий Рабец

    Влад, я не юрист. В 2015 году приняли закон обязывающий предоставлять любой ключ к шифру по требованию властей. Телеграм еще за это имели. Там если отказываешься, штраф до милиона. Второй отказ уже уголовка.

    А вообще, в таких делах законности не будет. Как говориться, паяльник в жопу и ты расскажешь все пароли как миленький.

    Ответить
  6. Виталий Рабец

    Влад, ну этот закон можно погуглить. Да, он вроде как раз на юриков, которые предоставляют услуги связи и был расчитан. Но если капнуть глубже, то можно предположить, что это обычное прикрытие для госслужащих.

    Есть же понятие законности полученной информации. Если из тебя выбили пароль, то на суде использовать расшифрованные данные нельзя. Мол как вы их добыли ? А тут закон есть, обязывающий эти пароли предоставлять. Получается паяльником пароль из тебя получили, а на суде сказали — сам дал. Полицейское государство :) ниче не поделать.

    Ответить
  7. Влад Ведёхин

    Eще есть интересный вариант скрытого шифрования диска)) работает это так: на диске устанавливается две операционки, потом диск шифруется и устанавливается 2 разных пароля… если при запуске ты вводишь один пароль, то запускается ОС как раз на случай паяльника — там у тебя ничего нужного или ценного… а вот для скрытой настоящей операционки — другой пароль. И запустится ОС в зависимости от того какой пароль ты введешь… я не пробовал, но вроде бы программа VeraCrypt такое умеет… Я этой программой шифровал USB-флешку. Причем если вводишь один пароль — на флешке открываются например, фотографии с котиками. А если другой пароль — открываются действительно нужные файлы)))

    Ответить