• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

从兼容性角度,对比一下iOS,watchOS和tvOS的信息取证方法


This Wind

Recommended Posts

从兼容性角度,对比一下iOS,watchOS和tvOS的信息取证方法

你如何才能从iPhone,iPad,Apple TV或Apple Watch获得大量有价值的数据呢?这并不像看起来那么简单。目前存在多种相似的提取方法,其中某些方法仅限于特定版本的操作系统。本文,我们就从兼容性角度,对比一下iOS,watchOS和tvOS的取证方法。

兼容性比较

兼容性通常取决于iOS/iPadOS(同步)的版本和SoC模型。注意:FFS(full file system)代表“完整文件系统”。

从兼容性角度,对比一下iOS,watchOS和tvOS的信息取证方法

按设备类型比较

iPhone和iPad(iOS/iPadOS)

多种取证方法均可以在装有iOS和iPadOS的系统上使用,你只需要一根Lightning或iPad Pro的USB Type-C线。但是,对于用checkra1n进行采集,我们建议使用USB-A到Lightning,但不建议使用USB-C到Lightning,因为它可能会出现问题,尤其是在使设备进入DFU模式时。

苹果电视(tvOS)

对于Apple TV 4,由于配备了USB Type-C端口,因此不需要任何额外的操作。对于4K型号,需要一条特殊的电缆连接到隐藏的Lightning端口。有关详细信息,请见《如何对Apple TV 4K越狱》

如果你希望使用checkra1n而不是unc0ver越狱(例如,当tvOS版本与unc0ver不兼容时),请注意,仅使用适配器是不够的。你还需要一根特殊的数据线才能使设备进入DFU模式。

这样,无需越狱,你就可以提取媒体文件和元数据以及一些诊断日志。

苹果手表(watchOS)

这是你始终需要适配器的系统,有关详细信息,请参阅《Apple TV和Apple Watch Forensics 01取证》。 记得,关键是IBUS。目前,适配器仅适用于S1 / S2 / S3手表,而不适用于S4和S5。与此同时,手表收集的一些数据(大部分是健康数据)会同步到iCloud(通过它所连接的iPhone)。完整的Watch备份不可用,但是iPhone备份中还提供了一些Watch数据。

获取方法比较

逻辑采集是最快,最简单,最安全和最兼容的采集方法,即使它仅提供有限数量的数据,它仍然是尝试的第一种方法。但是仍然有一些事情要注意:

1.本地备份和iCloud备份的内容有所不同;

2.使用密码和不使用密码的本地备份之间也存在差异(请参阅有关iPhone备份的最不寻常的事情);受密码保护的备份包含更多数据。

3.云备份通常很难获得,这不仅仅是双因素身份验证的问题。

接下来,请记住备份只是逻辑获取的一部分。即使备份受密码保护并且密码未知,你也可以提取媒体文件以及元数据。此外,你可以提取一些共享文件(通常是文档,有时还包括从图像到数据库的其他用户数据)和诊断日志,这可能有助于建立设备使用时间表。此方法是唯一可在非越狱Apple TV以及Apple Watch S1至S3设备上使用的方法。

完整的文件系统映像当然比备份好得多,甚至还可以使用媒体提取进行补充。使用文件系统映像,你可以从设备上获取所有信息,包括沙盒应用程序数据和具有多个记录的位置点,使用信息以及许多其他内容的系统数据库。

在取证当中,获取钥匙串是关键,钥匙串存储了用户的所有密码、加密密钥、证书、信用卡数据等。通过获取和解密钥匙串,你将能够解密来自那些号称最安全的聊天程序的聊天记录,访问设备所有者使用的其他云服务,以及执行更多操作。如果你不提取钥匙串,你就失去了可靠的证据。

要获得文件系统和密钥链,我们建议使用代理获取方法(如果兼容的话),因为这是最安全、最可靠的方法。但是,iOS版本和具有越狱功能的设备模型的支持范围略广。

最后,是对iCloud的取证。这种方法有很多优点,我们在以前已经介绍过多次。比如,无需手持设备,你就可以访问已从设备中删除的当前和以前的数据集。你可以从与同一账户相连的其他设备上获取一些其他数据,愿意的话,你还可以执行更多操作。

操作系统版本

对于逻辑获取,包括媒体文件和日志的提取,系统版本根本不重要。我们可以为所有的操作系统版本做到这一点,从古老的iOS 4到尚未发布的iOS 13.6测试版(撰写本文时的最新版本);结果大致相同。iOS 14的第一个测试版将于下周发布,几乎可以肯定,我们将能够从一开始就对其进行逻辑采集。

对于基于越狱的信息取证以及与我们的代理人进行的信息取证,我们不能采取相同的办法,这些方法取决于漏洞利用的可用性。它们确实存在于包括iOS 13.5(包括iOS 13.5)在内的大多数iOS版本中,但某些特定版本并未完全涵盖。例如,对于iPhone 5s和iPhone 6设备以及运行iOS 13.3.1至13.4.1的任何设备,我们只能提取文件系统,而不能提取iOS 12.3至12.4.7的钥匙串。最后,虽然iOS 13.5可以使用越狱功能,以获取文件系统和钥匙串,但你必须自己越狱,但你必须自己去越狱,代理不会帮忙的。对于iOS 13.5.1至13.6 beta 2,可以使用checkra1n(仅适用于兼容型号)。

对于tvOS,信息取证就困难重重了。存在类似的漏洞利用,但是越狱仅适用于tvOS 9- tvOS 12,范围非常有限的版本。只有tvOS 13可以对checkra1n越狱完全开放,理论上包括最新的13.4.8 beta,不过我们尚未对其进行测试。将来我们可能会为较旧的tvOS版本开发基于代理的获取,但目前尚无安全加密流量分析 (ETA) 。同时,Apple默认情况下会自动更新tvOS,因此用户的Apple TV将正常运行最新版本的tvOS。

至于watchOS,无论watchOS版本如何,都无需考虑文件系统的获取。watchOS很容易受到checkm8攻击,但是,没有适用于watchOS 5.2和更高版本的公开越狱(当前版本为watchOS 6.2.8 beta 2)。另一方面,Apple Watch收集的大多数信息都可以从与其配对的iPhone或从icloud中获得。但是,如果你具有IBUS适配器,则可以提取媒体文件和元数据(对于S1-S3系列手表)。

总结

正如我们之前所写的,在分析苹果设备时,并没有“一键解决方案”,尽管我们试图使工作流程尽可能简单。重要的是要了解硬件和软件的各种特性,并在选择提取方法时做出明智的信息取证方案。

本文翻译自:https://blog.elcomsoft.com/2020/06/ios-watchos-and-tvos-acquisition-methods-compared-compatibility-notes/
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now