Мобильные устройства

Дорогие друзья, совсем недавно мы рассказывали про эксплойт checkm8 и Jailbreak checkra1n. А уже сегодня мы хотим познакомить вас с нашей собственной утилитой, которая после предварительной установки Jailbreak checkra1n на iOS-устройство извлекает из него полную файловую структуру и секретное хранилище Keychain, а с версии 1.7/12.1, обладает функцией получения полного доступа к файловой системе и данным Keychain на iPhone 6 (iOS 12.4.4 – 12.4.8), iPhone 6s, iPhone 6s Plus, iPhone SE (1st gen) (iOS 12.4 – 13.6), iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus и iPhone X (iOS 13.0 – 13.6), iPad (5th gen) (iOS 12.4 – 13.6), iPad Pro и iPad (6th gen) (iOS 13.0 – 13.6). Извлечение сведений из перечисленных выше устройств происходит с помощью автоматического применения уязвимости checkm8 (при работе с ПО «Мобильный Криминалист» на персональных компьютерах с операционной системой Windows 10). 

Более того, данная утилита (начиная с версии 1.6/12.0 и выше) обходит USB Restricted Mode (принудительный ввод пароля при подключении устройства к ПК, если устройство до этого было заблокировано в течение часа). Обход этого защитного механизма позволяет извлечь часть сведений из телефона или планшета, даже если устройство заблокировано, в режиме BFU. В таком случае, есть возможность получить следующие сведения: информацию о сетевых подключениях (имена сетей, точки доступа, местоположение, уровень сигнала, переданные и полученные пакеты), артефакты ОС, данные о звонках и СМС/iMessage (временные базы данных), данные некоторых приложений и голосовой почты.  

Если же устройство находится в разблокированном состоянии, то извлечение происходит без использования режима BFU.    

Какие данные можно извлечь? 

С помощью инструмента «Расширенное извлечение iOS» программного продукта «Мобильный Криминалист» из Apple-устройств можно извлечь: 

  • данные только выбранных приложений, установленных на устройстве;
  • данные секретного хранилища Keychain;
  • полную файловую систему устройства в виде .tar-архива.

Важно заметить, что доступ к данным зависит от того, в каком состоянии находится устройство. Если оно разблокировано, то для извлечения доступна вся база его данных. Если же экран устройства заблокирован, то возможно только частичное извлечение информации. 

Если на устройстве предварительно установлен Jailbreak, чтобы извлечь из него данные, выполните следующие действия: 

  1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо выберите «Подключить устройство» в программе «Мобильный Криминалист Детектив». 
  2. В разделе «iOS извлечения» выберите метод «Расширенное извлечение iOS» в «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в «Мобильный Криминалист Детектив».
  3. Выберите «Извлечение из iPhone с Jailbreak».
  4. Проверьте, следуя инструкции, соблюдены ли следующие условия:
  • На устройстве установлен Jailbreak. Если нет, то установите Jailbreak вручную;
  • Для большинства устройств с iOS 12.3 до 13.5 рекомендуется использовать Jailbreak checkra1n, либо unc0ver 5.0. Unc0ver 5.0 справляется с версиями 13.3.1 – 13.5, в то время, как checkra1n официально поддерживает версии 12.3. – 13.5 (однако, был успешно протестирован также на версиях 13.5.1 и 13.6);
  • Список устройств и версий iOS, поддерживаемых Jailbreak, представлен здесь
  • Установлена последняя версия iTunes
  • Экран устройства разблокирован (по возможности); 
  • Устройство подключено к ПК по USB-кабелю.
  1. Если все условия соблюдены, и вы готовы приступить к работе, нажмите кнопку «USB подключение».
  2. При возникновении проблем с подключением, программа переходит к окну, показанному на скриншоте №4.

 Какими могут быть причины неудачи?

  • телефон не подключен к компьютеру; 
  • нарушено какое-либо из условий подготовки к подключению;
  • введен неправильный SSH-порт устройства. 

 Что делать в такой ситуации?

  • проверьте, подключен ли телефон к компьютеру;
  • проверьте, соблюдены ли все условия, и попробуйте обновить iTunes;
  • «Мобильный Криминалист» выполняет подключение по SSH-портам, заданным Jailbreak при его первой установке на устройство. Самыми частыми портами являются 22, 44, 2222. По умолчанию «Мобильный Криминалист» использует именно их. Но иногда Jailbreak назначает другой SSH-порт, в таком случае в строке SSH необходимо ввести требуемое значение; 

Но для подключения устройства необходимо знать не только номер SSH-порта, но и пароль суперпользователя, предоставляющий доступ к программной учетной записи устройства — root.

Внимание! Данный пароль не соответствует обычному паролю владельца устройства на разблокировку экрана (цифровому или графическому). По умолчанию, его значение — «alpine». Однако, если на устройство уже устанавливали Jailbreak, его могли изменить. В таком случае при работе с инструментом появится окно, показанное на скриншоте №5.

  1. Для продолжения работы введите правильный пароль и попробуйте снова.
  2. При успешном подключении, вы увидите окно, показанное на скриншоте №6.
  3. Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение». 
  4. Выберите данные для извлечения, если это необходимо. 

Полное извлечение файловой системы 

  1. Если есть возможность, не забудьте разблокировать экран устройства для полного извлечения данных. Если экран будет заблокирован, то получится извлечь лишь часть информации, «Мобильный Криминалист» оповестит вас об этом. Если пароль на разблокировку экрана неизвестен и у вас нет возможности его получить, нажмите кнопку «Не разблокировать экран и извлечь Keychain частично».
  2. На первом этапе извлекаются данные хранилища Keychain. Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз. 
  3. На втором этапе происходит извлечение файловой системы устройства в виде .tar-архива.
  4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке сохранения извлечения на компьютере. 
  5. Для изучения и анализа данных выберите пункт «Открыть данные в «Мобильный Криминалист». 

 Для изучения доступны:  

  • данные секретного хранилища Keychain;
  • полная файловая система устройства.

 Популярные и стандартные приложения

Для удобства и возможности быстрого доступа к данным определенных приложений реализовано выборочное извлечение информации только из топ-30 популярных и списка стандартных приложений, установленных на устройстве.

 Список приложений: 

  • WhatsApp Messenger
  • Viber
  • Telegram
  • Instagram
  • VK
  • Facebook
  • Skype
  • TikTok
  • Discord
  • Signal
  • Wickr Me
  • Twitter
  • Gmail
  • YouTube
  • Facebook Messenger
  • Google Maps 
  • Yandex.Taxi 
  • Uber.Russia 
  • Sberbank Online 
  • Zoom Cloud Meetings 
  • Yandex 
  • OK 
  • Threema 
  • Mail.ru Email app 
  • Slack 
  • LinkedIn 
  • Google Drive 
  • Snapchat 
  • Booking 
  • Tinder

Кроме популярных приложений для выборочного извлечения данных доступны и базовые разделы устройств Apple:

  • Device info
  • Messages
  • Phonebook
  • Event log
  • Voice Memos
  • Mail
  • Safari Browser
  • Calendar
  • Apple Notes
  • Apple Wallet
  • Apple Maps
  • Apple Photos
  • Wireless Connections 
  • Gallery

Для извлечения информации:

  1. Выберите интересующие вас приложения и нажмите кнопку «Начать извлечение». 
  2. На первом этапе извлекаются данные хранилища Keychain (если в нем находятся ключи для расшифровки данных исследуемого приложения). Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз. 
  3. На втором этапе происходит извлечение данных выбранного приложения из файловой системы устройства в виде .tar-архива.
  4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке на ПК. 
  5. Для изучения и анализа информации выберите пункт «Открыть данные в «Мобильный Криминалист».

Если на устройстве не установлен Jailbreak, чтобы извлечь из него данные, выполните несколько следующих действий: 

  1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо выберите «Подключить устройство» в программе «Мобильный Криминалист Детектив». 
  2. Во всплывающем окне подтвердите запрос на права администратора. 
  3. Выберите в разделе «iOS извлечения» метод «Расширенное извлечение iOS» в программе «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в ПО «Мобильный Криминалист Детектив».
  4. Выберите «Checkm8 извлечение» (стоит заметить, что поддерживаются следующие устройства: iPhone 6 (iOS 12.4.4 – 12.4.8), iPhone 6s, iPhone 6s Plus, iPhone SE (1st gen) (iOS 12.4 – 13.6), iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus и iPhone X (iOS 13.0 – 13.6), iPad (5th gen) (iOS 12.4 – 13.6), iPad Pro и iPad (6th gen) (iOS 13.0 – 13.6).
  5. Подключите устройство по USB-кабелю и переведите его в DFU-режим.

 Как перевести устройство в DFU-режим

iPhone 6/6s/6s+/SE(1st gen)/iPad 5th gen/6th gen

  • Подключите выключенное устройство к компьютеру. 
  • Одновременно нажмите и зафиксируйте на 8 секунд в таком состоянии кнопки «Домой» и «Питание».
  • Отпустите клавишу «Питание», а «Домой» удерживайте еще 8 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз. 
  • При успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова. 

iPhone 7/7+/iPad Pro (1st gen)/iPad Pro (2nd gen)

  • Подключите включенное устройство к компьютеру. 
  • Одновременно зажмите кнопку «Питание» и кнопку уменьшения громкости и удерживайте их 8 секунд.
  • Отпустите клавишу «Питание», а кнопку понижения громкости удерживайте еще 5 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз. 
  • При успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова. 

iPhone 8/8+/X

  • Подключите включенное устройство к компьютеру;
  • Нажмите и отпустите кнопку повышения громкости, затем нажмите и отпустите кнопку понижения громкости, после нажмите клавишу «Питание» и отпустите, когда экран устройства станет черным;
  • Нажмите и удерживайте кнопки «Питание» и понижения громкости. Через пять секунд отпустите клавишу «Питание», продолжая удерживать кнопку понижения громкости;
  • Если устройство успешно вошло в режим DFU, экран устройства останется черным.

Как выйти из режима DFU?

iPhone 6/6s/6s+/SE(1st gen)/iPad 5th gen/6th gen/Pro

  • Отсоедините устройство от ПК.
  • Зажмите кнопки «Домой» и «Питание».
  • Отпустите обе кнопки при появлении логотипа компании «Apple» на экране устройства. 

iPhone 7/7+/iPad Pro (1st gen)/iPad Pro (2nd gen)

  • Зажмите и удерживайте в течение 10 секунд кнопку понижения громкости и «Питание».
  • Кратковременно нажмите кнопку «Питание», отпустив при этом кнопку понижения громкости. На дисплее должен появиться логотип «Apple», после чего устройство загрузится в нормальном режиме.

iPhone 8/8+/X

  • Отключите устройство от компьютера.
  • Нажмите и отпустите клавишу повышения громкости, затем нажмите и отпустите клавишу понижения громкости.
  • Удерживайте кнопку «Питание». Когда на экране появится логотип «Apple», устройство загрузится в обычном режиме.
  • При успешном подключении, вы увидите окно, показанное на скриншоте № 7.
  • Если на устройстве активирован USB Restricted Mode, введите пароль, чтобы его разблокировать.
  • Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение».
  • Выберите данные для извлечения, аналогично схеме извлечения данных из iOS-устройств с предварительно установленным Jailbreak. 

Что может пойти не так?  

  • зависает «OxygenLoader»;
  • после загрузки «OxygenLoader» или ядра телефона на устройстве через некоторое происходит резкий переход экрана из черного в белый, без появления логотипа компании «Apple»;
  • на устройстве постоянно отображается черный экран. 

Что делать?

  • сфотографируйте экран устройства и обратитесь в службу технической поддержки нашей компании, чтобы определить причину зависания. Для того, чтобы вывести устройство из этого состояния, выполните процедуру «Hard Reset»;
  • такое поведение устройства говорит о том, что оно перезагрузилось несколько раз и после этого запустится в обычном режиме, т.е Jailbreak на нем не будет установлен. Отключите устройство и попробуйте повторить все действия еще раз; 
  • выполните процедуру «Hard Reset» на устройстве. 
Мастер извлечения данных
Расширенное извлечение iOS
Выбор метода извлечения
Советы перед подключением
Устройство подключено
Неверный пароль
Удачное подключение
Выбор данных для извлечения
Уведомление о просьбе разблокировки экрана
Извлечение Keychain
Извлечение файловой системы
Данные популярных и стандартных приложений
Окончание извлечения
Результаты Keychain
Итоги извлечения файловой системы