如何提取包括媒體文件、位置和文檔在內的全部iCloud內容
在當今的信息交流中,消息傳遞並不完全是基於文本的,還包括用戶交換的圖片、短視頻、語音以及他們當前的位置。這類型的數據是會話歷史的重要組成部分,它們可以像聊天的文本內容一樣成為有價值的證據。
蘋果生態系統提供了一個內置的消息傳遞工具——imessage,允許用戶在蘋果設備之間交換消息。這個內置的imessage在蘋果用戶中非常流行,早在2016年,蘋果公司的高級副總裁就宣布imessage每秒鐘發送的消息就達20多萬條。
所有當前版本的iOS都為文本數據和非文本數據提供了實時的iCloud同步,從iOS 11.4開始,蘋果的所有設備都可以通過iCloud同步消息。目前,imessage和簡訊都可以存儲在用戶的iCloud賬戶中,並在共享相同Apple ID的所有用戶設備上同步。另外,通話記錄、iCloud照片庫或iCloud聯繫人也可以同步,不過就是同步時間(相較於imessage信息)要靠後一些。然而,在滿足LE請求或GDPR請求時,蘋果既不會提供消息源,也不提供它們的附件。為什麼會發生這種情況,如何從iCloud賬戶提取消息,我們又可以在消息附件中找到什麼樣的證據?這就是我們這篇文章要講的。
歐盟GDPR頒布的一個主要目的即在於對數據的充分保護,主要涉及數據處理程序的前、中、後三個階段。同時,由於數據類型的紛繁複雜使得數據保護難度頗大,特別是其中相對屬於特殊類型的個人數據,歐盟GDPR更是以專門條款對其相關內容進行了明確規定。
iCloud內容的提取
由於imessage採用的是端到端的加密過程,因此消息在傳輸過程中會受到安全保護。那些同步到iCloud的內容的安全性呢?蘋果表示,存儲在用戶iCloud賬戶中的數據是安全加密的。另外,蘋果還存儲加密密鑰,這使得該公司有可能向執法機構提供他們所需的數據和GDPR所要求的數據。根據歐盟GDPR規定,在滿足特定條件時,個人數據仍能夠進行相關操作。首先,數據主體明確同意的情形下,數據控制者可以對特殊類型的個人數據進行相關必要的處理。其次,若基於偵查犯罪的需要,在必須使用的情形下,為了公共利益及國家利益的維護,該特殊類型的個人數據同樣需要在未經數據主體同意的情形下被使用。因此,對於特殊類型的個人數據,歐盟GDPR既有原則性的規定以保證數據主體的權益受到最大程度的保護,同時又給予了各成員國一定的自由裁量範圍以更加靈活的兼顧數據保護及數據處理二者之間的關係。
不過根據目前的實際情況, iCloud的消息和任何附件內容都是不適用於GDPR規定的,且任何人都無法從技術層面上盜取這些信息,因為蘋果使用了額外的AES256加密來保護同步信息。另外,加密密鑰會使用用戶的設備密碼(iOS設備)或系統密碼(macOS設備)重新加密,即使用戶在多個關聯的設備上註冊了不同的密碼,則還是可以使用同一個加密密鑰解密不同的設備。此外,消息將只同步具有雙因素身份驗證的帳戶。
iMessage消息附件的提取
iMessage實際上是許多iPhone用戶選擇的即時通訊工具。《商業內參》(Business Insider) 稱:
在美國年輕人中,蘋果iMessage的使用量已經超過了Facebook Messenger和Snapchat。目前,美國青少年使用iMessage的次數比其他任何社交平台都要多。
另外Hacker Noon網站的Guiseppe Stutto說:
iMessage是一個面向青少年的社交平台,現在已經成了社交的中心。雖然他們仍然會花很多時間在Instagram、Snapchat、Tumblr或其他應用上,但目前iMessage所佔的份額卻是越來越大,不管是單聊還是群聊。
作為狂熱的iPhone用戶,研究人員對iMessage的安全性進行了各種測試。在對一個測試的iCloud賬戶進行取證分析時,研究人員調取了17萬條信息,其中包含超過7千兆位元組的消息附件,這些信息都是很有價值的。雖然iMessage本身不包含位置信息(除非用戶共享他們的位置),但附件通常是在iMessage發送之前用iPhone相機拍下的照片,由於每張照片都帶有EXIF標籤,因此要分析出用戶的位置信息也不是很難。
同步消息和雲備份的提取
早在2011年,iCloud備份就是Apple新推出的首批雲平台服務中的一個。從那時起,許多事情發生了變化,雲備份最多每天創建一次,由於Apple的免費iCloud空間只有5 GB,對於許多用戶而言,因此可能根本不會創建它們。 Apple生態系統的增長意味著用戶擁有多台Apple設備的概率很高,因此,Apple繼續將iCloud備份轉移到共享的可同步數據中。例如,一旦用戶啟用iCloud照片庫,他們所有的照片就會自動上傳到iCloud中,並與使用同一Apple ID註冊的所有設備同步。
根據Apple的說法:
當你啟動iCloud照片庫時,你的照片和視頻會自動上傳到iCloud,且iCloud備份不會重複。
消息同步也是如此,根據https://support.apple.com/en-us/HT208532和https://support.apple.com/en-ca/HT207428,一旦用戶在iCloud中啟用消息同步,無論是文本消息還是消息附件都不會存儲在他們的iCloud備份中。當你在iCloud [...]中使用消息同步時,你的內容將自動存儲在iCloud中,這意味著它們就不會包含在你的iCloud備份中。
為什麼LE和GDPR請求不適用於iCloud內容的取證
通過LE或GDPR請求獲得的信息中,並不包括iCloud內容。具體的原因如下:據蘋果公司稱,由於加密的原因,他們自己也無法訪問用戶的信息。蘋果表示:
由於用戶的信息會在他們的設備上加密,如果沒有設備密碼,任何人都無法訪問用戶信息。
如前所述,一旦用戶在iCloud中啟用消息,消息和附件都不會存儲在iCloud備份中。因此,只能使用第三方取證軟體從雲中提取消息,但提取和解密消息得需要用戶的Apple ID登錄名、密碼、雙因素驗證碼和設備密碼(屏幕鎖定密碼)。
從蘋果iCloud下載消息和其他內容
為了從iCloud中提取消息和附件內容,取證人員需要使用Elcomsoft Phone Breaker 8.40或更新的版本。如果你使用的是Windows電腦,你必須安裝iCloud。Mac用戶必須擁有macOS 10.11或更新的版本。訪問消息的步驟如下所示:
設備配置
1.Elcomsoft Phone Breaker;
2.適用於Windows的iCloud;
3.蘋果的登錄ID和密碼;
4.第二身份驗證因素(the second authentication factor)(使用同一蘋果賬戶註冊的SIM卡、iPhone或iPad設備),注意:由於GS身份驗證,用戶只需要提供一次第二身份驗證因素即可。然後,計算機就會信任你,在隨後的證據提取中,將不會詢問第二身份驗證因素。
5.需要至少一個註冊到與iMessage 同步的設備的密碼(iPhone/iPad)或系統密碼(Mac);
從iCloud提取消息的步驟
1.啟動Elcomsoft Phone Breaker,選擇Apple >從iCloud下載 >同步數據;
2.指定用戶的Apple ID和密碼;
3.提供一次性代碼以通過雙因素身份驗證;
4.選擇要從iCloud獲取的數據,確保選中了「Messages」選項;
5.Elcomsoft Phone Breaker將登錄用戶的蘋果賬戶,選擇你知道密碼或系統密碼的受信任設備,並輸入登錄密碼。
6.消息會被下載,下載消息之後,單擊「完成」。或者,你也可以設置「在EPV中打開」時鐘,以便在Elcomsoft Phone Viewer中自動打開下載的數據。另一種選擇是使用「瀏覽文件」鏈接,來驗證已下載的文件。
7.你現在可以使用Elcomsoft Phone Viewer來分析下載的消息。
8.單擊「Messages」 選項打開消息和附件列表。
此時,要提取的媒體文件就會以縮略圖的形式呈現出來,你可以預覽它們。單擊預覽旁邊的放大就可以訪問原始文件,或單擊「保存」以保存為文件。你可以應用許多消息選擇項,來顯示在一定時間範圍內發送或接收的消息,或者僅顯示具有特定類型附件的消息(例如,僅顯示帶有照片的消息)。
※NodeJS應用程序身份驗證繞過漏洞分析
※土耳其出現與MuddyWater Tools非常相似的PowerShell後門
TAG:嘶吼RoarTalk |