Мобильные устройства

Дорогие друзья, совсем недавно мы рассказывали про эксплойт checkm8 и Jailbreak checkra1n. А уже сегодня мы хотим познакомить вас с нашей собственной утилитой, которая после предварительной установки Jailbreak checkra1n на iOS-устройство извлекает из него полную файловую структуру и секретное хранилище Keychain, а с версии 1.6/12.0, обладает функцией получения полного доступа к файловой системе и данным Keychain на iPhone 6 (iOS 12.4.4 – 12.4.7), iPhone 7 и iPhone 7 Plus (iOS 13.0 – 13.3.1) через автоматическое применение уязвимости checkm8 (при работе с ПО «Мобильный Криминалист» на персональных компьютерах с операционной системой Windows 10). 

Какие данные можно извлечь? 

С помощью инструмента «Расширенное извлечение iOS» программного продукта «Мобильный Криминалист» из Apple-устройств можно извлечь: 

  • данные только выбранных приложений, установленных на устройстве;
  • данные секретного хранилища Keychain;
  • полную файловую систему устройства в виде .tar-архива.

Важно заметить, что доступ к данным зависит от того, в каком состоянии находится устройство. Если оно разблокировано, то для извлечения доступна вся база его данных. Если же экран устройства заблокирован, то возможно только частичное извлечение информации. 

Если на устройстве предварительно установлен Jailbreak, чтобы извлечь из него данные, выполните следующие действия: 

  1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо выберите «Подключить устройство» в программе «Мобильный Криминалист Детектив». 
  2. В разделе «iOS извлечения» выберите метод «Расширенное извлечение iOS» в «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в «Мобильный Криминалист Детектив».
  3. Выберите «Извлечение из iPhone с Jailbreak».
  4. Проверьте, следуя инструкции, соблюдены ли следующие условия:
  • На устройстве установлен Jailbreak. Если нет, то установите Jailbreak вручную;
  • Для большинства устройств с iOS 12.3 до 13.5 рекомендуется использовать Jailbreak checkra1n, либо unc0ver 5.0;
  • Список устройств и версий iOS, поддерживаемых Jailbreak, представлен здесь
  • Установлена последняя версия iTunes
  • Экран устройства разблокирован (по возможности); 
  • Устройство подключено к ПК по USB-кабелю.
  1. Если все условия соблюдены, и вы готовы приступить к работе, нажмите кнопку «USB подключение».
  2. При возникновении проблем с подключением, программа переходит к окну, показанному на скриншоте №4.

 Какими могут быть причины неудачи?

  • телефон не подключен к компьютеру; 
  • нарушено какое-либо из условий подготовки к подключению;
  • введен неправильный SSH-порт устройства. 

 Что делать в такой ситуации?

  • проверьте, подключен ли телефон к компьютеру;
  • проверьте, соблюдены ли все условия, и попробуйте обновить iTunes;
  • «Мобильный Криминалист» выполняет подключение по SSH-портам, заданным Jailbreak при его первой установке на устройство. Самыми частыми портами являются 22, 44, 2222. По умолчанию «Мобильный Криминалист» использует именно их. Но иногда Jailbreak назначает другой SSH-порт, в таком случае в строке SSH необходимо ввести требуемое значение; 

Но для подключения устройства необходимо знать не только номер SSH-порта, но и пароль суперпользователя, предоставляющий доступ к программной учетной записи устройства — root.

Внимание! Данный пароль не соответствует обычному паролю владельца устройства на разблокировку экрана (цифровому или графическому). По умолчанию, его значение — «alpine». Однако, если на устройство уже устанавливали Jailbreak, его могли изменить. В таком случае при работе с инструментом появится окно, показанное на скриншоте №5.

  1. Для продолжения работы введите правильный пароль и попробуйте снова.
  2. При успешном подключении, вы увидите окно, показанное на скриншоте №6.
  3. Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение». 
  4. Выберите данные для извлечения, если это необходимо. 

Полное извлечение файловой системы 

  1. Если есть возможность, не забудьте разблокировать экран устройства для полного извлечения данных. Если экран будет заблокирован, то получится извлечь лишь часть информации, «Мобильный Криминалист» оповестит вас об этом. Если пароль на разблокировку экрана неизвестен и у вас нет возможности его получить, нажмите кнопку «Не разблокировать экран и извлечь Keychain частично».
  2. На первом этапе извлекаются данные хранилища Keychain. Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз. 
  3. На втором этапе происходит извлечение файловой системы устройства в виде .tar-архива.
  4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке сохранения извлечения на компьютере. 
  5. Для изучения и анализа данных выберите пункт «Открыть данные в «Мобильный Криминалист». 

 Для изучения доступны:  

  • данные секретного хранилища Keychain;
  • полная файловая система устройства.

 Популярные приложения

Для удобства и возможности быстрого доступа к данным определенных приложений реализовано выборочное извлечение информации только из топ-15 популярных приложений, установленных на устройстве. 

 Список приложений: 

  • WhatsApp Messenger
  • Viber
  • Telegram
  • Instagram
  • VK
  • Facebook
  • Skype
  • TikTok
  • Discord
  • Signal
  • Wickr Me
  • Twitter
  • Gmail
  • YouTube
  • Facebook Messenger

Для извлечения информации:

  1. Выберите интересующие вас приложения и нажмите кнопку «Начать извлечение». 
  2. На первом этапе извлекаются данные хранилища Keychain (если в нем находятся ключи для расшифровки данных исследуемого приложения). Стоит заметить, что в самом начале работы при подключении устройства может потребоваться ввести пароль разблокировки экрана гаджета несколько раз. 
  3. На втором этапе происходит извлечение данных выбранного приложения из файловой системы устройства в виде .tar-архива.
  4. После успешного извлечения импортируйте данные в ПО «Мобильный Криминалист» или посмотрите полученные файлы в папке на ПК. 
  5. Для изучения и анализа информации выберите пункт «Открыть данные в «Мобильный Криминалист».

Если на устройстве не установлен Jailbreak, чтобы извлечь из него данные, выполните несколько следующих действий: 

  1. Запустите модуль «Мастер Извлечения Данных» из рабочей панели программы ПО «Мобильный Криминалист Эксперт», либо выберите «Подключить устройство» в программе «Мобильный Криминалист Детектив». 
  2. Во всплывающем окне подтвердите запрос на права администратора. 
  3. Выберите в разделе «iOS извлечения» метод «Расширенное извлечение iOS» в программе «Мобильный Криминалист Эксперт», либо тот же метод в разделе «Другие извлечения» в ПО «Мобильный Криминалист Детектив».
  4. Выберите «Checkm8 извлечение» (стоит заметить, что поддерживаются только iPhone 6 (iOS 12.4.4 – 12.4.7) и iPhone 7/7 Plus (iOS 13.0 – 13.3.1)).
  5. Подключите устройство по USB-кабелю и переведите его в DFU-режим.

 Как перевести устройство в DFU-режим

 iPhone 6

  • подключите выключенное устройство к компьютеру; 
  • одновременно нажмите и зафиксируйте на 8 секунд в таком состоянии кнопки «Домой» и «Питание»;
  • отпустите клавишу «Питание», а «Домой» удерживайте еще 8 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз;
  • при успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова.

iPhone 7/7+

  • подключите включенное устройство к компьютеру; 
  • одновременно зажмите кнопку «Питание» и кнопку уменьшения громкости и удерживайте их 8 секунд;
  • отпустите клавишу «Питание», а кнопку понижения громкости удерживайте еще 5 секунд. Если на экране возникает лого компании Apple, это означает, что кнопка была удержана дольше требуемого времени. Попробуйте повторить все действия еще раз;
  • при успешном переводе в DFU-режим экран устройства остается отключенным. Если экран включен, то, скорее всего, вы активировали режим восстановления, а не DFU. В таком случае повторите все действия снова. 

Как выйти из режима DFU?

 iPhone 6

  • отсоедините устройство от ПК;
  • зажмите кнопки «Домой» и «Питание»;
  • отпустите обе кнопки при появлении логотипа компании «Apple» на экране устройства. 

iPhone 7/7+ 

  • зажмите и удерживайте в течение 10 секунд кнопку понижения громкости и «Питание»;
  • кратковременно нажмите кнопку «Питание», отпустив при этом кнопку понижения громкости. На дисплее должен появиться логотип «Apple», после чего устройство загрузится в нормальном режиме.
  1. При успешном подключении, вы увидите окно, показанное на скриншоте №7.
  2. Если на устройстве активирован USB Restricted Mode, введите пароль, чтобы его разблокировать.
  3. Выберите папку для сохранения результатов извлечения и нажмите кнопку «Начать извлечение».
  4. Выберите данные для извлечения, аналогично схеме извлечения данных из iOS-устройств с предварительно установленным Jailbreak. 

Что может пойти не так?  

  • зависает «OxygenLoader»;
  • после загрузки «OxygenLoader» или ядра телефона на устройстве через некоторое происходит резкий переход экрана из черного в белый, без появления логотипа компании «Apple»;
  • на устройстве постоянно отображается черный экран. 

Что делать?

  • сфотографируйте экран устройства и обратитесь в службу технической поддержки нашей компании, чтобы определить причину зависания. Для того, чтобы вывести устройство из этого состояния, выполните процедуру «Hard Reset»;
  • такое поведение устройства говорит о том, что оно перезагрузилось несколько раз и после этого запустится в обычном режиме, т.е Jailbreak на нем не будет установлен. Отключите устройство и попробуйте повторить все действия еще раз; 
  • выполните процедуру «Hard Reset» на устройстве. 
Мастер извлечения данных
Расширенное извлечение iOS
Выбор метода извлечения
Советы перед подключением
Устройство подключено
Неверный пароль
Удачное подключение
Выбор данных для извлечения
Уведомление о просьбе разблокировки экрана
Извлечение Keychain
Извлечение файловой системы
Данные популярных приложений
Окончание извлечения
Результаты Keychain
Итоги извлечения файловой системы