アップルの法医学。 オープンソースツールを使用してiOSデバイスからデータを抽出する

昨年7月現在、AppleはiOSを搭載した8億台以上のデバイスを販売しています。 それらの半分以上はさまざまなiPhoneモデルです。 非常に多くのデバイスが流通しているため、それらがコンピューター技術の専門知識（法医学）の対象になることが多いことはまったく驚くことではありません。 このような検査を自動化するために、さまざまなソリューションが市場に出回っていますが、それらの値札はしばしばそれらにアクセスできなくなります。 したがって、本日は、最小限のコストで、またはより簡単に無料および/またはオープンソースのツールを使用して、そのような試験を実施する方法についてお話します。

理論のビット

検査中、ほとんどの場合、デバイスへの物理的アクセスが暗示され、エキスパートには2つのタスクがあります。デバイスから可能な限り多くのデータと情報を抽出することと、トレース（アーティファクト）をできるだけ少なくすることです。 検査の結果が法廷で提示される場合、2番目のタスクは特に重要です。過剰なアーティファクトが再検査を妨げる可能性があり、その結果、最初の検査の結果に疑問を投げかける可能性があります。 多くの場合、アーティファクトの出現を避けることは不可能です。 研究のさまざまな段階で作成されたアーティファクトを詳細に文書化することにより、この問題を解決しようとしています。



iOSデバイスに保存されたデータは比較的十分に保護されており、データを抽出するには、通常、次の障害を克服する必要があります。

1. パスコード。 不正アクセス（検査を含む）からデバイスを保護し、データの一部を暗号で保護します。 これは、デバイスがパスコードを知らなくても対応する暗号化キーを取得できないため、パスコードがなんらかの方法でバイパスされても、一部のキーチェーンファイルおよびレコードが利用できないことを意味します。
2. キーホルダー これは、パスワード、トークン、暗号化キー、その他の秘密の集中リポジトリであり、アプリケーション開発者が貴重なデータを保持することをAppleが推奨しています。 物理的には、SQLite3データベースであり、エントリは暗号化され、アクセスは「securityd」サービスへのリクエストを介して間接的に実行されます。
3. ファイルの暗号化。 フルディスク暗号化（FDE）システムとは異なり、iOSは各ファイルを個別のキー（Windows EFSなど）で暗号化します。 一部のファイルは、一意のデバイスキーから派生したキーで保護されており、パスコードを知らなくても復号化できます。一部のファイルは、パスコードを知らないと復号できないように保護されています。

これら3つのメカニズムがデータ保護サブシステムを形成します。これはiOS 4に登場し、外観上、試験の実施を著しく複雑にしました。 iOS 4のリリース後、データ保護はそれほど変化しませんでしたが、1つ例外があります-iPhone 5sおよびそれ以降のモデルでのSecure Enclaveの出現。 Secure Enclaveは、指紋、パスコード、暗号化キーなどを使用した操作のデータ保護の一部として使用されますが、この記事では考慮しません。

データ抽出

iOSデバイスからデータを抽出するために、実際にはいくつかの方法が伝統的に使用されています：

1. 「物理的抽出」を使用すると、ディスクのビット単位のイメージ、デバイスのすべての暗号化キーを取得でき、ほとんどの場合、パスコード（インストールされている場合）を並べ替えることもできます。 通常、物理的な抽出には、完全な権限を持つユーザー（ルート）およびサンドボックスの外部（サンドボックス）のコンテキストでデバイス上でコードを実行する必要があります。 この方法は、古いデバイス（iPhone 4や最初のiPadなど）のブートローダーの脆弱性により、デバイス上で任意のコードを実行できるため、数年前に普及しました。 新しいデバイスでは、ジェイルブレイクがある場合にのみ物理的な抽出が可能です（予約がある場合でも）。したがって、今日はそれを考慮しません。
2. 論理抽出では、デバイス上に既に存在し、iTunesやXcodeなどのプログラムがデータを取得するために使用するインターフェイスとサービスを使用します。 ここでの典型的な例は、iTunesのバックアップを作成することです：作成するために、デバイスに追加のプログラムをインストールする必要はありませんが、同時にデバイスに関する多くの貴重な情報（連絡先と通話のリスト、通信履歴、ロケーション履歴、写真/ビデオを含む）が含まれています。 しかし、問題はバックアップのみに限定されません-データへのアクセスを許可するiOSデバイスには他のサービスがあります。
3. iCloudから取得すると、デバイスのバックアップをクラウドからダウンロードできます。 これを行うには、Apple IDデバイスで設定されている認証データ（Apple IDとパスワードまたは認証トークン）を知る必要があります。 iCloudバックアップには、大量の貴重な情報も含まれています。

嵌合

「論理」抽出に関しては、重要な概念の1つはデバイスとホストのペアリングです。 ほとんどの場合、デバイスは、ペアになったホストからの要求にのみ応答します（そのようなホストは複数ある場合があります）。 ペアリングレコードは2つの部分で構成されます。1つはデバイスに保存され、もう1つはホストに保存され、デバイスが新しいホストに初めて接続されたときに作成されます。 このようなレコードを作成するには、デバイスのロックを解除する必要があります（つまり、一般にペアリングするにはパスコードを入力する必要があります）。ユーザーはデバイスでペアリングレコードの作成を確認する必要があります（iOS 7以降、以前のバージョンでは、レコードは自動的に作成されました）。







ペアリングレコードには、デバイスに保存されているすべてのコンテンツの暗号化キーが含まれているため、デバイスへの接続とロック解除に使用できます。 言い換えると、暗号化されたデータへのアクセスの観点から見ると、ペアリングレコードはパスコードを知ることと同等です。これらの2つの要因のいずれかが存在すると、デバイスのロックを解除し、すべてのデータにアクセスできます（暗号化の意味で）。



実用的な観点から、上記のことは、一般的な場合の論理的な抽出には、信頼できるコンピューターの1つからの既存のペアリングレコードまたはパスコード（このレコードを作成するため）が必要であることを意味します。 これがないと、ほとんどのiOSサービスは動作を拒否し、データを返します。

練習する

実験には、Linuxを実行する仮想マシンまたは物理マシンが必要です。 Linuxは原則として何でも構いません。`libusb`と `libimobiledevice`が通常動作し、その下で動作することが重要です。 Santoku Linuxを使用します。これは、AndroidおよびiOSを実行しているデバイスを研究するために作成された配布キットです。 残念ながら、Santoku Linuxには必要なものがすべて含まれていないため、まだ何かを仕上げる必要があります。

論理抽出

デバイスからデータを論理的に抽出するには、さまざまなiOSサービスと通信するためのクロスプラットフォームライブラリlibimobiledeviceが必要です 。 残念ながら、Santoku Linux 0.5には `libimobiledevice`の古いバージョン（1.1.5）が付属しています。これはiOS 8を完全にサポートしていないため、まず最新バージョン（1.1.7）とそのすべての依存関係をインストールします（指定されたリンクでアーカイブをダウンロードし、解凍します） 、結果のフォルダーに移動し、 `。/ autogen.sh && make && sudo make install`を実行します）：

• libplist-1.12 ;
• libusbmuxd-1.0.10 ;
• libimobiledevice-1.1.7-ここでは、 `--enable-dev-tools`キーに注意してください。これには、追加のユーティリティのアセンブリが含まれています。これは、今後、いくつかのiOSサービスとの通信に使用します。`./autogen.sh --enable- dev-tools`;
• usbmuxd-1.1.0 -Santoku 0.5では、usbmuxdが起動しないため、 `--without-systemd`キーが必要なようです：` ./autogen.sh --without-systemd`;
• ideviceinstaller-1.1.0 ;
• ifuse-1.1.3 。

すべてがうまくいけば、いよいよiOSデバイスをコンピューター（または仮想マシン）に接続し、ホストがそれを認識していることを確認します。

santoku@santoku-vm:~$ idevice_id -l 23f88587e12c30376f8ab0b05236798fdfa4e853 santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドは、接続されたデバイスの識別子（UUID）を表示する必要があります。

デバイス情報

次のステップは、デバイスに関するより詳細な情報を取得することです。 これには「ideviceinfo」ユーティリティが使用されます。 次の2つのバージョンで使用できます。

• 「ideviceinfo -s」は、新しいデバイスを作成したり、ホストとデバイス間の既存のペアを使用しようとせずに、デバイスに関する公開情報を表示します。
• 「ideviceinfo [-q <ドメイン>] [-x]」は、かなり詳細な情報を表示しますが、デバイスとホストのペアリングが必要です。 ユーティリティは、デバイスで実行されている「lockdownd」サービスに情報を要求します。 情報はキーと値のペアであり、キーはドメインにグループ化されます。 `-q`パラメーターを使用して、データを取得する特定のドメインを指定できます。

`-x`パラメータを使用すると、プログラムの出力をXML形式（またはプロパティリストの形式）でフォーマットできるため、出力をファイルにリダイレクトし、他のプログラムやスクリプトでさらに処理できます。

用途

論理抽出の一部として、アプリケーションデータにアクセスできます。 これを行うには、最初に「ideviceinstaller」ユーティリティを使用してインストール済みアプリケーションのリストを取得する必要があります。

 santoku@santoku-vm:~$ ideviceinstaller -l Total: 4 apps com.viaforensics.viaprotect-app - NowSecure 1 com.facebook.Facebook - Facebook 6017145 ph.telegra.Telegraph - Telegram 39280 com.getdropbox.Dropbox - Dropbox 3.6.2 santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その結果、アプリケーションごとに、その識別子（いわゆるバンドルID）、名前、およびバージョンを取得します。 アプリケーション識別子を知っていれば、そのデータにアクセスできます。 このために、2つのiOSサービス-「house_arrest」と「afc」が関係しています。 AFC（Apple File Conduit）はファイルアクセスサービスです。 特に、iTunesを使用すると、デバイス上の音楽やその他のメディアファイルにアクセスできます。 「house_arrest」はあまり知られていませんが、特定のアプリケーションのサンドボックスでAFCサーバーを起動できます。 特に、iTunesでファイル共有機能を実装するために使用されます。



しかし、これはすべて理論です。 実際には、アプリケーションファイルにアクセスするには、ifuseユーティリティを使用するだけで十分です。

 santoku@santoku-vm:~$ ifuse --container com.getdropbox.Dropbox ~/Desktop/Applications/ santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドの結果、アプリケーションデータのあるディレクトリが〜/ Desktop / Applicationsディレクトリにマウントされます。

 santoku@santoku-vm:~$ ls ~/Desktop/Applications/ Documents Library StoreKit tmp santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コマンド `fusermount –u〜/ Desktop / Applications`でアプリケーションデータをアンマウントできます。

iTunesバックアップ

従来、デバイスのバックアップは最も人気のあるデータ抽出ベクトルの1つでしたが、定義上、バックアップにはデバイスとその所有者に関する多くの貴重な情報が含まれていることを考えると、当然のことです。 バックアップを作成するには、 `idevicebackup2`ユーティリティを使用できます：

 santoku@santoku-vm:~$ idevicebackup2 backup --full ~/Desktop Backup directory is "/home/santoku/Desktop" Started "com.apple.mobilebackup2" service on port 50066. Negotiated Protocol Version 2.1 Starting backup... Enforcing full backup from device. Backup will be unencrypted. Requesting backup from device... Full backup mode. [= ] 1% Finished Receiving files .... Received 237 files from device. Backup Successful. santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

デバイス上のコンテンツの量によっては、バックアップの作成に長い時間がかかる場合があります（最大30分）。



バックアップの別の潜在的な問題は、バックアップを暗号化できることです。 iOSのバックアップの暗号化はデバイス側で実行されるため、ユーザーがバックアップをパスワードで保護している場合、バックアップ中にデバイスによって送信されるすべてのデータが暗号化されます。 パスワードを見つけることができます-これには商用ツールと無料ツールの両方があります。 パスワードがないと、バックアップファイルの内容にアクセスできません。



デフォルトでは、 `idevicebackup2`はバックアップを内部iOS形式で保存します。これは、たとえば、ファイル名の代わりにファイルパスのSHA-1ハッシュ関数の値を使用するため、手動の探索にはあまり適していません。 この内部iOS形式の利点は、多くのプログラムがその操作方法を知っていることです。したがって、バックアップの内容を分析するには、これらのプログラムの1つ（たとえば、 iOS Backup Analyzer 、 iBackupBot 、 iExplorer ）で開きます。



何らかの理由でバックアップをより読みやすい形式で取得したい場合は、 `unback`コマンドを使用できます。

 santoku@santoku-vm:~$ idevicebackup2 unback ~/Desktop
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドは、デスクトップ上に `_unback_`ディレクトリを作成します。このディレクトリでは、デバイスのバックアップコピーは、従来の擬似ランダム名を持つファイルのリストとしてではなく、従来のファイルツリーとして保存されます。

ファイルシステム

ifuseユーティリティを使用して、iOSデバイスのファイルシステムにアクセスすることもできます。 すぐに、標準のAFCサービスでは、写真/動画ファイル、映画、音楽、その他のメディアコンテンツを保存する `/ var / mobile / Media`ディレクトリのコンテンツにのみアクセスできることに注意してください。 このディレクトリは、コマンド「ifuse〜/ Desktop / Media /」を使用してマウントできます。



デバイスにジェイルブレイクが行われ、AFC2サービスがインストールされた場合、ファイルシステムへのアクセスの可能性が大幅に拡大します。 AFC2は同じAFCで、 `/ var / mobile / Media`ディレクトリだけでなく、ファイルシステム全体にのみアクセスできます。 デバイスのルートファイルシステムは、「ifuse --root〜/ Desktop / Media /」のようにマウントできます。 アプリケーションデータへのアクセスの場合と同様に、コマンド「fusermount –u〜/ Desktop / Media」を使用して、デバイスのアンマウントを実行します。

FILE_RELAY

File_relayはあまり知られていないiOSサービスの1つで、他のインターフェイスでは利用できないデータを受信できる場合があります。 このサービスは、2.0から（iOSはiPhone OSとも呼ばれていました）iOSのすべてのバージョンに存在しますが、利用可能なデータのリストはバージョンごとに異なります。



file_relayサービスを通じてデータを取得するには、 `filerelaytest`ユーティリティを使用できます（` --enable-dev-tools`パラメーターが `libimobiledevice`設定中に指定されている場合にのみコンパイルされます）：

 santoku@santoku-vm:~$ filerelaytest Connecting... Requesting AppleSupport, Network, VPN, WiFi, UserDatabases, CrashReporter, tmp, SystemConfiguration Receiving ......................................................................................................... Total size received: 393414 santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

iOS 8の `file_relay`のソース

AppleTVのベースバンドBluetoothのキャッシュCoreLocation CrashReporter CLTMはSafeHarbor SystemConfiguration UbiquityのUserDatabases AppSupporトンボイスメールVPNのWiFi WirelessAutomation MapsLogs NANDDebugInfo IORegUSBDevice VARFS HFSMeta tmpのMobileAsset GameKitLogsデバイス-O-MaticをMobileDeleteは、アドレス帳FindMyiPhone DATAACCESS DataMigrator EmbeddedSocial MobileCal MobileNotesアカウントをitunesstoredキーボードのロックダウンMobileBackup MobileInstallation MobileMusicPlayerネットワーク写真をDEMOD

このコマンドは、file_relayサービスに接続し、ソースの固定セット（AppleSupport、Network、VPN、WiFi、UserDatabases、CrashReporter、tmp、SystemConfiguration）を要求します。 このような各ソースは、デバイスからの1つ以上のファイルです。 iOS 8のソースの完全なリストについては、サイドバーをご覧ください。 特定のソースをリクエストするには、単にその名前を `filerelaytest`のパラメーターとして使用します：

 santoku@santoku-vm:~$ filerelaytest Accounts Connecting... Requesting Accounts Receiving .......... Total size received: 31217 santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

結果（つまり、抽出されたデータ）は、現在のディレクトリのdump.cpio.gzに書き込まれます。 標準のgunzipおよびcpioユーティリティを使用して展開できます。

 santoku@santoku-vm:~$ gunzip dump.cpio.gz santoku@santoku-vm:~$ cpio -idmv < dump.cpio . ./var ./var/mobile ./var/mobile/Library ./var/mobile/Library/Accounts ./var/mobile/Library/Accounts/Accounts3.sqlite ./var/mobile/Library/Accounts/Accounts3.sqlite-shm ./var/mobile/Library/Accounts/Accounts3.sqlite-wal ./var/mobile/Library/Preferences ./var/mobile/Library/Preferences/com.apple.accountsd.plist 6297 blocks santoku@santoku-vm:~$
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

iOS 8より前は、このサービスは非常に便利で、他のインターフェイスからアクセスできないデータを取得できました（たとえば、バックアップが暗号化されている場合）。 ただし、iOS 8以降、Appleは追加のチェックを導入しました。file_relayサービスが機能するためには、Appleによって署名された特別な構成プロファイルをデバイスにインストールする必要があります。



そのようなプロファイルを `/ Library / Managed Preferences / mobile /`ディレクトリにインストールすると、ファイル `com.apple.mobile_file_relay.plist`が次の内容で作成されます：

 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Enabled</key> <true /> </dict> </plist>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実行時に「file_relay」はこのファイルの存在とその中の「Enabled」キーの値をチェックし、「true」に設定されている場合にのみデータを返します。

自動化

「libimobiledevice」の大きな特徴の1つは、このライブラリは、デバイスと通信するための既製のユーティリティに加えて、独自のツールを作成するためのAPIも提供することです。 たとえば、さまざまなデバイスサービスへの同じレベルのアクセスを提供するPythonのバインディングが含まれています。 このAPIを使用すると、必要なツールを正確にすばやく作成できます。

iCloud

iOS 5以降、デバイスはiCloudクラウドに独自のバックアップを作成でき、初期セットアップ中にそのようなコピーから回復できます。 データにアクセスするには、Apple IDとパスワードの知識が必要です。 このための1つのオープンソースソリューションはiLootです。 このユーティリティは非常に使いやすいので、説明は不要です。AppleIDとパスワードを入力し、出力をiCloudからダウンロードします。 執筆時点では、iLootは2段階認証が有効になっているアカウントでは機能しません。

おわりに

この記事では、利用可能なiOSデバイスからデータを抽出する方法-経済的コストを必要としない方法-について話そうとしました。 抽出されたデータの分析など、研究の重要な側面は舞台裏に残されました-このトピックははるかに広範であり、iOSのバージョンとインストールされているプログラムに大きく依存しているため、分析のトピックを「一般に」明らかにすることは難しいようです。 それでも、提示された資料が興味深いものであり、皆さんがそこから新しいことを学んだことを願っています。 ハッピーハッキング！







2015年2月から最初にHacker誌に掲載されました。

投稿者：Andrey Belenko（ @abelenko ）



ハッカーを購読する

• 紙版
• iOS / iPadのハッカー
• Androidのハッカー