Комментарии 48
retryAfte - у кого опечатка?)
Там еще в знаке / 6 опечаток:
\private\var\mobile\Library\Preferences\com.apple.identityservices.idstatuscache.plist
Если я правильно понял, то все, что после X -го, можно выбрасывать. До - только молоток.
Спасибо, очень интересно. А достаточно ли данных было получено чтобы дешифровать keychain информацию ? Всегда считал, что keychain нельзя взломать так как там насколько помню всё на Secure Enclave который насколько знаю до сих пор не взломали.
Связка ключей извлекалась с использованием Elcomsoft iOS Forensic Toolkit. ПО умеет извлекать ключи шифрования из устройства и дешифровывать содержимое Keychain при извлечении информации.
«Не спешите выбрасывать старый телефон. Выбросьте его медленно, с удовольствием!» ©
Никогда не выбрасываю старые устройства, все лежат в ящике, как у Сола. Иногда отдаю родственникам/знакомым после удаления личных данных. Если человек совсем не близкий, то после аппаратного сброса. Лет через 20 информация становится неактуальной и можно выбрасывать после прокатки через шредер.
К сожалению, единственный способ полностью защитить себя от эксплуатации этой уязвимости – это отказаться от использования устройств, которые ей подвержены (iPhone 4S — iPhone X). При отсутствии такой возможности, установите на айфон самые последние доступные обновления. Это поможет снизить риск утечки конфиденциальной информации и повысит общую безопасность ваших данных.
И включить режим "блокировки".
А так же там ещё расширенная защита данных iCloud
Прикольно. А как это работает? В моем понимании, у нас есть зашифрованный раздел с данными пользователя. Ключ шифрования создается на основе пароля пользователя. Если мы стираем ключ или забываем пароль - все, доступа у нас нет. Если мы ввели пароль 10 раз неправильно - доступа тоже нет, ключ удаляется.
Получается, что на самом деле ключи с устройства не удаляются? Или где-то хранится их копия? Или уязвимость позволяет читать шифрованные данные вообще не зная ключ?
Вся информация была получена из незашифрованных данных приложений. Эксплойт просто позволяет извлечь эти данные из айфона
Про то, как приложения хранят данные и что в них много интересного - как раз понятно. Не понятно, как получилось извлечь данные, если они должны удалиться после 10 попыток ввода пароля. Получается, физически не удаляется вообще ничего, но ставится флаг «нужен сброс через iTunes». И только после сброса девайс действительно будет очищен. А вот эксплойт позволяет читать ФС и без этих операций. Если я все правильно описал, то печально: у меня была более твердая уверенность в защите украденного/потерянного айфона.
В данной ситуации все было именно так.
Вот, что сам Apple пишет по этому поводу: «Устройства, которые выпущены впервые осенью 2020 года или позже, оснащены компонентом защищенного хранилища второго поколения. В компонент защищенного хранилища второго поколения добавлены защищенные хранилища счетчиков. Защищенные хранилища счетчиков содержат энтропийно закодированное значение, необходимое для разблокирования пользовательских данных, защищенных код-паролем. Для доступа к этим пользовательским данным требуется объединенный в пару сопроцессор Secure Enclave, который получает правильное энтропийно закодированное значение на основе код-пароля пользователя и UID Secure Enclave... Если превышено количество попыток ввода код-пароля (например, 10 попыток на iPhone), компонент защищенного хранилища безвозвратно стирает данные, защищенные код-паролем».
Но нюанс, видимо, состоит в том, чтобы в настройках устройства была активирована функция «Стирать данные» после 10 неудачных попыток ввода код-пароля.
Я не вижу чтобы что-то чувствительное извлеклось из телефона. Я вижу артифакты с чувствительной информацией которую разработчики приложений туда случайно поместили. Я не вижу фотографий, контактов, смс переписки, паролей из сафари.
Я вижу полный доступ к ФС телефона. Если автор что-то не описал, это не значит, что это нельзя прочитать. Фотографии наверняка лежат в Media, у смс и контактов свои SQLite базы - если они читаются, то извлечь их труда не составит. Пароли лежат в кичейне, но автор четко не указал, получилось ли его расшифровать.
Нельзя эти данные извлечь без пароля пользователя. Кейчеин это просто хранилище, я туда тоже иногда сохраняю данные без защиты, потому что лень это делать, например коротко живущие токены, вот долгоживущие токены при сохранении в кейчеин уже помечаю, что для извлечения нужна биометрия, вот такие ключи невозможно извлечь подобными средствами в BFU режиме.
Какие - эти? Кичейн защищен, ок, хотя я бы дождался автора. Все остальное, что просто лежит в ФС - не защищено и не удаляется. Перечитайте мой начальный поинт. Apple заявляет о том, что все данные стираются. А они не стираются.
Покажите, что они не стираются, в частности, пусть автор поста покажет смс текста, фотографии, контакты. Пока не доказано обратное они стираются.
Избранные контакты - есть. Заблокированные контакты - тоже есть. Особо важные контакты в почте - есть. Местонахождение точек Wi-Fi - есть. Установленные приложения - есть. Живые контейнеры приложений (в статье явно указан WhatsApp) с файлами, номерами и группами - есть. Номер в Telegram - есть. Посещенные сайты - есть.
А так ничего не доказано, ага)
Для меня это нечувствительные данные, их даже можно найти в моих соц сетях частично. Контакты вообще сейчас все отдают в какое-то приложение и оно показывает у кого вы есть, знакомый так много людей нашел. Вот фотки паролей и крипто кошельков, некоторые переписки в телеграмме, смс с отп и used id для банков с балансами на счету, пароли из сафари - вот это чувствительная информация. Если я удаляю со своего телефона фотки/соцсети/кейчаин/отпклиенты/криптоклиенты, я могу отдать свой телефон даже без пароля ибо там больше ничего интересного нет.
Контакты вообще сейчас все отдают в какое-то приложение и оно показывает у кого вы есть, знакомый так много людей нашел.
Знакомого случайно не Тащ Май Ор звали?
Если я удаляю со своего телефона фотки/соцсети/кейчаин/отпклиенты/криптоклиенты, я могу отдать свой телефон даже без пароля ибо там больше ничего интересного нет.
надо помнить, что в подавляющем большинстве случаев данные не wipe'ятся физически, а только помечаются удалёнными. так что, вопрос их получения только чуть усложняется технически.
Пока не доказано обратное они стираются.
Интересный у Вас, аднака, подход к безопасности.
Почему) Я доказал, что стираются, потому что прочитал много репортов о тулах которые взламывают iphone, ни разу не видел информацию про фотографии и переписки через iMessage полученные через BFU (не путать с AFU). Поэтому и задал вопрос на этот счет, может что-то изменилось. Так как никто не смог подтвердить обратное, значит действительно так и есть) Это технический ресурс, погуглите, есть технические данные что извлекаемо, а что нет, а мне простым техническим языком не могут ответь на простой технический вопрос который я спросил уже наверное раз 5)
Я к тому, что безопаснее априори считать, что (потенциально) компрометирующая информация достаётся вашему противнику, если не доказано обратное.
Мы что на философском форуме) Есть много фактических заключений, что подобные данные не извлекаются, и нет ни одного упоминания, что их можно извлечь. Так извлекаются они или нет ? Вы можете дать простой ответ да/нет ?
Извлеклись незашифрованные данные приложений и системные артефакты, о которых писал выше. Никаких фотографий, содержимого чатов в мессенджерах. Так что чудес не бывает))
А то, что данные, которые удалось извлечь в процессе исследования, для Вас не считаются чувствительными, тут, пожалуй, вопрос индивидуальный. Я лишь хотел подсветить то, что в определенных ситуациях из заблокированного устройства можно получить хоть какую-то информацию, идентифицирующую пользователя. Для многих, по моему опыту, это не всегда очевидно.
Вы можете дать простой ответ да/нет ?
Вы перестали бить свою жену? Вы можете дать простой ответ да/нет?
Статья отлично раскрывает тему извлечения данных из заблокированных iPhone и дает ценные инсайты по использованию уязвимости checkm8. Отличный материал для специалистов по мобильной криминалистике!
Название статьи не соответствует содержанию.
я вообще ничего не выкидываю из гаджетов ))
Но вообще я конечно читал статью в надежде узнать как можно с пользой применить старый айфон
Три причины не выбрасывать старый айфон: руководство по сбору артефактов после сброса устройства