如何對蘋果設備進行雲取證

雲取證可以說是移動取證的未來發展方向，因為雲端的存儲信息量要遠遠大於設備上的信息量，而且對雲端的取證可以不用考慮設備的好壞或是否能正常工作。

不過，要對雲端進行訪問，就必須得獲取正確的身份驗證憑證，比如登錄名和密碼，還有就是以二進位身份驗證令牌形式緩存的憑證。如果沒有身份驗證憑證，肯定無法訪問數據。然而，你以為有了正確的身份驗證憑證，就可以訪問存儲在雲中的證據了嗎？與人們普遍認為的相反，即使獲取正確的登錄憑證，也不一定能對存儲在雲中的數據進行訪問。本文中，我將告訴你如何訪問存儲在Apple iCloud中的數據。

前言

每次當有研究人員發布有關於雲取證工具的更新時，都會引來很多評論。最新的例子是MacRumors的文章「極端情況下，ElcomSoft的最新版本可以訪問iCloud中的iMessages」。此文一出，就有很多網友評論到：

·「這下iCloud都不安全了，攻擊者可以隨意訪問我們的數據了。」；

·還有人評論到「這就好比有人竊取了我的銀行卡和密碼，可以隨意地在自動取款機上取錢一樣。」；

·還有人評論到「如果有人獲得你的Apple ID、密碼就一定能夠獲得你的信息！」。

以上所有的評論，都有一個假設，就是如果一旦正確的憑證被獲取，對方就可以肆無忌憚地訪問雲端的信息，對吧？

顯然，沒有一個用戶嘗試過這些假設是否能夠實現。說到Apple的封閉式生態系統，擁有正確的身份驗證憑證並不意味著你可以訪問信息，更不用說「輕鬆訪問」了。

為什麼在雲取證時，除了獲得正確的身份驗證憑證，你還需要藉助額外的工具？

讓我們從一個簡單的測試開始，我會給你一個測試用的Apple賬號的登錄名（Apple ID）和密碼，讓你嘗試從該帳戶中提取你認為能提取的應用程序數據、密碼和消息。假設我們都可以訪問輔助身份驗證因素，並且都知道測試設備的密碼或系統密碼。我將使用Elcomsoft Phone Breaker，而你可以使用任何你想要的東西（除了任何取證工具），看看誰能獲得用戶存儲的數據。

第1步：使用登錄名、密碼和雙因素身份驗證對iCloud進行身份驗證；

第2步：我將所有已同步的數據（包括密碼和消息）下載到我的測試設備上。然後，我輸入該測試設備密碼，獲得數據的時間總共花了1分52秒，其中就有獲得的密碼；

第3步：最後，我會獲得一份備份（展示1 ，展示2）；

以上是我獲取數據的過程，現在輪到你了。你可以登錄https://appleid.apple.com/在線查看密碼和消息嗎？不，你只能從Apple設備訪問消息和密碼。你需要一個備用的蘋果設備來恢復iCloud備份，並同步密碼和消息。

為此，你要備用iPhone，iPad或iPod Touch，並確保它運行最新版本的iOS。接著，你要進行設置，以恢復雲備份，此時測試帳戶的所有者會收到電子郵件警報，然後等待既可。通常為30分鐘到幾個小時）。此時，你要啟用iCloud 鑰匙串和消息同步，這樣帳戶持有者會收到另一個警報，然後等待既可。

設備設置完畢後，你可以通過設置逐個查看密碼：

你可以通過消息應用程序訪問消息，如果要將應用程序數據(iCloud備份)轉儲後進行離線分析，你必須先通過iTunes備份手機，然後才能處理該備份信息。（順便說一下，你是否知道必須為該備份指定一個臨時密碼才能訪問所有信息的操作嗎？之後你需要對其進行解密，如果你不使用取證工具，這樣做可能會很困難）。

注意：備份數據中，沒有地圖數據，因為此數據不會包含在本地備份中。如果你需要訪問用戶的地圖數據，則必須使用Elcomsoft Phone Breaker或類似的取證工具。

如果要取證的設備有多個備份，你可能需要多次重複出廠設置的過程。

假如你能順利獲取自己想要的數據，那這個過程你花了多少時間？這是一次輕鬆的體驗嗎？

GDPR條款

你可能會想，利用今年新發布的GDPR條款，就可以在https://privacy.apple.com/上填寫一個表格，然後就可以下載到蘋果公司所知道的關於用戶的所有信息。

而事實上，蘋果公司按著GDPR條款列出的數據並非真正意義上的全部數據，下圖顯示了使用GRPR pulls導出的完整數據類別列表。

仔細觀察，你會發現通過GDPR請求獲取的信息中缺少兩個主要類別的數據：

·消息（SMS和iMessages）；

·iCloud 鑰匙串（用戶在線帳戶的密碼）；

蘋果公司稱，這些數據是通過一個密鑰進行加密，而該密鑰則由已註冊設備的密碼或系統密碼保護。因此，用戶或安全調查員無法通過GDPR請求訪問這些類型的證據。

那麼如果你要對消息和iCloud鑰匙串進行訪問，該怎麼做呢？

如果你擁有正確的登錄憑證，並且你對使用取證工具持懷疑態度，那麼你就必須按著複雜的步驟才能達到訪問目的。

1.找一個備用iOS設備(iPhone、iPad或iPod Touch)，該設備要與要取證的設備運行相同版本的iOS；

2.將備用的iOS設備還原到出廠設置，然後在備份的雲資料中，將用戶的Apple ID和密碼進行恢復（可能需要30分鐘到幾個小時）；

3.通過iCloud鑰匙串註冊設備，並進行消息同步，注意：消息同步時需要已註冊設備的密碼或系統密碼；

4.耐心等待設備同步密碼和消息（可能需要幾分鐘到幾個小時）；

5.如果你只需要獲取特定的密碼或消息，則可以在設備上手動訪問它。但是，如果你需要分析所有密碼或消息，則需要通過本地備份轉儲所有項；

6.將已經轉儲的設備連接到你的計算機，然後使用iTunes進行本地備份（注意，一定要記住設置的臨時密碼，這是訪問密碼時所必需的）。這個過程可能需要幾分鐘或幾個小時，具體取決於設備的數據量；

7.不過目前沒有蘋果公司製作的軟體可以處理iTunes備份，因此你需要第三方工具來解密和分析這些備份。

8.最後，你可以導出密碼和消息；

總的下來，這個過程大概得花幾個小時的時間。但是如果你使用取證工具呢？只需大約一分鐘就完成了同樣的任務。為此，我親自測試了一下，大概是33秒，就可以提取密碼。

然後獲取消息的時間，大約是27秒。

現在，讓我們繼續接著聊GDPR所能提供的證據信息。除了消息（SMS和iMessages）和iCloud 鑰匙串外，那剩下的數據是否就都能得到呢？ 蘋果公司聲稱處理GDPR請求可能需要7天時間。

如果你能等得起，那就去等吧。如果著急用，我可以教你一些比較快速的獲取方式。

通過政府請求的方式獲得

執法部門長期以來一直能夠通過政府請求的方式獲取證據，對於Apple帳戶來說，政府請求的數據主要包括兩方面內容：帳戶里保留的個人信息和帳戶本身的信息（比如登錄名、密碼），所有請求均按照蘋果公司的隱私政策處理。

不過在回復政府請求時，蘋果公司都是以其專有格式提供信息，取證人員以加密形式接收信息。此時蘋果只會提供解密密鑰，而不提供解密工具。由於解密過程很複雜，許多專家都會選擇使用Kleopatra或GPG等第三方工具，或購買Cellebrite或BlackBag等公司提供的解密服務。由於生成的解密數據採用的是二進位格式，因此需要藉助更多工具來分析。

通過政府請求的方式獲取數據的好處，是不需要知道用戶的身份驗證憑證。如果登錄名和密碼以及二進位身份驗證令牌都不可用，則政府請求可能是獲取信息的唯一方式。

不過這些都是政府在獲取一般蘋果設備的優勢，在獲取雲端的內容時，政府請求的方式就具有許多缺點，比如：

1.需要大量的法律證據和支持；

2.只能申請調取案發以前的數據；

3.這個過程很漫長，可能需要幾周時間（除非你提出緊急請求）；

4.蘋果公司以二進位格式提供加密數據，雖然還提供了解密密鑰，但他們不提供解密密鑰的工具。第三方工具和服務可用於幫助調查人員解密數據，這就會增加額外成本並延遲調查；

5.蘋果公司不會提供消息或密碼（iCloud 鑰匙串），因為這些消息或密碼還使用了不同的加密密鑰進行加密。如果你需要，你必須使用Elcomsoft Phone Breaker或按照上面所述的步驟操作；

何時需要雲取證工具

如果你決定不用雲取證工具，那隻能花費大量的時間，並使用備用的Apple設備來到達目的。而使用取證工具（比如Elcomsoft Phone Breaker），即使沒有備用的Apple設備，也可以在很短的時間內（幾分鐘而不是幾小時）完成相同的任務。

與使用備用設備來恢復iCloud相比，Elcomsoft Phone Breaker具有以下優勢：

1.不需要備用的Apple設備；

2.可以訪問已刪除的項目（30內刪除的照片和Safari書籤都可以進行訪問）；

3.更快的訪問速度（以分鐘而不是小時計算）；

4.選擇性訪問；

5.無需通過iTunes備份；

6.可以訪問同一設備的先前備份資料，但如果在備用設備還原，則只能恢復同一設備的最後一次備份；

7.可以同時訪問同一帳戶上在其他設備的備份；

8.使用令牌而不是用戶的Apple ID和密碼進行身份驗證；

9.沒有或很少有電子郵件的提醒；

10.使基於SMS簡訊的雙因素認證成為可能；

11.可以獲取地圖數據，但卻不包含在本地備份中；

12.可以獲取iCloud Drive文件（但也可以使用Mac或PC訪問或使用EPB下載）

與GDPR請求方式相比，Elcomsoft Phone Breaker具有以下優勢：

1.無與倫比的訪問時間優勢，只需幾分鐘而不是7天；

2.訪問已刪除的項目；

3.訪問消息（需要已註冊設備的密碼或系統密碼）；

4.訪問iCloud 鑰匙串的密碼（需要已註冊設備的密碼或系統密碼）；

與政府請求方式相比，Elcomsoft Phone Breaker具有以下優勢：

1.減少法律的繁瑣過程；

2.很快獲得數據；

3.使用內置解密簡化分析過程；

4.訪問消息（需要已註冊設備的密碼或系統密碼）；

5.訪問iCloud鑰匙串的密碼（需要已註冊設備的密碼或系統密碼）；

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！