Apple iCloud帳戶的破解與保護攻防戰

新聞 08-27

無論你是執行桌面還是雲取證，雲端數據都將成為越來越重要證據來源，並且有時是唯一證據來源。即使你不從事取證工作，雲訪問也可以幫助你訪問已刪除或以其他方式無法訪問的數據。

與智能手機或受密碼保護的桌面類似，雲訪問許可權應該只對合法的帳戶所有者有效。這意味著取證人員需要雲端數據的登錄名和密碼，有時可能還需要雙重因素驗證。在實際取證環境中，取證專家並不總是能得到這些登錄憑據。事實上，就算他們能獲取所有正確的登錄憑據，訪問存儲在雲中的所有內容也不是一件容易的事情。

Apple iCloud是目前市場上技術最先進的雲解決方案之一，提供大量線上存儲服務。其中包括全面的設備備份以及整個Apple生態系統的同步服務，比如Apple TV和Apple Watch設備、文件存儲、密碼管理、家庭物聯網設備、健康數據等。

現在，讓我們回顧一下使用或不使用密碼訪問Apple iCloud數據的所有可能性。

Apple可以通過法律要求向政府提供iCloud數據，由於Apple保留了所有數據，因此可以訪問某些部分的數據。雖然所有數據都是加密的，但Apple還是擁有大多數雲數據的加密密鑰。目前只有最重要的信息（例如用戶的密碼、健康狀況或消息）是在P2P模式下加密的，因此Apple無法訪問這些內容。不過另一方面，P2P並不能完全保證Apple伺服器上數據的絕對安全。蘋果只需要用戶的蘋果ID、設備序列號或電話號碼就可以訪問數據。但問題是：

1.遵守規則並不容易，即使你為LEA工作；

2.由於信息量大，處理政府信息的速度很慢；

3.仍然沒有返回所有數據（不包括p2p加密記錄）；

4.返回的數據很難解析和分析（需要特殊的軟體和適當的技能）

所以，我們還是要了解一下其他訪問iCloud的方法。

在沒有雙因素身份驗證的情況獲取取證憑據

之所以大家現在都必須採用雙因素身份驗證，是因為許多簡單或常見的密碼都可以輕易猜到，比如有些攻擊者可以使用「暴力破解」的方式來猜出密碼，還有就是網路釣魚攻擊變得越來越聰明，更絕的是，鍵盤嗅探器（不管是軟體和硬體）可以竊取你輸入的所有內容，實在不行，利用密碼重用也是黑客的不二法門，是甚至可以經常恢複復雜密碼的常見原因。

那密碼重用是如何成為威脅的?

密碼重用成為一種安全威脅是因為如果惡意行為者獲取了一些可以識別用戶身份的信息，他就可以對一個重複使用的密碼加以利用。這通常發生在以下情形之一：

在第一種最常見的情況下，惡意行為者搜索用戶的其它賬號，並試圖用同樣的密碼去登陸。有時，他們尋找一些個人賬號，比如Facebook，Twitter，或者銀行的網站。如果他們成功找到這些賬號，而用戶又使用了重複的密碼，他們就能夠以用戶的身份登陸。有時，惡意者還會嘗試識別用戶的工作賬號，並進行遠程登陸，例如通過遠程訪問電子郵件或考勤卡的賬號。

第二種涉及到惡意網站的情況比較少見，但仍然構成了威脅。在這種情況下，網路上的惡意者建立一個網站，並使其極其類似合法網站，要求用戶輸入電子郵件地址，密碼或其它的信息來訪問網站。一旦用戶這樣做了，惡意這就獲取了用戶的身份信息，進而可以搜索用戶的其它賬戶，並使用相同密碼登陸這些帳戶。

如果沒有雙因素身份驗證機制，黑客可以通過以下3種方法獲取密碼：

1.由於Windows密碼可以保存在瀏覽器中，因此無論是Chrome，Mozilla Firefox，Microsoft IE，Edge，還是不太流行的Opera。只需使用Elcomsoft Internet Password Breaker即可發現所有已保存的密碼，並查看用於apple.com或icloud.com的密碼。

2.由於macOS系統使用了鑰匙串，所以你可以使用內置鑰匙串實用程序找到它，或使用Elcomsoft Password Digger進行分析；

3.在設備鑰匙串中，使用Elcomsoft Phone Breaker訪問鑰匙串（使用加密的iTunes備份作為數據源，不過前提是備份密碼應該已知或恢復）。如果你持有要取證的設備並且它有一個可以越獄的iOS版本，則可以使用iOS Forensic Toolkit獲取密碼。如果備份設置了密碼，但密碼未知且無法重置，則必須使用Elcomsoft Phone Breaker訪問鑰匙串。

在存在雙因素身份驗證的情況獲取取證憑據

蘋果很久以前就開始使用雙因素身份驗證作為額外的安全措施，不過最初2SV是不負責保護iCloud備份的。不過Celebgate事件發生後，Apple被迫為備份引入了2SV保護。直到最近，Apple實施了全功能和安全的雙因素身份驗證（2FA），並強制將2SV升級到2FA。

註：Celebgate事件指的是美國一名高中教師Brannan因參與社交媒體和雲儲存黑客活動，該活動被稱為「Celebgate」。

雖然蘋果公司沒有提供使用雙因素身份驗證的帳戶數量的統計信息，但他們正儘力推廣此安全措施。如果你今天設置了一個新的Apple ID並單擊配置嚮導，則會自動啟用雙因素身份驗證機制。而且你不能輕易將其關閉，因為一些與iCloud相關的功能現在都需要設置2FA。

不過根據民間機構的統計，目前只有約30％的iCloud用戶開啟了雙因素身份驗證。雖然有一些消息來源稱，雙因素身份驗證機制的使用率高達60％，但我個人認為這個數字是被高估了。

有關雙因素身份驗證的更多信息，請點擊此處查看。通常第二個驗證因素可能很難獲得，因為你需要受信任的設備本身，或者能夠接收帶有簡訊的設備，歸根結底你實際上需要一張對方的SIM卡。

如果（並且僅當）2FA被啟用，並且手機受密碼保護（不過你知道密碼），則手機將成為取證的關鍵。只使用手機和密碼，你就可以更改iCloud密碼（無需原始密碼），甚至可以添加或替換可信的電話號碼，更多信息請點擊這裡。

最後，你可以在沒有密碼的情況下訪問iCloud。有研究人員早在五年前就發現了這種方法，具體的請參考《無需密碼即可訪問iCloud》。

什麼是身份驗證令牌以及如何獲取它們？

身份驗證令牌是類似於登錄Web網站時Web瀏覽器保存的cookie，這意味著，令牌是標準憑據（登錄，密碼和第二個驗證因素）的備用方案從技術上講，令牌是伺服器在成功驗證之後生成的二進位數據的一小部分。它可用於通過該伺服器而不是密碼進行身份驗證，不過無法從令牌返回登錄名或密碼，此外，令牌可能會在一段時間後過期，這個時間可能是幾秒也可能是幾個月。

讓我們從持有的現有設備本身開始，由於令牌保存在iO

S鑰匙串中，所以可以很容易地找到com.apple.account.AppleAccount.token記錄。

這是第一個問題，另外對於需要雙因素身份驗證的帳戶，Apple會將令牌添加到該特定設備。如果你提取令牌並嘗試在其他設備（另一台iPhone，Windows或Mac計算機）上使用它，系統將提示你輸入密碼。但是，對於沒有使用雙因素身份驗證的帳戶，令牌可以用作登錄名和密碼的有限替代方案。不過，有些數據只能通過真實的登錄名和密碼從iCloud下載。

在Windows上，令牌隱藏在系統深處，並進行加密。不過有研究人員開發了一個工具來提取和解密它，這個工具使用起來非常簡單，只要運行它，令牌就會保存到一個文本(XML)文件中，可以與Elcomsoft Phone Breaker一起使用。

不幸的是，Windows目前保存的令牌數量有限且固定在特定設備上，就像iOS一樣。不過，你仍然可以在那台電腦上運行Elcomsoft Phone Breaker來使用這個令牌。

而macOS的情況則不同，大約一年前，蘋果實施了一種更強大的保護策略，就是把開啟雙因素身份驗證帳戶的動態令牌標記為固定令牌。不過對於取證人員來說，他們最近還是找到了一種方法來提取和解密不受限制的令牌。為了以防萬一，研究人員提取了兩個令牌，受限令牌和不受限令牌。

如此一來，獲取令牌就像運行命令行程序一樣簡單。我們可以將兩個令牌保存到同一個XML文件中。請注意，受限令牌只能在此計算機上使用，而不受限制的令牌可以轉移到另一台計算機使用，這種方法同時適用於Windows和Mac環境。

你可以使用鑰匙串提取工具從iOS上的相同記錄中獲取macOS鑰匙串中的令牌：com.apple.account.AppleAccount.token。

你不僅可以從實時系統中提取令牌，而且還可以從磁碟映像中提取令牌，詳細信息，請參閱Elcomsoft Phone Breaker使用手冊。

最後，在Elcomsoft Phone Breaker中使用令牌。具體用法就是在身份驗證頁面上，將選項卡從「密碼」切換為「令牌」，然後在文本框中輸入令牌（長字元串）即可。

使用身份驗證令牌取證時有哪些限制？

與使用密碼獲取的數據相比，你可以使用令牌可以獲得相同的數據集嗎？在沒有使用雙因素身份驗證的帳戶中，這兩種方法獲取的數據是差不多的。但對於使用雙因素身份驗證的帳戶，與使用密碼獲取的數據相比，使用身份驗證令牌獲取的數據就會少很多。

長期以來，蘋果是不允許使用令牌下載iCloud備份的。即使在沒有使用雙因素身份驗證的帳戶中，令牌也可以在非常有限的時間內工作，不過只有大概一個小時。不過不久前，已經有人可以使用令牌下載iCloud中的所有數據，包括設備備份，而且沒有任何時間限制。不過目前該方法還在試驗中，這意味著，你只能沒有使用雙因素身份驗證的帳戶中，使用令牌訪問Apple帳戶中的備份，而且只能在創建令牌之後的一個小時內使用。

無論帳戶是否受雙因素身份驗證的保護，令牌都可用於獲取以下數據：

1.iCloud照片；

2.來自iCloud Drive的所有文件，包括許多第三方應用程序容器（1Password，WhatsApp，Viber等）；

3.FileVailt2加密驅動器的恢復令牌；

4.許多其他同步數據，包括聯繫人、日曆、筆記、錢包卡等；

5.Safari的瀏覽歷史記錄；

6.通話記錄；

7.在雲端存儲的郵件；

不夠有些數據則不能獲取，其中就包括iCloud 鑰匙串、消息、健康數據、homekit（蘋果2014年發布的智能家居平台）相關數據、屏幕時間統計數據等。如上所述，所有這些數據都是加密的，只有受信任的設備才能訪問。當然使用Elcomsoft Phone Breaker也是可以獲取的。不過前提是，你必須提供登錄名和密碼，且通過雙重身份的驗證，最後提供其中一個可信設備的屏幕鎖定密碼。

使用Find My Phone可以獲取Apple iCloud帳戶的信息嗎？

iPhone的防盜功能一直用戶所關注的，而蘋果公司在這方面也做的很好。強大的「Find My iPhone」功能能夠確保當用戶在iPhone上啟用了密碼或者指紋保護時，即使手機丟失或者被竊之後用戶也能輕鬆找回，而現在這一功能變得更好用了。根據蘋果公司近期獲得的技術專利，哪怕iPhone處於關機狀態用戶也能激活「Find My iPhone」功能，以便於用戶更容易定位被竊手機的位置。

首先，Find My iPhone功能允許機主通過iCloud帳號來定位手機，不過當手機處於關機狀態且SIM卡移除的情況下是無法執行追蹤的。不過在蘋果申請了高級版Find My iPhone功能後，不管手機當前處於什麼狀態用戶都能進行定位。根據描述，iPhone內部將會啟動專用的計時器，每隔一段時間自動打開Find My iPhone功能，向機主發送當前的位置信息。這項功能使用了無電力狀態，對iPhone的續航不會產生太大的影響，所以哪怕在沒電關機的情況下依然能夠使用Find My iPhone功能。

不過Find My iPhone功能不僅允許你查找丟失的設備或鎖定或刪除其數據，還具有出廠重置保護（也稱為iCloud 鎖），可防止使用其他Apple ID激活後續設備。

關閉「Find My iPhone」功能需要用戶輸入其Apple ID密碼，第二個因素不是必需的，你只需要密碼。icloud.com上的Find My iPhone也是一樣，這個功能只需要密碼，但不需要第二個驗證因素，但不能接收推送通知和簡訊。

那麼是否可以使用令牌解鎖iCloud中的所有數據？答案是不可以，因為你必須得使用密碼。

還有其他方法可以禁用iCloud鎖，所有這些方法都列在Apple網站上。你可以與Apple合作以重新獲得對Apple帳戶的控制權，也可以訪問Apple Store並提供該設備的購買憑證。

如何保護你的iCloud帳戶？

以下建議可幫助你保護iCloud帳戶：

1.使用強密碼；

2.確保此密碼不是重用密碼；

3.確保你選擇的密碼不在已經泄露密碼的列表中，否則你可能會成為反向暴力攻擊的受害者；

4.使用雙因素身份驗證；

5.確保在Apple帳戶中保持你可信賴的電話號碼是最新的，以接收第二個驗證代碼；

6.將你的Apple帳戶密碼保存在安全的地方，無論是你的儲物櫃中的一張紙還是密碼管理器資料庫中的記錄；