原文:[Forensic Implications of iOS Jailbreaking](https://blog.elcomsoft.com/2019/06/forensic-implications-of-ios-jailbreaking/)
June 12th, 2019 by Oleg Afonin
翻译:李毅 (liyi05@qianxin.com)
取证社区使用越狱来访问iOS设备的文件系统、执行物理提取和解密设备。设备越狱是获取很多其他提取方法无法获得的很多证据的最直接的底层访问的之一的方式。
从消极方面来说,越狱是一个带有风险和其他影响的过程。各种因素,例如越狱工具、安装方法以及理解和遵循程序的能力将影响安装越狱的风险和后果。在本文中,我们将讨论使用各种越狱工具和安装方法的风险和后果。
1 为什么越狱
为什么越狱?你应该越狱吗?说到移动取证,与其他获取方法相比,越狱设备有助于提取一些额外的信息。在讨论不同采集方法之间的差异之前,让我们快速了解一下iOS设备可用的提取方法。
逻辑获取
逻辑获取是一种最简单、最简洁、最直接的获取方法。在逻辑获取期间,专家可以让iPhone(iPad、iPad Touch)备份内容。除了备份(无论用户是否使用密码保护备份),逻辑获取还可以让专家提取媒体文件(图片和视频)、崩溃日志和共享文件。正确执行逻辑获取会生成一整套数据,包括用户钥匙串的内容(使用密码保护的备份)。
要求:iOS设备必须运行中,不能处于USB Restricted模式;您必须能够将其连接到计算机并执行配对过程(iOS 11和12在这一步中将需要密码)。或者,可以使用从用户的计算机提取的现有配对记录。
在逻辑获取过程中提取的备份可能会加密。如果是这种情况,专家可能会重置备份密码,这是一个自行承担后果的操作(访问iOS越狱和物理获取分步指南查看更多信息,查看章节“如果必须重置备份密码”)。设备越狱是重置备份密码的可行替代方案。越狱后,您将能够提取备份中可用的所有相同信息,等等。此外,您还可以以纯文本格式查看用户的备份密码(请参阅同一文章中的“从钥匙串中提取备份密码”)。
Over-the-air(iCloud)提取
如果您知道用户的Apple ID和密码并且可以访问其第二个身份验证因素(如果在用户的Apple帐户上启用了双因素身份验证),则可以远程提取设备数据。通过利用二进制认证令牌,可以在没有密码的情况下访问一些信息。然而,这种情况非常有限。
要求:您必须知道用户的Apple ID登录名和密码,并且可以访问第二个身份验证因素(如果在用户帐户上启用了2FA)。如果您需要访问受保护的数据类别(iCloud Keychain,iCloud Messages,Health等),您必须知道其中一个已注册的设备的密码或系统密码。要访问同步数据,您可以使用现有的身份验证令牌而不是login/password/2FA序列。
在iCloud提取过程中,您可以访问以下部分或全部内容:iCloud备份,同步数据和媒体文件。如果您知道用户设备的密码,则可以访问其iCloud Keychain,Health和Messages数据。
Apple不断改进iCloud保护,使得除了恢复实际的iOS设备以外的其他方式访问某些类型的数据变得困难甚至无法访问。这种猫捉老鼠的游戏中,取证软件制造商试图攻克这些保护措施,而苹果试图阻止第三方工具访问iCloud数据。
请注意,某些iCloud数据(备份,媒体文件和同步数据)可以通过法院命令从Apple获得。但是,即使您有权提交请求,Apple也不会提供任何加密数据,例如用户密码(iCloud Keychain)、Health和Messages。
物理获取
物理获取是最深入的提取方法。今天,iOS设备的物理获取仅限于文件系统提取,而不是镜像和解密整个分区。使用此方法,专家可以对文件系统进行镜像,访问沙盒化的应用程序数据,解密所有Keychain记录,包括具有this_device_only属性的记录,提取系统日志等。
与其他采集方法相比,物理提取还可以访问以下所有内容:
文件系统提取:
具有未提交事务和WAL文件的App数据库
不备份其内容的沙盒化应用程序的数据
访问安全聊天和受保护的消息(例如,Signal,Telegram和许多其他类似软件)
下载的电子邮件
系统日志
Keychain:
使用this_device_only属性保护的项目
这包括iTunes备份的密码
物理提取是最危险和最苛刻的方法。要求列表包括设备本身处于解锁状态; 将设备与计算机配对的能力; 以及具有已知漏洞的iOS版本,以便可以安装越狱。
2 越狱的风险
越狱iOS设备的风险很大程度上取决于越狱工具和安装程序。然而,今天越狱的主要风险不在于设备“变砖”。在早期版本的iOS(包括iOS 9)中开发的越狱中存在使设备无法启动的真正风险。这些旧的越狱正在修补内核并试图通过修补操作系统的其他部分来绕过系统的内核补丁保护(KPP)。这从来都不是完全可靠的; 在最糟糕的情况下,设备根本无法启动。
现代越狱(针对iOS 10及更新版本)不修改内核,也不需要处理内核补丁保护。结果,越狱设备将始终以非越狱状态启动; 你必须在每次启动时重新申请越狱。
现代越狱的两个风险是:
将设备暴露在Internet上。通过允许设备在安装越狱时联机,您允许设备同步数据,下载到设备被扣押时不存在的信息。更糟糕的是,您将使设备容易受到任何可能正在等待的远程锁定或远程擦除命令的影响。为了物理提取而安装越狱的过程与用于研究或其他目的的越狱有很大不同。特别是,取证专家正在努力使设备保持离线状态,以防止数据泄漏、不必要的同步以及可能的远程锁定或擦除设备的远程设备管理问题。虽然不存在“一般”越狱的越狱指南和手册,但为了物理获取而安装越狱具有多种取证意义和一些重要的预防措施。策略:您可以通过遵循iOS越狱指南中的正确的越狱安装过程来减轻这种风险。
越狱无法安装。越狱利用操作系统中的漏洞链来获取超级用户权限,逃离沙箱并允许执行未签名的应用程序。由于多个漏洞被连续利用,越狱过程可能随时失败。缓解:由于不同的越狱使用不同的代码甚至可能针对不同的漏洞,不同的越狱工具具有不同的成功率。如果您选择的原始工具失败,请尝试使用其他越狱工具。
越狱的后果
不同的越狱带来不同的后果。Meridian、盘古、太极、Chimera或Unc0ver等经典越狱需要执行一系列的事情才能符合越狱的预期。由于越狱的预期目的是允许从第三方库安装未签名的应用程序,越狱需要禁用代码签名检查并安装第三方软件包管理器,如Cydia或Sileo。这样的事情需要对操作系统的核心进行侵入式修改,不可避免地重新安装和修改系统分区并将文件写入数据分区。
最近出现了新一代的越狱。无根越狱(例如RootlessJB)在设计上不会修改系统分区。与任何经典越狱相比,无根越狱要小得多。另一方面,无根越狱不会轻易允许执行未签名的代码或安装第三方软件包管理器。但是,它们确实包含一个可用的SSH守护程序,从而可以执行文件系统提取。
由于无根越狱不会改变系统分区的内容,因此可以轻松地从设备中删除此类越狱,将系统返回到越狱前的状态并在之后接收OTA更新。一般来说,使用经典越狱时,这项任务将非常困难(有时甚至是不可能的)。
我们在博客中有一篇文章,其中提供了有关无根越狱及其与经典越狱的区别的更多信息:iOS 12Rootless Jailbreak。
Cellebrite和GrayShift等公司不依赖公共越狱来进行提取。相反,他们使用一组未公开的漏洞来直接访问iOS设备的文件系统。直接使用漏洞具有许多好处,因为设备的文件系统通常在提取期间不受影响。使用漏洞进行文件系统提取后,设备上剩下的唯一痕迹将是各种系统日志中的条目。
因此,让我们比较使用经典或无根越狱来提取文件系统的后果。
经典越狱 | 无根越狱 | 直接提权 | |
文件系统重载 | 是 | 否 | 否 |
修改系统分区 | 是 | 否 | 否 |
修改启动镜像(Kernel) | 否(iOS 10以后) | 否 | 否 |
系统日志里记录项 | 是 | 是 | 是 |
设备可以安装OTA更新 | 否 | 是 | 是 |
可以访问"/" | 是 | w/受限 | 是 |
可以访问"/Var" | 是 | 是 | 是 |
解密Keychain | 是 | 是 | 是 |
结果可重复 | 否 | 是 | 是 |
文件系统重载
一般来说,我们希望在越狱设备时避免重新加载文件系统。虽然重新加载文件系统会打开文件系统根目录的读/写访问权限,但由于使用读/写访问可能对系统分区进行不兼容的修改,因此可能会导致设备变砖。无需重新加载文件系统,我们就可以提取用户数据并解密Keychain。
修改系统分区
这也是我们在进行取证提取时要避免的事情。对系统分区进行的任何修改都可能使设备“变砖”或降低其稳定性。修改后的系统分区可能会破坏OTA更新(仍可通过iTunes进行完全更新或恢复)。经典越狱将文件写入系统分区,以确保可以安装和启动未签名的应用程序。无需修改系统分区,我们仍然可以访问数据分区的完整内容并解密Keychian。
修改启动镜像
早期越狱(包括针对所有最高到iOS 9版本的越狱)用来修补内核以实现不受限制的越狱。虽然“不受限制”意味着设备在重新启动之后无限期地越狱,但修改内核具有一些严重的缺点,包括稳定性受损以及越狱设备的一般不可靠性。由于Apple引入了先进的内核补丁保护(KPP)机制,因此修补内核变得不那么有吸引力了。针对iOS 10和所有较新版本的iOS的公开越狱都不再修补内核。
系统日志项
越狱的安装和操作在整个系统的各种日志文件中以条目的形式留下多条痕迹。这几乎是不可避免的,应该加以考虑。
OTA兼容性
根据越狱的类型,越狱设备在您完成提取后可能会或可能不会支持无线(OTA)更新。一些经典的越狱会对设备进行修改,即使在越狱被删除后也无法安装OTA更新。一些越狱使得创建系统还原点成为可能(使用APFS机制),因此至少在理论上应该可以将设备回滚到越狱前的状态。根据我们的经验,这不够可靠。另一方面,无根越狱根本不改变系统分区,使OTA更新变得容易。
访问文件系统的根“/”
经典越狱提供对文件系统根目录的读/写访问,从而可以转储系统分区以及数据分区的内容。无根越狱只提供对数据分区(“/ var”)内容的访问,这足以用于取证提取。
访问数据分区“/var”
所有类型的越狱都可以访问存储在数据分区中的用户数据。提供完整的文件系统,包括已安装的应用程序及其沙盒数据,数据库,系统日志文件等。
访问Keychain
可以使用任何一种越狱来解密Keychain(Safari中的密码和自动填充条目以及已安装的应用程序)。可以解密所有密钥链条目,包括受最高保护级别保护并标记为this_device_only的条目。
结果可重复
越狱本质上是不可靠的。他们使用未记录的漏洞获取超级用户权限和对文件系统的安全访问。越狱可能无法安装或者需要多次尝试。由于越狱会修改设备的内容,我们可能不会认为结果是完全可重复的。然而,与经典越狱相比,无根越狱具有更干净的痕迹。
3 结论
毫无疑问,越狱确实有相当大的取证意义。通过谨慎选择和使用越狱,可以显著减少负面后果的数量和严重程度。然而,即使在最坏的情况下,物理提取的好处也可能远远大于越狱的缺点。
声明:本文来自取证者联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
