استخراج iOS بدون كسر حماية: دعم كامل لنظام iOS 9 ، واستخراج مبسط لنظام الملفات

لقد قمنا بتحديث iOS Forensic Toolkit لإدخال تحسينين ملحوظين. الأول هو خيار الاستحواذ الجديد لعمليات الاستخراج الخالية من كسر الحماية. يساعد وضع الاستخراج الجديد الخبراء على توفير الوقت ومساحة القرص من خلال سحب محتوى قسم المستخدم فقط مع ترك قسم النظام الثابت خلفه. يوسع التحديث الثاني الاستخراج الخالي من كسر الحماية على طول الطريق إلى iOS 9 ، ويدعم الآن جميع أجهزة 64 بت التي تعمل بجميع إصدارات iOS 9.

استخراج بيانات المستخدم

بالإضافة إلى الاستخراج الكامل لنظام الملفات ، والذي يمنحك نسخة من جميع الملفات والمجلدات الموجودة في قسم المستخدم وأيضًا محتوى قسم نظام التشغيل ، نقدم الآن خيار استخراج مبسط. في وضع الاستخراج المبسط هذا ، مجموعة أدوات الطب الشرعي لنظام iOS سيقوم فقط بنسخ أجزاء من نظام الملفات التي تنتمي إلى بيانات المستخدم ، مع تخطي قسم نظام التشغيل بالكامل.

لماذا ا تخطى قسم النظام أثناء الاستخراج؟ يعتبر محتوى قسم النظام أقل صلة بالتحقيق مقارنة ببيانات المستخدم. تتكون البيانات الموجودة في قسم النظام من ملفات قابلة للتنفيذ للقراءة فقط ومكتبات النظام وأشياء أخرى مطلوبة لتشغيل نظام التشغيل. سجلات النظام؟ هذه أجزاء من بيانات المستخدم ، وسيتم استخراجها مع باقي البيانات عند استخدام الخيار المبسط الجديد.

لماذا سوف تريد قسم النظام؟ إذا تم كسر حماية جهاز iOS ، فيمكن تعديل محتوى قسم النظام ، ويمكنك رؤية آثار كسر الحماية ، حتى لو تمت إزالة كسر الحماية لاحقًا. بخلاف ذلك ، لا فائدة من استخراج قسم النظام لأن البيانات لا تختلف عبر الأجهزة من نفس الطراز التي تعمل بالإصدار نفسه من iOS.

فوائد الاستخراج المبسط؟ بالنسبة إلى أجهزة iPhone صغيرة السعة ، يمكن للخيار الجديد تسريع عملية الاستخراج مرتين إلى ثلاث مرات مقارنة باستخراج الجهاز بالكامل. توفر الأجهزة ذات السعة العالية توفيرًا أقل نسبيًا للوقت ، ومع ذلك لا يزال تحليل المجموعة المستهدفة للمستخدم أسهل.

لاستخراج بيانات المستخدم فقط باستخدام طريقة الاستخراج المعتمدة على الوكيل:

1. اضغط 1 لتحميل الوكيل على الجهاز
2. اضغط 2 لاستخراج وفك تشفير سلسلة المفاتيح إذا لزم الأمر (موصى به للغاية!)
3. اضغط 4 لاستخراج صورة نظام الملفات (بيانات المستخدم فقط)
4. اضغط 5 لإزالة عامل الاستخراج من الجهاز

استخراج iOS 9 بدون كسر حماية

تم إصدار iOS 9 في الأصل في سبتمبر 2015 مع iPhone 6s و 6s Plus ، وتم نقله إلى عدد هائل من الأجهزة القديمة. تتراوح طرز iPhone 64 بت القادرة على تشغيل iOS 9 من iPhone 5s إلى iPhone 6s و 6s Plus ، بالإضافة إلى iPhone SE (الطراز الأصلي مقاس 4 بوصات). على الرغم من أنه من غير المحتمل أن يصادف المرء جهاز iOS 9 في البرية ، إلا أن مختبرات الطب الشرعي لا يزال لديها عدد كبير من الأجهزة التي تعمل ، على وجه التحديد ، iOS 9.3.4 و 9.3.5 ، الإصداران من iOS 9 اللذان يفتقران إلى كسر حماية. في تحديث iOS Forensic Toolkit هذا ، قدمنا دعمًا للاستخراج الخالي من كسر الحماية لمجموعة كاملة من أجهزة 64 بت القادرة على تشغيل جميع إصدارات iOS 9 بما في ذلك iOS 9.3.5. دعونا نرى ما يتطلبه الأمر لاستخراج جهاز iPhone قديم بدون كسر حماية.

لماذا دعم iOS 9 في 2020؟

كان نظام التشغيل iOS 9 متاحًا على ثلاثة أجيال من SoC المستخدمة في أجهزة 64 بت بدءًا من iPhone 5s وصولاً إلى iPhone 6s و 6s Plus والطراز الأول من iPhone SE. بينما يقوم العديد من المستخدمين بتحديث نظام التشغيل الخاص بهم بانتظام ، لا يقوم العديد منهم بذلك ، ويحتفظ بعض المستخدمين بأجهزة iPhone الخاصة بهم على أي إصدار iOS تم تثبيته في المصنع. هذا يعني أن جزءًا لا يستهان به من أجهزة iPhone 6s و iPhone SE التي تمت معالجتها في مختبرات الطب الشرعي لا تزال تعمل بالإصدار الأصلي من iOS 9 (أو 9.3 في حالة iPhone SE).

كسر حماية iOS 9

نظرًا لأن نظام التشغيل iOS 9 قديم بالفعل ، فهناك الكثير من عمليات كسر الحماية للمجموعة بأكملها تقريبًا. ومع ذلك ، نظرًا لأنه قديم تمامًا ، هناك العديد من المحاذير مع العديد من عمليات كسر الحماية هذه. مع jailbreaks iOS 9 ، هناك مشاكل في حماية Kernel Patch (KPP) . طبيعة عمليات كسر الحماية العامة في الوقت المطلوب KPP Bypass ، وهي تقنية تم استخدامها من قبل كل من Pangu9 jailbreaks و Yalu + mach_portal و Yalu + extra_recipe و Yalu102 و Saïgon jailbreaks التي تستهدف العديد من إصدارات iOS. كانت هذه التقنية أحد الأسباب التي تجعل تثبيت jailbreaks iOS 9 أقل ثباتًا وصعوبة وأحيانًا يكون من الصعب تثبيته.

يبدو سيئا بما فيه الكفاية؟ لم تحاول تثبيت OpenSSH على أي من عمليات كسر الحماية هذه دون المساس بالجهاز عن طريق فتح اتصال بالإنترنت. إضافة الملح إلى الإصابة ، لم يتم إطلاق جيلبريك عام على الإطلاق للإصدارين الأخيرين من iOS 9: 9.3.4 و 9.3.5.

يؤدي استخدام وكيل الاستحواذ إلى إزالة التخمين والمخاطر المرتبطة بكسر الحماية ، مما يجعل عملية الاستحواذ بسيطة ومباشرة.

الأجهزة المتوافقة مع iOS 9

تم دعم iOS 9 على أجهزة iPhone التالية:

• iPhone 5S (iOS 9.0-9.3.5)
• iPhone 6 و 6 Plus (iOS 9.0-9.3.5)
• iPhone 6s و 6s Plus (iOS 9.0-9.3.5)
• iPhone SE (الجيل الأول) (iOS 9.3-9.3.5 ؛ يستخدم iPhone SE نفس SoC مثل iPhone 6s ، ولكن تم إصداره في وقت لاحق مع iOS 9.3 على متن الطائرة)

تستخدم طرز iPad التالية SoC متوافقة وقادرة على تشغيل iOS 9:

• iPad Air (iOS 9.0-9.3.5)
• iPad Air 2 (iOS 9.0-9.3.5)
• iPad Mini 2 (iOS 9.0-9.3.5)
• iPad Mini 3 (iOS 9.0-9.3.5)
• iPad Mini 4 (iOS 9.0-9.3.5)
• iPad Pro 9.7 (الجيل الأول) (iOS 9.3-9.3.5)
• iPad Pro 12.9 (1st Gen) (iOS 9.1-9.3.5)

كما ذكرنا سابقًا ، كانت عمليات كسر الحماية العامة متاحة فقط لنظام التشغيل iOS 9.0 حتى 9.3.3. لا تتوفر أي عمليات كسر حماية عامة لنظام iOS 9.3.4 و 9.3.5. يدعم وكيل الاستحواذ Elcomsoft جميع إصدارات iOS 9 بما في ذلك الإصدارين الأخيرين من خلال تثبيت ثغرة تم اكتشافها في وقت لاحق.

والجدير بالذكر أن نظام iOS 9 كان متاحًا أيضًا لأجهزة iPhone 4s (وهو آخر إصدار رئيسي لنظام iOS لهذا الهاتف) وطرازات iPhone 5 / 5c (يمكن أن تعمل هذه الأجهزة أيضًا بنظام iOS 10). ومع ذلك ، بدلاً من الاستخراج المستند إلى الوكيل ، فإننا نخطط لحل أفضل بكثير لـ 5 و 5 ج ، بما في ذلك خيار استرداد رمز المرور.

ماذا عن iOS 9.3.6؟ تم إصدار هذا الإصدار المحدد من iOS في أواخر يوليو 2019. متوفر فقط على عدد قليل من الأجهزة 32 بت مثل iPhone 4S والنماذج الخلوية من iPad Mini (الجيل الأول) ، و iPad 2 (طراز CDMA) ، والنماذج الخلوية من iPad 3 ، وكان الغرض من هذا الإصدار هو معالجة مشكلة في أداء موقع GPS تسبب في عدم صحة تاريخ النظام ووقته. نظرًا لأن هذا الإصدار خاص بالأجهزة القديمة 32 بت ، فهو غير مدعوم على أحدث أجهزة 64 بت ، وعلى هذا النحو ، فهو غير مدعوم في iOS Forensic Toolkit.

المتطلبات الأساسية

لا توجد متطلبات محددة لـ iOS 9 لإجراء استخراج نظام الملفات أو فك تشفير سلسلة المفاتيح. ستحتاج إلى iOS Forensic Toolkit 6.30 أو أحدث ، ويجب أن تكون قادرًا على إلغاء قفل iPhone الذي تستخرجه (يجب أن يكون رمز مرور قفل الشاشة معروفًا أو فارغًا). لاحظ أننا لا نوصي بإزالة رمز مرور قفل الشاشة حيث قد تفقد بعض المعلومات إذا قمت بذلك.

على غرار الحالات الأخرى ، يتطلب الاستخراج المستند إلى الوكيل استخدام حساب Apple Developer. كتبنا مقال شامل عن ذلك: لماذا يحتاج اختصاصيو الطب الشرعي المحمول إلى حساب مطور لدى Apple .

قيود استخراج نظام الملفات والعمل المستقبلي

لقد غيرت التحديثات الأخيرة جدول التوافق.

إذا نظرت بعناية ، فقد تلاحظ أن بعض الأنظمة تفتقر إلى القدرة على استخراج سلسلة المفاتيح عند استخدام الاستخراج الخالي من كسر الحماية. وتشمل هذه:

• iOS 12.3-12.4.8 (iPhone 5s و iPhone 6 و 6 Plus)
• iOS 13.3.1-13.4.1 (جميع طرازات الأجهزة القادرة على تشغيل إصدارات iOS هذه)

بالنسبة لهذه المجموعات ، استخدمنا استغلالًا قويًا للغاية يغطي معظم إصدارات iOS حتى 13.4.1. ومع ذلك ، لا يوفر هذا الاستغلال الإمكانات الكاملة لحساب الجذر ، مما يجعل الوصول إلى سلسلة المفاتيح غير ممكن. بالإضافة إلى سلسلة المفاتيح ، فإن هذا الاستغلال لا يمكّن من الوصول إلى مجلدات معينة ، وأبرزها إغفال ملف / خاص / var / root مجلد يحتوي على بيانات الموقع. نحن نعمل على دمج أحدث المآثر لفك تشفير سلسلة المفاتيح والوصول إلى المجلدات المقفلة مسبقًا في جميع إصدارات iOS بما في ذلك iOS 13.3.1-13.5.

بواسطة Oleg Afonin at 2020-08-06 09:55:45 المصدر مدونة ElcomSoft: