استخراج وفك تشفير iOS Keychain: استكشاف الخيارات المادية والمنطقية والسحابية

[*]

 

سلسلة المفاتيح هي إحدى السمات المميزة لنظام Apple البيئي. تحتوي سلسلة المفاتيح على عدد كبير من المعلومات الحساسة ، وهي واحدة من أفضل الأجزاء المحمية في الحديقة المسورة. في الوقت نفسه ، فإن سلسلة المفاتيح غير مستكشفة نسبيًا من قبل مجتمع الطب الشرعي. من المعروف أن سلسلة المفاتيح تحتوي على معلومات تسجيل دخول المستخدمين وكلمات المرور ، وربما بعض معلومات بطاقة الدفع. تفتقد المعرفة العامة إلى النقطة المهمة: تحتوي سلسلة المفاتيح حرفياً على آلاف السجلات التي تنتمي إلى تطبيقات مختلفة والنظام المطلوب للوصول إلى الكثير من المعلومات الحساسة الأخرى. دعنا نتحدث عن سلسلة المفاتيح ومحتواها وحمايتها والطرق المستخدمة لاستخراج وفك تشفير وتحليل مختلف البتات والقطع.

الجانبين من سلسلة المفاتيح

الجانب المرئي من سلسلة المفاتيح هو كلمات المرور. يطالب iOS المستخدمين بحفظ كلمات المرور التي يكتبها المستخدمون في Safari. تتوفر خدمة الملء التلقائي لكلمات المرور لكل من متصفح Safari والتطبيقات. يمكن للمستخدمين الوصول إلى كلمات المرور المخزنة عن طريق فتح تطبيق الإعدادات والانتقال إلى [Passwords & Accounts] | [Website & App Passwords] .

ومع ذلك ، هناك الكثير من keychain أكثر من كلمات المرور المخزنة. تستخدم التطبيقات سلسلة المفاتيح لتخزين الهويات ورموز المصادقة ومفاتيح التشفير والشهادات. هذه هي الطريقة التي تصور بها Apple خدمات سلسلة المفاتيح في وثائق المطور.

مصدر: خدمات سلسلة المفاتيح

ما هو غير مرئي للمستخدم (ولكن يمكن لمطوري iOS الوصول إليه) هو خدمات الشهادات والمفتاح والثقة. تُستخدم الشهادات والهويات لتحديد هوية المستخدمين بأمان بطريقة واضحة للعبث. تُستخدم مفاتيح التشفير لتشفير المعلومات وتوقيعها والتحقق منها. سنناقش بالتفصيل الكنوز المخفية لسلسلة المفاتيح في الفصل التالي.

يوفر نظام Apple البيئي طريقة سهلة لمزامنة سجلات سلسلة المفاتيح عبر الأجهزة. هذه الخدمة لها اسم iCloud Keychain.

بالإضافة إلى سلسلة مفاتيح الجهاز ، هناك أيضًا كيان يحمل اسمًا مشابهًا يعيش في السحابة. iCloud Keychain هي خدمة تعمل على مزامنة سجلات سلسلة المفاتيح التي تتميز بامتداد kSecAttrSynchronizable السمة عبر iCloud. إذا تم تنشيط iCloud Keychain ، فسيتلقى المستخدمون الذين يستعيدون أجهزتهم تلقائيًا جميع كلمات مرور Safari الخاصة بهم على أجهزتهم الجديدة. لاحظ أن العديد من الأشياء بخلاف كلمات المرور (مثل مفاتيح التشفير والشهادات وبطاقات الدفع) لن تتم مزامنتها مع iCloud حيث لم يتم تمييزها على أنها kSecAttrSynchronizable . ومع ذلك ، لا تزال سجلات سلسلة المفاتيح هذه جزءًا من النسخ الاحتياطية المحلية و iCloud ؛ يتم تغليفها بمعرف UID للجهاز ، ولا يمكن استعادتها إلا من نسخة احتياطية محلية أو نسخة iCloud الاحتياطية على نفس الجهاز الفعلي (نفس UID) الذي تم حفظها منه.

الكنز الدفين

يعرف معظم المستخدمين سلسلة المفاتيح كمدير كلمات مرور يحتفظ ببيانات اعتماد المصادقة وبيانات بطاقة الدفع وما شابه ذلك من أجزاء وقطع من المعلومات. ومع ذلك ، من ناحية النظام ، تخزن سلسلة المفاتيح أكثر بكثير مما تراه العين.

بالنسبة الى وثائق مطور Apple ، سلسلة المفاتيح “… آلية لتخزين أجزاء صغيرة من بيانات المستخدم في قاعدة بيانات مشفرة تسمى سلسلة المفاتيح. […] سلسلة المفاتيح لا تقتصر على كلمات المرور. يمكنك تخزين الأسرار الأخرى التي يهتم بها المستخدم صراحةً ، مثل معلومات بطاقة الائتمان أو حتى الملاحظات القصيرة. يمكنك أيضًا تخزين العناصر التي يحتاجها المستخدم ولكن قد لا يكون على علم بها . على سبيل المثال ، تتيح مفاتيح التشفير والشهادات التي تديرها باستخدام خدمات الشهادات والمفاتيح والوثوق للمستخدم المشاركة في اتصالات آمنة وتأسيس الثقة مع المستخدمين والأجهزة الأخرى. يمكنك استخدام سلسلة المفاتيح لتخزين هذه العناصر أيضًا “.

فقط أجزاء من تلك البيانات يمكن الوصول إليها من قبل المستخدم مباشرة من الجهاز ( [Settings] | [Passwords & Accounts] | [Websites & App Passwords] ). مواقع الويب وكلمات مرور التطبيقات تحتوي في الغالب على بيانات اعتماد المصادقة (عمليات تسجيل الدخول وكلمات المرور) التي يحفظها المستخدمون في Safari وبعض التطبيقات عبر بيانات اعتماد الويب المشتركة .

إلى حد كبير لا يمكن عرض أي شيء آخر أو الوصول إليه بطريقة أخرى عبر واجهة المستخدم الرسومية. قد تتضمن الأجزاء الإضافية من المعلومات المخزنة في سلسلة المفاتيح بواسطة النظام والتطبيقات:

• رموز المصادقة . تُستخدم هذه الرموز المميزة لمصادقة المستخدمين تلقائيًا على الخدمات عبر الإنترنت دون المطالبة بتسجيل الدخول وكلمة المرور. من خلال استخراج الرموز المميزة للمصادقة ، قد يتمكن الخبراء من الوصول إلى بعض حسابات المستخدمين دون الحاجة إلى تسجيل الدخول بكلمة مرور أثناء تخطي عمليات التحقق من المصادقة ثنائية العوامل ، حيثما أمكن ذلك. على سبيل المثال ، قد تتمكن من استخدام الرموز المميزة المستخرجة لتسجيل الدخول إلى Facebook وحساب Google والخدمات الأخرى عبر الإنترنت.
• الأسرار المشتركة . من الأمثلة الجيدة على هذه البيانات بذور التشفير المستخدمة بواسطة تطبيقات المصادقة المتوافقة مع TOTP (مثل Microsoft Authenticator أو Google Authenticator).
• الشهادات والهويات .
• مفاتيح التشفير . تُستخدم هذه لتشفير وفك تشفير المعلومات الحساسة ، على سبيل المثال قواعد بيانات كلمات المرور المستخدمة من قبل مديري كلمات المرور لجهات خارجية.

فئات حماية سلسلة المفاتيح

في نظرة عامة على حماية بيانات Keychain تحدد Apple فئات الحماية المتاحة لأنواع مختلفة من عناصر سلسلة المفاتيح عبر kSecAttrAccessible ينسب. تتحكم هذه السمة في توفر عنصر سلسلة المفاتيح بالنسبة إلى حالة قفل الجهاز. ملاحظة: يعتبر الجهاز الذي لا يحتوي على رمز مرور مفتوحًا دائمًا ، لذلك ستكون عناصر سلسلة المفاتيح المخزنة بالسمات الثلاث الأولى متاحة دائمًا بغض النظر عن حالة الجهاز.

الأهم من ذلك ، أن بعض عناصر سلسلة المفاتيح متوفرة ، وبعضها غير متوفر في النسخ الاحتياطية و iCloud Keychain. هناك عدة أمور تؤثر على الإتاحة وهي:

1. هذا الجهاز فقط إذا تم تحديده لعنصر سلسلة مفاتيح ، فإن هذا العنصر محمي بواسطة UID الخاص بالجهاز ، ولا يمكن استعادته على جهاز مادي مختلف. هذا الجهاز فقط لا تتم مزامنة العناصر مع iCloud.
2. رمز المرور. العناصر المحمية بـ عند تعيين رمز المرور هذا الجهاز فقط سيتم التدمير الذاتي إذا تمت إزالة رمز المرور. نظرًا لأنها لا تتم مزامنتها أيضًا مع iCloud Keychain ولا يمكن استخراجها حتى من النسخ الاحتياطية المشفرة ، فإن إزالة رمز المرور من الجهاز يتم عرضه بشكل فعال عندماPasscodeSetThisDeviceOnly العناصر التي يتعذر الوصول إليها.
3. سلسلة مفاتيح iCloud . إذا تم تمكين هذا الإعداد ، يتم تمييز عناصر سلسلة المفاتيح كـ kSecAttrSynchronizable سيتزامن مع iCloud. بغض النظر عن هذه الإعدادات ، يتم تضمين عناصر سلسلة المفاتيح في نسخ iCloud الاحتياطية (على الرغم من أنها ملفوفة في هذه الحالة بمفتاح الجهاز ، ولا يمكن استعادتها إلا على نفس الجهاز تمامًا).
4. كلمة مرور النسخ الاحتياطي على iTunes . إذا تم تعيين كلمة المرور قبل إنشاء نسخة احتياطية ، فإن عناصر سلسلة المفاتيح بدونها هذا الجهاز فقط سيتم تشفيرها بكلمة مرور النسخ الاحتياطي ، ويمكن استخراجها وفك تشفيرها باستخدام Elcomsoft Phone Breaker. هذا الجهاز فقط يتم أيضًا تضمين العناصر ولكن يتم تشفيرها أيضًا باستخدام UID الخاص بالجهاز ، مما يجعلها غير قابلة للتحويل وغير قابلة للفك على أي شيء باستثناء الجهاز الأصلي. تجعل النسخ الاحتياطية غير المشفرة جميع العناصر المشفرة باستخدام UID للجهاز ، مما يجعل سلسلة المفاتيح بأكملها غير قابلة للتحويل وغير قابلة للفك في أي مكان باستثناء الجهاز الأصلي.

تتوفر سمات إمكانية الوصول التالية:

متوفر دائمًا (قبل فتح القفل لأول مرة)

الوصول إليه دائمًا يجعل عناصر سلسلة المفاتيح متاحة دائمًا ، حتى إذا كان الجهاز مغلقًا أو في حالة ما قبل فتح القفل الأول (BFU). فقط العناصر المميزة بفئة الحماية هذه قابلة للاستخراج أثناء عملية استخراج BFU (المزيد عن ذلك لاحقًا). لا توصي Apple بفئة الحماية هذه لاستخدام التطبيق. يتم ترحيل العناصر التي تحمل هذه السمة إلى جهاز جديد عند استخدام النسخ الاحتياطية المشفرة.

بعد فتح القفل لأول مرة

تحدث حالة ما بعد الفتح الأول بمجرد قيام المستخدم بإلغاء قفل الجهاز لأول مرة بعد إعادة التشغيل. يتم استيفاء هذا الشرط أيضًا إذا لم يكن للجهاز رمز مرور. تظل حالة AFU صحيحة حتى يتم إعادة تشغيل الجهاز. ال kSecAttrAccessibleAfterFirstUnlock السمة التي تستخدمها التطبيقات التي تستخدم تحديث الخلفية. تتمثل الممارسة الجيدة في تطبيق هذا الفصل للوصول فقط إلى عناصر سلسلة المفاتيح تلك التي يجب الوصول إليها أثناء تحديثات الخلفية.

عند فتح

ال kSecAttrAccessibleWhenUnlocked تجعل السمة عناصر سلسلة المفاتيح قابلة للوصول فقط عندما يكون الجهاز غير مقفل أو لا يحتوي على رمز مرور. هذا هو إعداد إمكانية الوصول الافتراضي عندما لا يتم تحديد فئة الحماية بشكل صريح.

عند تعيين رمز المرور – هذا الجهاز فقط

هذه هي أعلى فئة حماية متوفرة. العناصر المخزنة مع kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly الفصل يتصرف بطريقة مشابهة للعناصر ذات الامتداد kSecAttrAccessibleWhenUnlocked ينسب. ومع ذلك ، فهي متاحة فقط عندما يتم تكوين الجهاز برمز مرور. وفقًا لشركة Apple ، فإن هذه العناصر:

• لا تقم بالمزامنة مع iCloud Keychain
• لم يتم نسخها احتياطيًا

في حالة إزالة رمز المرور أو إعادة تعيينه ، تصبح العناصر عديمة الفائدة من خلال تجاهل مفاتيح الفئة. ( مصدر )

هذا الجهاز فقط

يتم تخزين عناصر Keychain بدون ملف هذا الجهاز فقط ستتم مزامنة اللاحقة مع iCloud Keychain وسيتم نقلها إلى جهاز آخر عبر النسخ الاحتياطية المشفرة. عناصر سلسلة المفاتيح المميزة بعلامة هذا الجهاز فقط محمية دائمًا باستخدام UID الخاص بالجهاز في جميع أنواع النسخ الاحتياطية ، مما يجعلها عديمة الفائدة إذا تمت استعادتها إلى جهاز مختلف.

ال هذا الجهاز فقط تؤثر السمة مباشرة على توفر عناصر سلسلة المفاتيح في النسخ الاحتياطية المختلفة إذا تم تمييز عنصر بـ هذا الجهاز فقط ، هو:

• لن تتم المزامنة مع iCloud Keychain
• سيتم تضمينه في نسخ iCloud الاحتياطية ؛ ومع ذلك،
  • لا يمكن استعادتها إلا إلى نفس الجهاز الفعلي
• سيتم تضمينها في النسخ الاحتياطية المحلية (المشفرة وغير المشفرة) ؛ ومع ذلك،
  • لا يمكن استعادتها إلا إلى نفس الجهاز الفعلي

من المثير للاهتمام ملاحظة كيفية ارتباط بعض فئات الحماية بـ هذا الجهاز فقط . فيما يلي القائمة الكاملة للتركيبات المتاحة:

دائما :

الوصول إليه دائمًا و kSecAttrAccessibleAlwaysThisDeviceOnly

بعد فتح القفل لأول مرة:

kSecAttrAccessibleAfterFirstUnlock و kSecAttrAccessibleAfterFirstUnlock هذا الجهاز فقط

عند فتح

kSecAttrAccessibleWhenUnlocked و kSecAttrAccessibleWhenUnlockedThisDeviceOnly

عند تعيين رمز المرور

مجرد kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly

أعلى فئة حماية ( عندماPasscodeSet ) متوفر حصريًا بالاشتراك مع هذا الجهاز فقط . لا يتم نقل هذه العناصر مطلقًا إلى جهاز آخر ، وتصبح عديمة الفائدة إذا تمت إزالة رمز المرور من الجهاز.

يتم حاليًا سرد أدنى فئة حماية (غير) تحدد “يمكن الوصول إليه دائمًا” على أنها إهمال (منذ iOS 9). لا يزال من الممكن استخدام فئات الحماية الموقوفة للتوافق مع الإصدارات السابقة. يعد الإهمال أحد أسباب إرجاع استخراج BFU لأقل عدد من سجلات سلسلة المفاتيح كما يفعل.

استخراج BFU: ما هي عناصر سلسلة المفاتيح المتوفرة؟

كما تعلمت من الفصل السابق ، يتم تمييز معظم عناصر سلسلة المفاتيح بسمات تجعلها متاحة فقط بعد فتح القفل الأول (AFU). يتم تشفير العناصر المميزة بوصول AFU بمفتاح تشفير مشتق من المعلومات الخاصة بالجهاز بالإضافة إلى كلمة مرور قفل شاشة المستخدم. بدون كلمة مرور قفل الشاشة ، ستبقى معظم سجلات سلسلة المفاتيح مشفرة بشكل آمن.

الاستثناء الوحيد لهذه القاعدة هو السجلات المحمية بامتداد الوصول إليه دائمًا بغض النظر عن السمة هذا الجهاز فقط . تضمن هذه السمة إمكانية الوصول دائمًا إلى عناصر سلسلة المفاتيح المتأثرة ، حتى قبل فتحها لأول مرة (حالة “BFU”). على الرغم من أن شركة Apple قد أوقفت سمة الأمان هذه ، إلا أنها لا تزال مستخدمة من قبل عدد قليل من المطورين (بما في ذلك Apple أنفسهم) لتخزين المعلومات التي تعتبر ضرورية لنظام التمهيد. تتضمن أمثلة هذه السجلات بعض مفاتيح الأمان. البنود مع سلسلة المفاتيح الوصول إليه دائمًا يتم تشفيرها أيضًا ؛ ومع ذلك ، يعتمد التشفير فقط على بيانات اعتماد الأجهزة ، ولا يحتاج إلى كلمة مرور قفل شاشة المستخدم لفك التشفير. لذلك تقتصر عملية استخراج BFU على الوصول إليه دائمًا العناصر.

ما هو استخراج BFU؟ هذه هي عملية استخراج المعلومات المتاحة من جهاز iOS لم يتم إلغاء قفله حتى مرة واحدة بعد إعادة تشغيل الجهاز أو تشغيله. اعتبر BFU طريقة استخراج “باردة” ، حيث لا يمكن الوصول إلى كل شيء مشفر ببيانات اعتماد المستخدم (رمز المرور). أكثر ما يمكن توقعه من استخراج BFU هو أجزاء من نظام الملفات (غير مشفر أو مشفر ببيانات اعتماد الأجهزة) و الوصول إليه دائمًا عناصر سلسلة المفاتيح. تتضمن طريقة استخراج BFU الأكثر شيوعًا كسر الحماية باستخدام checkra1n يستخدم ثغرة برنامج bootloader في عدد قليل من أجهزة iOS (بشكل عام ، قبل نطاق iPhone Xs و Xs Max و Xr) أو الاستغلال المباشر لـ checkm8 استغلال.

Elcomsoft iOS Forensic Toolkit يمكن استخدامها لاستخراج الأجزاء المتاحة من سلسلة المفاتيح في وضع BFU. لإجراء استخراج BFU ، قم بما يلي.

1. تأكد من أن الجهاز متوافق مع checkra1n
2. تثبيت checkra1n وقم بتوصيل الجهاز بجهاز الكمبيوتر.
3. قم بتشغيل Elcomsoft iOS Forensic Toolkit.
4. استخدم الأمر “K” لإجراء استخراج سلسلة المفاتيح.
   
5. سيتم استخراج عناصر سلسلة المفاتيح التي يمكن الوصول إليها وفك تشفيرها.
   
6. لاحظ أن السجلات فقط مع الوصول إليه دائمًا سيتم استخراج السمة بغض النظر عن هذا الجهاز فقط .

يمكنك مقارنة عدد عناصر سلسلة المفاتيح المستخرجة في وضع BFU مع الاستخراج المنتظم AFU. كما ترى في لقطة الشاشة التالية ، يُرجع استخراج AFU عددًا أكبر بكثير من عناصر سلسلة المفاتيح مقارنةً باستخراج BFU.

يتم حفظ سلسلة المفاتيح كـ keychain_UDID_timestamp.xml (حيث يكون UDID هو المعرف الفريد للجهاز ، والطابع الزمني هو تاريخ الاستخراج ووقته).

يمكنك تحليل عناصر سلسلة المفاتيح المستخرجة باستخدام وظيفة Keychain Explorer في Elcomsoft Phone Breaker.

من بين البيانات الأخرى (التي غالبًا ما تكون عديمة الفائدة) ، اكتشفنا بشكل غير متوقع كلمتين من كلمات المرور لحسابات البريد Mail.ru و Rambler.ru:

ربما تم تسريب هذه من تطبيق بريد غير آمن (بالتأكيد ليس تطبيق البريد الافتراضي لنظام iOS) الذي فشل مطوروه في اختيار فئة الحماية الصحيحة لكلمات المرور هذه.

اقرأ المزيد عن استخراج BFU بتنسيق استخراج BFU: تحليل الطب الشرعي لأجهزة iPhone المقفولة والمعطلة

iOS keychain 1: على الجهاز

تحتفظ أجهزة iOS بسلسلة المفاتيح في ملف قاعدة بيانات واحد بالاسم التالي:

/private/var/Keychains/keychain-2.db

الملف هو قاعدة بيانات SQLite قياسية ، والتي لا يتم تشفيرها في حد ذاتها. ومع ذلك ، يتم تشفير السجلات الفردية في قاعدة البيانات. بالإضافة إلى محتوى السجل ، يتم تشفير بعض الحقول (مثل الحساب والبيانات و svce) كما هو موضح في المثال أدناه لسجل سلسلة المفاتيح:

يختلف التشفير حسب نوع الجهاز.

أجهزة 32 بت (iPhone 5 و 5c وأقدم ، طرازات iPad و iPod Touch المقابلة)

أصبحت أجهزة Apple القائمة على نظام SoC 32 بت بمثابة سجل الآن. قبل Secure Enclave ، كان استخراج سلسلة المفاتيح معقدًا ولكنه قابل للتنفيذ. عند معالجة iPhone 32 بت (مثل iPhone 5c) ، قد يحتاج المرء إلى تنزيل قاعدة بيانات keychain ومفاتيح التشفير من الجهاز. يمكن إجراء فك التشفير على سطح المكتب. احتوى كل عنصر من عناصر سلسلة المفاتيح على المعلومات التالية في ملف البيانات حقل:

• إصدار العنصر (2 أو 3)
• فئة الحماية الخاصة بمفتاح الحماية الذي تم استخدامه لتشفير مفتاح العنصر
• طول مفتاح العنصر المشفر (40 بايت)
• مفتاح عنصر مشفر
• تشفير البيانات بمفتاح العنصر (AES-256-GSM)

ستقوم أداة الاستخراج (Elcomsoft iOS Forensic Toolkit) أولاً باستخراج مفتاح الفئة لكل فئة حماية من System Keybag ، ثم تستخدم هذا المفتاح لفك تشفير Element Key. سيتم استخدام مفتاح العنصر لفك تشفير البيانات. (تم أيضًا تشفير المفاتيح من System Keybag بمفتاح مستند إلى رمز مرور و / أو مفتاح جهاز مستند إلى UID).

أجهزة 64 بت (iPhone 5s الأحدث)

مع الانتقال إلى نظام SoC 64 بت ، قدمت Apple Secure Enclave ، وهو مدير مفاتيح قائم على الأجهزة معزول عن المعالج الرئيسي لتوفير طبقة إضافية من الأمان. يحظر Secure Enclave بشكل فعال الوصول إلى System Keybag ، مما يجعل من المستحيل فك تشفير سجلات سلسلة المفاتيح خارج الجهاز.

لقد قمنا بتطوير حل بديل لفك تشفير سجلات سلسلة المفاتيح على الجهاز. ال keychaindumper تطلب الأداة المساعدة (جزء من Elcomsoft iOS Forensic Toolkit) من جهاز iOS فك تشفير عناصر سلسلة المفاتيح وقراءة النتيجة. لفك تشفير جميع سجلات سلسلة المفاتيح ، keychaindumper يعدد سلسلة المفاتيح عن طريق الاتصال SecItemCopyMatching . هذه الطريقة لها قيدان.

أولاً ، يعمل فقط على الجهاز ، ويتطلب بقاء الشاشة غير مقفلة (وإلا فلن تتوفر عناصر فئة الحماية الأعلى).

القيد الثاني أكثر صعوبة في شرحه. لا تحتاج الأداة فقط إلى كسر الحماية (أو استغلال تصعيد الهروب / الامتياز في وضع الحماية كما هو مستخدم في ملف عامل الاستخراج ) ، ولكن يجب التوقيع عليها بمجموعة خاصة من الاستحقاقات. تحدد هذه الاستحقاقات حرف البدل [*] لـ keychain-access-group حتى تتمكن الأداة من الوصول إلى جميع العناصر.

هذا القيد له نتيجتان. أولاً ، ليس كل استغلال لديه القدرة على تعطيل التحقق من التوقيع. ثانيًا ، يتخلص iOS 13.5 من حرف البدل ، لذلك يجب على المرء أولاً تعداد جميع مجموعات الوصول المعلنة في سلسلة المفاتيح واستخدام تلك المجموعات للتوقيع على keychaindumper خدمة.

بالنسبة للمستخدم النهائي ، يبدو استخراج سلسلة المفاتيح أمرًا سهلاً. اعتمادًا على ما إذا كنت تقوم بمعالجة جهاز مكسور الحماية أو تعتمد على عامل الاستخراج المدمج ، يمكنك استخدام أوامر “D” ثم “K” أو التسلسل “1” و “2” و “4” للتثبيت وكيل الاقتناء ، واستخراج سلسلة المفاتيح وإزالة الوكيل من الجهاز.

سيُطلب منك إدخال رمز المرور على شاشة الجهاز. بعد ذلك ، ينتهي استخراج سلسلة المفاتيح في غضون ثوانٍ.

لعرض سلسلة مفاتيح iCloud ، استخدم Elcomsoft Phone Breaker .

1. قم بتشغيل Elcomsoft Phone Breaker.
2. انقر فوق Keychain Explorer.
3. في Keychain Explorer ، حدد الملف المقابل xml الملف الذي حددته أثناء الاستخراج.
4. سيتم سرد سجلات سلسلة المفاتيح.

iOS keychain 2: النسخ الاحتياطية المحلية

تعد النسخ الاحتياطية المحلية طريقة ممتازة للحصول على أجزاء من سلسلة المفاتيح. ومن المثير للاهتمام أن سلسلة المفاتيح متاحة في نسخ iTunes الاحتياطية التي تم إنشاؤها بكلمة مرور أو بدونها ؛ ومع ذلك ، تختلف طرق التشفير اختلافًا كبيرًا بين نوعي النسخ الاحتياطية.

النسخ الاحتياطية المحمية بكلمة مرور (المشفرة)

إذا حدد المستخدم (أو الخبير) كلمة مرور قبل إنشاء نسخة احتياطية على غرار iTunes ، فسيتم تشفير محتوى النسخة الاحتياطية بالكامل بما في ذلك سلسلة المفاتيح باستخدام مفتاح التشفير المشتق من كلمة المرور تلك.

عناصر سلسلة المفاتيح (باستثناء هذا الجهاز فقط يمكن فك تشفيرها باستخدام نفس كلمة المرور المحددة وقت إنشاء النسخة الاحتياطية. والجدير بالذكر أن مثل هذه السجلات تتضمن جميع كلمات المرور التي حفظها المستخدم في متصفح Safari ، ولكن لا تتضمن في الغالب مفاتيح التشفير أو الشهادات أو بطاقات الدفع. يتم تخزين عدد قليل نسبيًا من السجلات على مستوى النظام كملفات هذا الجهاز فقط ، بما في ذلك في الغالب بعض شهادات Apple ومفاتيح خدمة Apple المخزنة في بداية سلسلة المفاتيح. من الواضح أن مطوري تطبيقات الجهات الخارجية يتمتعون بحرية الاختيار هذا الجهاز فقط إذا طلبوا استخدام أعلى فئة حماية لبياناتهم.

العناصر المحمية بـ هذا الجهاز فقط يتم تشفيرها باستخدام مفتاح خاص بالأجهزة (مشفر UID) ، ولا يمكن فك تشفيرها من النسخة الاحتياطية سواء كانت كلمة المرور معروفة أم لا. لا يمكن استعادة هذه السجلات إلا على نفس الجهاز (نفس UID) التي تم حفظها منه.

نسخ احتياطية غير مشفرة (بدون كلمة مرور)

إذا تم إنشاء نسخة احتياطية محلية بدون كلمة مرور ، فسيتم تشفير جميع عناصر سلسلة المفاتيح المضمنة في النسخة الاحتياطية بمفتاح جهاز خاص بالجهاز (UID) ، مما يجعل من الممكن بشكل فعال استعادة هذه العناصر على نفس الجهاز الذي تم إجراء النسخ الاحتياطي من عند. لن تؤدي استعادة نسخة احتياطية بدون كلمة مرور على جهاز مختلف إلى نقل أي من سجلات سلسلة المفاتيح. هذا مشابه للطريقة التي تتعامل بها Apple مع سجلات سلسلة المفاتيح في نسخ iCloud الاحتياطية.

نتيجة لذلك ، يمكنك فقط الوصول إلى سجلات سلسلة المفاتيح المخزنة في النسخ الاحتياطية المحمية بكلمة مرور ، وفقط إذا كنت تعرف كلمة المرور. نحن نقدم مستكشف المفاتيح أداة مدمجة في Elcomsoft Phone Breaker يمكنها مساعدتك في تحليل سلسلة المفاتيح من نسخ iTunes الاحتياطية.

لعرض سلسلة المفاتيح ، قم بما يلي.

1. قم بتشغيل Elcomsoft Phone Breaker.
2. انقر فوق Keychain Explorer.
3. في Keychain Explorer ، افتح النسخة الاحتياطية وأدخل كلمة المرور.
4. سيستغرق استخراج سلسلة المفاتيح وفك تشفيرها بعض الوقت (ما يصل إلى عدة دقائق ، اعتمادًا على حجم النسخة الاحتياطية).
5. سيتم سرد سجلات سلسلة المفاتيح كما هو موضح في النافذة أدناه.

iOS keychain 3: نسخ iCloud الاحتياطية

من نواحٍ عديدة ، تتشابه نُسخ iCloud الاحتياطية في المحتوى مع نُسخ iTunes الاحتياطية التي تم إنشاؤها بدون كلمة مرور. قد تتضمن نسخ iCloud الاحتياطية أو لا تتضمن نسخة من سلسلة مفاتيح المستخدم اعتمادًا على ما إذا كان المستخدم قد قام بتمكين iCloud Keychain أم لا.

بالنسبة الى تفاحة ، “لا تعد عناصر iCloud Keychain جزءًا من iCloud Backup لأنها تعيش بالفعل في السحابة. للعثور على عناصر iCloud Keychain الخاصة بك […] ، انقر فوق الإعدادات >[your name]> iCloud > سلسلة المفاتيح وتشغيل iCloud Keychain “.

في نقاش في منتدى مطوري Apple ، تم إصدار البيان التالي:

“لقد أعيدت قراءة أمن iOS المستند ، الذي يحتوي على قسم محدد في iCloud Backup. يوضح ذلك أن iCloud Backup يعمل كنسخة احتياطية من iTunes بدون كلمة مرور: يتم تضمين عناصر سلسلة المفاتيح في النسخة الاحتياطية ولكنها ملفوفة بمفتاح خاص بالجهاز. وبالتالي ، لا يمكن استعادتها إلا إلى الجهاز الذي قام بنسخها احتياطيًا في الأصل ، مما يعني أنها تضيع عند استعادة النسخة الاحتياطية إلى جهاز مختلف (وهذه هي الطريقة التي اختبرت بها ذلك). “

على غرار النسخ الاحتياطية لـ iTunes بدون كلمة مرور ، يتم تشفير عناصر سلسلة المفاتيح باستخدام مفتاح جهاز خاص بالجهاز. بطريقة ما ، تتلقى جميع عناصر سلسلة المفاتيح الحماية التي توفرها فئة الحماية “هذا الجهاز فقط” لأنه لا يمكن استعادتها إلا على نفس الجهاز المادي الذي تم إنشاء نسخة iCloud الاحتياطية منه. إذا تمت استعادة نسخة iCloud الاحتياطية على جهاز مختلف (حتى من نفس الطراز) ، فلن تتم استعادة عناصر سلسلة المفاتيح. يجب على المستخدمين الذين يرغبون في نقل كلمات المرور المخزنة الخاصة بهم إلى جهاز مختلف استخدام نسخة احتياطية محلية محمية بكلمة مرور أو تمكين iCloud Keychain والانتظار حتى تنتهي سلسلة المفاتيح من المزامنة.

لا يمكنك عرض أو تحليل نسخة سلسلة المفاتيح المخزنة في نسخ iCloud الاحتياطية.

iOS keychain 4: iCloud Keychain

تم تقديم iCloud Keychain في نظام التشغيل iOS 7.0.3 ، وهو أساسًا شركة Apple في إدارة كلمات المرور. تقوم iCloud Keychain بمزامنة كلمات مرور المستخدمين عبر جميع أجهزة المستخدم التي تنتمي إلى نظام Apple البيئي. تفاحة يحدد iCloud Keychain على النحو التالي. “باستخدام iCloud Keychain ، يمكنك تحديث كلمات المرور والمعلومات الآمنة الأخرى عبر أجهزتك. تتذكر سلسلة مفاتيح iCloud الأشياء ، حتى لا تضطر إلى ذلك. تملأ معلوماتك تلقائيًا – مثل أسماء المستخدمين وكلمات المرور في Safari وبطاقات الائتمان وكلمات مرور Wi-Fi وتسجيلات الدخول الاجتماعية – على أي جهاز توافق عليه “.

بالنظر إلى الطبيعة الحساسة للغاية لـ iCloud Keychain ، تتخذ Apple تدابير غير مسبوقة لحماية محتواها. هذا ما يجب أن تقوله شركة آبل حماية سلسلة مفاتيح iCloud : “تحمي iCloud معلوماتك من خلال التشفير التام بين الأطراف ، والذي يوفر أعلى مستوى من أمان البيانات. تتم حماية بياناتك بمفتاح مصنوع من معلومات فريدة لجهازك ، ومدمجة مع رمز المرور الخاص بجهازك ، والذي تعرفه أنت فقط. لا يمكن لأي شخص آخر الوصول إلى هذه البيانات أو قراءتها ، سواء أثناء النقل أو التخزين “.

تشمل ميزات الحماية ما يلي:

1. يمكنك فقط استخدام iCloud Keychain إذا تم تمكين المصادقة الثنائية لحساب Apple الخاص بك. يتم فرض هذه القاعدة في جميع المناطق منذ إصدار iOS 13.
2. هناك استثناءات من القاعدة الأولى ، على سبيل المثال إذا تم استخدام جهاز ما قبل iOS 13 في إحدى المناطق التي لا تزال فيها Apple لم تكمل طرح المصادقة الثنائية. في هذه الحالات ، يجب حماية سلسلة مفاتيح iCloud برمز أمان مخصص (ستة أرقام أو أبجدية رقمية معقدة أو يتم إنشاؤه عشوائيًا لتفويض أجهزة إضافية والتحقق من هوية المستخدم).
3. يتم تشفير iCloud Keychain الخاص بالمستخدم بمفتاح مشتق من رمز مرور الجهاز المسجل. لتسجيل جهاز إضافي ، يجب على المستخدم توفير رمز مرور قفل الشاشة (أو كلمة مرور النظام) لأحد الأجهزة المسجلة بالفعل.
4. عندما يتعلق الأمر بـ iCloud Keychain ، تحد Apple من عدد محاولات “تخمين” رمز المرور. إذا تم إدخال رمز مرور غير صحيح عدة مرات بشكل خام ، فسيتم إزالة iCloud Keychain من خوادم Apple ويجب إعداده مرة أخرى. لم تحدد Apple العدد الدقيق للمحاولات غير الصحيحة التي ستؤدي إلى إزالة سلسلة المفاتيح. اختبرناها لتكون 10 محاولات ؛ ومع ذلك ، قد يتغير هذا الرقم في أي وقت.
5. فقط العناصر المميزة بعلامة kSecAttrSynchronizable متزامنة مع السحابة.

الجملة الأخيرة تحتاج إلى توضيح. ال في أعماق iCloud Keychain مقالة بواسطة hackmagnet لديه البيان التالي:

“تجدر الإشارة إلى أنه لا تتم مزامنة Keychain بالكامل. ترتبط بعض السجلات بجهاز (مثل حسابات VPN) ، ويجب ألا تترك الجهاز. تتم مزامنة السجلات ذات السمة “kSecAttrSynchronizable” فقط. قامت Apple بتعيين هذه السمة لبيانات مستخدم Safari (بما في ذلك أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان) وكلمات مرور Wi-Fi. بالاضافة، لا تتم مزامنة سجلات تطبيقات الجهات الخارجية بشكل افتراضي . للسماح بالمزامنة الخاصة بهم ، فإن ملف يجب على المطورين تعيين السمة “kSecAttrSynchronizable” بشكل صريح عند إضافة السجل إلى Keychain. “

بالمقارنة مع البيانات الأخرى التي يخزنها المستخدمون في iCloud ، تحتل سلسلة المفاتيح مساحة محدودة ويتم تخزينها على خوادم Apple في Cupertino. هل هذا يعني أن Apple يمكنها الوصول إلى كلمات المرور الخاصة بك؟ لا. يتم تشفير iCloud Keychain بمفتاح يتم “تغليفه” بدوره برمز مرور قفل شاشة المستخدم (iOS) أو كلمة مرور النظام (macOS). من أجل فك مفتاح التشفير ، يجب توفير رمز المرور الصحيح. على الرغم من أنه من السهل جدًا على Apple إنشاء برنامج يسمح للشركة بفرض رموز المرور ، وإلغاء تغليف مفتاح التشفير وفك تشفير سلسلة المفاتيح ، فإن الشركة ترفض علنًا القيام بذلك. في الوقت الحالي ، لا “تعرف” Apple كلمات المرور الخاصة بك حتى لو كانت تخزنها على خوادمها. هذا ، بالمناسبة ، يختلف تمامًا عن Google ، التي في الواقع “تعرف” كلمات المرور الخاصة بك. إذا كنت مهتمًا بالحصول على كلمات مرور Chrome من حساب Google للمستخدم ، فحاول Elcomsoft Cloud Explorer .

كيفية استخراج سلسلة مفاتيح iCloud باستخدام Elcomsoft Phone Breaker

سجلات iCloud Keychain محمية بما تسميه Apple “التشفير من طرف إلى طرف”. يتم تضمين عدة طبقات من التشفير ، وآخرها هو المفاتيح “المغلفة” المطلوبة لفك تشفير سجلات سلسلة المفاتيح. من أجل “فك” المفاتيح ، يجب على المرء توفير رمز مرور قفل شاشة المستخدم أو كلمة مرور النظام (Mac) لأحد الأجهزة المسجلة بالفعل. هذا المطلب هو بالإضافة إلى متطلبات المصادقة المعتادة (تسجيل الدخول وكلمة المرور ، رمز لمرة واحدة لتمرير المصادقة الثنائية).

لاستخراج سلسلة مفاتيح iCloud ، قم بما يلي.

1. قم بتشغيل Elcomsoft Phone Breaker.
2. سجّل الدخول إلى حساب Apple الخاص بالمستخدم باستخدام إجراء المصادقة الكامل (معرف Apple وكلمة المرور والمصادقة ذات العاملين).
3. ستظهر لك قائمة بالأجهزة المسجلة. أثناء الخطوة التالية ، حدد الجهاز الذي تعرف رمز مرور قفل الشاشة (أو كلمة مرور النظام) له ، واكتب رمز المرور أو كلمة المرور في الحقل المقابل.
4. في قائمة فئات البيانات ، حدد سلسلة مفاتيح iCloud .
5. انقر التالى للتنزيل.
6. سيتم تنزيل سلسلة مفاتيح iCloud وفك تشفيرها.

عرض سلسلة مفاتيح iCloud

لدينا أداتان يمكن أن تساعدك في تحليل سلسلة المفاتيح التي قمت بتنزيلها من iCloud. بينما تخدم الأداتان أغراضًا مختلفة ، سيكون لديك تجربة متشابهة جدًا عند الوصول إلى بيانات سلسلة المفاتيح بأي منهما.

الأداة الأولى هي Elcomsoft Phone Breaker. تاريخياً ، كانت هذه هي الأداة الأولى التي قمنا بتنفيذ تحليل سلسلة المفاتيح. لعرض iCloud Keychain ، قم بما يلي.

1. قم بتشغيل Elcomsoft Phone Breaker.
2. انقر فوق Keychain Explorer.
3. في Keychain Explorer ، حدد iCloud Keychain الذي قمت بتنزيله للتو.
4. سيتم سرد سجلات سلسلة المفاتيح للحظات كما هو موضح في النافذة أدناه.

ملاحظة: سيعرض Elcomsoft Phone Breaker تلقائيًا استكشاف iCloud Keychain أثناء الخطوة الأخيرة.

بالإضافة إلى Elcomsoft Phone Breaker ، لدينا أداة مخصصة مصممة لعرض البيانات وإجراء تحليل جنائي خفيف الوزن. أضفنا القدرة على تحليل سجلات سلسلة المفاتيح إلى عارض الهاتف Elcomsoft مؤخرا نسبيا. اليوم ، لديها نفس ميزات العرض / التحليل مثل Elcomsoft Phone Breaker عندما يتعلق الأمر باستكشاف iCloud Keychain.

لاستكشاف iCloud Keychain في Elcomsoft Phone Viewer ، قم بما يلي.

1. قم بتشغيل Elcomsoft Phone Viewer.
2. انقر فوق Keychain Explorer.
3. في Keychain Explorer ، افتح ملف keychain الذي تم تنزيله.
4. سيتم سرد سجلات سلسلة المفاتيح.

فصل المكافأة: سلسلة مفاتيح macOS

macOS هو جزء متساوٍ من نظام Apple البيئي. تمامًا مثل الأجهزة المحمولة ، تحتوي أجهزة كمبيوتر Mac على سلسلة المفاتيح. كتبت ستيفاني طومسون ، مهندس حلول Blackbag ، مقالة ممتازة حول سلسلة مفاتيح macOS: تحليل سلسلة مفاتيح Apple باللون الأسود

لدينا أداة لذلك أيضًا. Elcomsoft Password Digger يوفر القدرة على استخراج وفك تشفير وتصدير محتوى نظام macOS وسلاسل مفاتيح المستخدم. يمكنك استخدام الأداة لإنشاء قاموس مخصص يحتوي على جميع كلمات المرور المخزنة للمستخدم ، واستخدام هذا القاموس في أداة استعادة كلمة المرور من اختيارك لتحسين هجمات استعادة كلمة المرور. بالإضافة إلى ذلك ، يمكنك تصدير المحتوى الكامل لسلسلة المفاتيح إلى ملف XML غير مشفر.

 

EIFT ، Elcomsoft iOS Forensic Toolkit ، Elcomsoft Phone Breaker ، Elcomsoft Phone Digger ، عارض الهاتف Elcomsoft ، EPB ، EPD ، EPV ، سلسلة مفاتيح iCloud ، iOS ، سلسلة مفاتيح

 

بواسطة Oleg Afonin at 2020-08-05 12:14:03 المصدر مدونة ElcomSoft: