إعداد اتصال إنترنت مقيد لاستخراج iPhone

يمكن الآن استخدام معرفات Apple العادية أو التي يمكن التخلص منها لاستخراج البيانات من أجهزة iOS المتوافقة إذا كان لديك جهاز Mac. ينطوي استخدام معرف Apple غير المطور على بعض المخاطر والقيود. على وجه الخصوص ، يجب على المرء “التحقق” من عامل الاستخراج على جهاز iPhone المستهدف ، الأمر الذي يتطلب اتصال إنترنت نشطًا. تعرف على كيفية التحقق من توقيع وكيل الاستخراج باستخدام معرف Apple عادي أو يمكن التخلص منه دون التعرض لخطر تلقي قفل عن بُعد أو أمر مسح عن بُعد.

لماذا كل هذا

Elcomsoft iOS Forensic Toolkit يستخدم تقنية خاصة لاستخراج نظام الملفات وفك تشفير سلسلة مفاتيح من أجهزة iOS بدون كسر حماية. تستخدم هذه التقنية تطبيقًا داخليًا يعمل كعامل استخراج. على الرغم من أن الاستحواذ المستند إلى الوكيل يوفر مزايا عديدة مقارنة بالاستحواذ المستند إلى كسر الحماية ، فإنه يتطلب استخدام حساب Apple للتوقيع على وكيل الاستخراج. يتطلب استخدام معرف Apple العادي (غير المطور) لتحميل الوكيل جانباً أن “يثق” الخبير بشهادة التوقيع عن طريق “التحقق” من تطبيق الاستخراج. وهذا بدوره يتطلب السماح للجهاز بالاتصال بخادم Apple.

يعد السماح للجهاز الذي يتم التحقيق معه بالاتصال بالإنترنت محفوفًا بالمخاطر بسبب مشكلات المزامنة المحتملة واحتمال تلقي أمر إزالة القفل أو المسح عن بُعد من خدمة Find My iPhone. يمكن تخفيف هذه المخاطر عن طريق تقييد الاتصال على الجهاز بمجال فرعي واحد من apple.com مطلوب للتحقق من شهادة التوقيع.

التخفيف من المخاطر

أسهل طريقة لتجنب المخاطر هي التخلص من حاجة iPhone للتحقق من شهادة التوقيع. إذا تم توقيع وكيل الاستخراج بمعرف Apple المسجل في برنامج مطوري Apple ، فقد يظل iPhone غير متصل بالإنترنت عندما تقوم بتحميل وكيل الاستخراج.

تنشأ المشاكل عندما لا يكون لديك حساب مطور لتسليمه ، وما زلت بحاجة إلى تنفيذ عملية استخراج الجهاز. لاحظ أنه يمكنك فقط استخدام معرف Apple غير المطور للتوقيع على وكيل الاستخراج إذا كنت تستخدم جهاز Mac. يجب على مستخدمي Windows استخدام معرف Apple المسجل في برنامج Developer حيث لا يوجد حل بديل متاح لهذا النظام الأساسي.

لتقليل مخاطر تعريض جهاز iPhone للعبث عن بُعد ، سنحتاج إلى تقييد اتصاله عبر الإنترنت. من الناحية المثالية ، يجب أن يكون iPhone قادرًا فقط على الاتصال بخادم التحقق من صحة شهادة واحد – مع إنهاء جميع الاتصالات الأخرى.

خادم التحقق من صحة شهادة Apple: ppq.apple.com (17.173.66.213) ، المنفذ 443.

هناك عدة طرق يمكن للمرء أن يحقق الهدف. بالنسبة للبعض ، تتمثل الطريقة الأسهل في تكوين شبكة Wi-Fi مخصصة وإعداد قائمة بيضاء لجهاز التوجيه. سيفضل الآخرون ترك أجهزة الراديو للجهاز معطلة ، باستخدام اتصال سلكي تم تكوينه مسبقًا بدلاً من ذلك (مع محول Lightning to Ethernet مثل هذا ، أو أ بديل أرخص ، أو مزيج من محول Lightning إلى USB و ال محول إيثرنت USB ).

ومع ذلك ، بمجرد أن يكون لديك جهاز Mac ، لن تكون هناك حاجة لأي أجهزة إضافية ، وستتمكن من مشاركة اتصال الإنترنت منه إلى iPhone ، مما يحد من الوصول بطريقة أسهل.

الخطوة 1 . الاتصال أي iPhone (ليس الذي يتم استخراجه!) إلى Mac. افتح [Settings] | [Shared] وتأكد من ذلك مشاركة الانترنت في “إلى أجهزة الكمبيوتر التي تستخدم:” يحتوي على عنصر “iPhone USB”.

إذا لم يكن هناك عنصر من هذا القبيل ، فقم بتمكينه مؤقتًا نقطة اتصال شخصية (USB فقط). يجب أن يظهر العنصر. بعد ذلك ، يمكنك فصل iPhone وتعطيل نقطة الاتصال الشخصية.

الخطوة 2 . تأكد من عدم اتصال iPhone بجهاز Mac ، وقم بتنشيط جدار الحماية (لهذه الواجهة المحددة فقط ، على سبيل المثال آيفون USB ) ، والسماح بالوصول إلى ppq.apple.com فقط. يمكن القيام بذلك بسهولة عن طريق تشغيل النصي كمستخدم أساسي ، على سبيل المثال:

sudo ./install_firewall.sh

محتوى البرنامج النصي بسيط للغاية:

#! / بن / باشcp /etc/pf.conf /etc/pf.conf.backupصدى "الجدول  {ppq.apple.com، 192.168.2.0/24} ">> /etc/pf.confصدى "block drop in fast on bridge100 proto tcp من أي إلى!  ">> /etc/pf.confpfctl -f /etc/pf.conf

الخطوه 3 . قم بتوصيل iPhone قيد التحقيق. يجب أن يكون الوكيل مثبتًا بالفعل (إذا لم يكن مثبتًا بعد ، فيمكنك القيام بذلك في هذه المرحلة) ، وتمكينه مشاركة الانترنت إلى آيفون USB .

الخطوة 4 . اعتماد / التحقق من الشهادة (الصادرة إلى معرف Apple الذي استخدمته لتحميل الوكيل).

الخطوة الخامسة . قم بالاستخراج باستخدام EIFT.

الخطوة 6 . يمكنك إلغاء تثبيت جدار الحماية الآن (واستعادة التكوين الأصلي ، حيث تم نسخه احتياطيًا في الخطوة الثانية) عن طريق تشغيل البرنامج النصي الثاني ، مرة أخرى كمستخدم أساسي:

sudo ./install_firewall.sh

هذا النص في الواقع أبسط:

#! / بن / باشcp /etc/pf.conf.backup /etc/pf.confpfctl -f /etc/pf.conf

يمكنك أيضًا الاحتفاظ بالإعداد الحالي لمزيد من عمليات الاستخراج (إذا احتجت في أي وقت إلى تثبيت العامل على أجهزة iPhone الأخرى). من الآن فصاعدًا ، أي iPhone متصل بجهاز Mac هذا (بعد إعداد جدار الحماية) سيكون له حق الوصول فقط إلى خادم Apple المحدد المطلوب للموافقة على الشهادة ؛ ستكون ليس مزامنة (لا النظام ولا أي تطبيقات) أو الوصول إلى أي أوامر قفل / مسح عن بعد.

هذا كل شيء ، يمكنك الآن الحصول على البيانات من الجهاز ، بما في ذلك نظام الملفات الكامل وسلسلة المفاتيح ؛ مزيد من التفاصيل هنا: استخراج نظام ملفات iPhone و Keychain بدون حساب Apple Developer .

بواسطة فلاديمير كاتالوف في 2020-09-03 08:50:24 المصدر مدونة ElcomSoft: