一、Apple Watch 提取数据的方法
Apple Watch设备有两种提取方法:引导加载器提取和逻辑提取。对iPhone进行逻辑提取是众所周知的。您可以通过 iTunes 或使用自己选择的取证工具(如 Elcomsoft iOS Forensic Toolkit)对iPhone 进行备份。
引导加载器提取基于checkm8漏洞利用,是一种基于漏洞的底层提取,可以获得完整的文件系统映像并提取钥匙串副本。与HomePod或Apple TV等物联网设备不同,Apple Watch可以使用密码保护,而这正是从配对的iPhone同步钥匙串的一个必要条件。
引导加载器提取只能用于旧型号的Apple Watch设备,包括Apple Watch Series 3 及以下的Apple Watch。对于较新型号的Apple Watch,底层提取无法使用,必须使用逻辑提取。Apple Watch没有备份服务(手表备份是在配对的iPhone 上创建和存储的),因此只能提取有限的数据,包括一些系统和诊断日志以及一些媒体文件。,
底层提取和逻辑提取方法都需要将手表连接到电脑,通常需要借助适配器。从7系列开始的最新Apple Watch不再带有隐藏诊断端口,使得都很难甚至不可能将这些设备连接到电脑上。这反过来意味着逻辑提取只支持Apple Watch Series 4、Series 5、Series 6和 Apple Watch SE(第一代)设备。
在下表中,与底层提取(checkm8)兼容的Apple Watch 型号以绿色标出,而红色所列型号仅支持逻辑提取。未列出的型号完全不支持(例如 Apple Watch Series 7、Series 8、Ultra)。
二、Apple Watch提取数据的步骤
checkm8是Apple Watch S3唯一可用的提取方法,允许完全访问存储在设备中的重要证据。我们将介绍如何将Apple Watch S3连接到电脑、将手表设置为DFU模式、应用checkm8 漏洞并使用iOS Forensic Toolkit 8.0 从设备中提取文件系统。
Apple Watch S3是苹果公司保留时间最长的智能手表,最初于2017年9月推出,直到2022年才最终停产。该型号是最后一款兼容checkm8漏洞的Apple Watch 设备。
2.1 开始之前
Apple Watch没有内置USB端口。隐藏的诊断针脚可用来将手表连接到电脑,需要使用适配器。请确保在开始之前准备好一切。
1、 一台Mac电脑。用来安装漏洞利用程序并执行提取。使用的iOS Forensic Toolkit通用版支持基于 Intel和M1的 Mac。目前不支持 Windows。
2、 适用于Mac的iOS取证工具包8.0。目前,EIFT 8.0仅适用于Mac。
3、 Apple Watch Series 3。手表功能必须可以进入DFU模式。
4、 Apple Watch密码必须已知或为空。否则可能会进行有限的BFU提取,获取的信息很少。
5、 兼容的USB适配器,用于将手表连接到电脑。
6、 下载与设备上安装的watchOS版本相匹配的Apple官方固件(提取过程中会提供下载链接)。
注意:虽然苹果已经部分修补了iOS 14 和15中的漏洞,但基于这些版本iOS的watchOS 7和8却没有得到同样的处理。因此,无需移除手表屏幕锁密码就可以应用该漏洞。
2.2 USB适配器
有几种类型的Apple Watch适配器可以从供应商买到。目前推荐一款名为S-Dock的适配器。
提取 Apple Watch 时,请按照以下步骤操作:
1、启动iOS Forensic Toolkit 8.0
2、通过USB适配器将Apple Watch 3连接到计算机(处于关机状态)
3、运行 ./EIFT_cmd boot -w
4、将手表置入DFU模式
5、iOS取证工具包将检测手表并应用漏洞
6、运行 ./EIFT_cmd ramdisk unlockdata,
7、仅当出现Seshat错误时:运行./EIFT_cmd ramdisk loadnfcd,然后运行 ./EIFT_cmd ramdisk unlockdata -s
8、运行 ./EIFT_cmd ramdisk keychain -o {filename} 提取密钥链
9、运行 ./EIFT_cmd ramdisk tar -o {filename} 提取文件系统
10、运行 ./EIFT_cmd ssh halt 关闭 Apple Watch 的电源
三、详细说明
1、启动 iOS Forensic Toolkit,然后使用适配器将Apple Watch连接到电脑。此时,必须关闭手表电源。在计算机上,以等待模式启动EIFT的命令:./EIFT_cmd boot -w
2、然后将手表置入DFU模式。为此,请同时按住数字表冠和侧面按钮10秒钟,然后松开侧面按钮,同时仍按住数字表冠10秒钟。手表上不会有任何指示,显示屏应保持黑色。如果看到苹果徽标,说明时间不对,需要重复上述步骤。
手表进入DFU模式后,工具代码会检测手表上安装的操作系统版本,并提供下载链接。如果有多个潜在匹配,则会显示多个下载链接;因此建议从列表中选取最后一个链接。从链接中下载文件,并将其放入控制台窗口,然后按ENTER键。或者,也可以直接粘贴固件下载链接。如果这样做,工具只会下载应用漏洞和启动手表所需的固件镜像文件。可能需要多次尝试才能将设备置入DFU。
值得注意的是,Apple Watch设备的完整IPSW镜像很少。因此为达到应用漏洞的目地,可以借助工具使用OTA更新镜像的方式。应用漏洞后,手表屏幕将显示“启动“信息。
说明:在许多情况下,EIFT会在漏洞利用的第一阶段自动检测watchOS版本,这个过程基于检测到的iBoot版本和设备硬件。不过在某些情况下,iBoot版本可能对应多个OS版本。如果使用了错误的OS版本,可以选择使用不同版本的固件重复该过程,或者继续使用当前的固件镜像(在很多情况下都可以)。如果过程成功,你会看到一个确认信息。
3、解锁数据分区并将其挂载为只读分区。使用此命令:./EIFT_cmd ramdisk unlockdata
系统可能会提示你输入密码;如果你知道密码,请输入,或按ENTER键跳过(在这种情况下,将执行有限的DFU提取)。如果输入错误的密码,系统将显示错误信息。密码正确后,加密卷将完全解锁,您可以继续进行数据(钥匙串和文件系统提取)。如果不知道密码,请在下面的屏幕上按ENTER键。在这种情况下,将执行非常有限的BFU提取。
注意:如果出现Seshat错误,请运行以下两个命令:./EIFT_cmd ramdisk loadnfcd 以及./EIFT_cmd ramdisk unlockdata -s
4、提取钥匙串。使用命令:./EIFT_cmd ramdisk keychain -o {文件名}
此命令用于提取和解密密钥链。如果未指定路径,则将保存到当前文件夹。
5、镜像文件系统。使用此命令:./EIFT_cmd ramdisk tar -o {文件名}
校验和(哈希值)会即时计算,并在提取完成后显示。Apple Watch的SoC和USB控制器速度明显低于iPhone,因此提取速度相对较慢,约为3MB/s。
本文提及工具:
iOS Forensic Toolkit
链接:https://pan.baidu.com/s/132d4psRbVbuTp9kW8UCE_Q
提取码:zrak
–来自百度网盘超级会员V4的分享
同时分享一个基于checkem8的越狱工具(在ios中打开)
链接:https://pan.baidu.com/s/1NXAUp3jlUysZX9qMSwqnGQ
提取码:gh68
–来自百度网盘超级会员V4的分享
参考资料:
[1] Forensic Insights into Apple Watch Data Extraction , November 30th, 2023 by Oleg Afonin Category: «General»
[2] iOS Forensic Toolkit 8 Apple Watch S3 checkm8 Extraction Cheat Sheet, November 29th, 2022 by Oleg Afonin Category: «General»
原文始发于微信公众号(电子取证及可信应用协创中心):Apple Watch的数据提取
