iPhone备份:5大默认密码

IoT 3年前 (2021) admin
731 0 0
iPhone备份:5大默认密码
iPhone备份:5大默认密码

 本文由罗盟编译,陈裕铭、Roe校对,转载请注明。

iPhone备份是iOS取证中最热门的话题之一。iTunes备份是取证专家进行逻辑获取的核心,它包含了在其他平台上无可匹敌的大量证据。备份看起来简单,但却存在着很多问题,尤其是涉及到密码保护时。这篇文章将为你提供关于iPhone备份的一些窍门。

iPhone备份:5大默认密码

“iTunes”备份

尽管有多种方法可以从iPhone中提取数据,但iOS备份仍然是主要的证据来源。无论iPhone型号和iOS版本如何,几乎总是可以从设备中提取备份,但前提是设备已解锁,或者你可以解锁。我们发表了几十篇关于iTunes备份的文章,如果你不熟悉这个话题,那我建议你可以先了解iPhone备份的相关知识(文末附链接)

我们把“iTunes”这个词加引号,只是因为从macOS Catalina开始,macOS就没有iTunes了(macOS Big Sur也是如此)。在这些新版macOS中,备份是通过Finder创建的。无论你使用Finder还是旧的iTunes应用程序,从设备上获取的数据都没有区别。

大多数取证软件包都避免使用术语“备份”。相反,他们更喜欢称其为“逻辑获取”或“逻辑提取”,有时称为“高级”或“扩展”,有时甚至称为“方法N”。与Android逻辑提取相比,iPhone的一切都简单得多。高级逻辑/扩展采集/提取(无论他们怎么称呼)可能包含以下数据:

· 通用设备信息(型号、名称和一些其他参数)

· 备份(iTunes风格)

· 媒体文件(照片、视频和音乐,包含一些元数据)

· 共享文件

· 诊断日志

备份通常是包含设备中大部分数据的主要证据来源。

iPhone备份:5大默认密码

备份密码1

正如我们已经解释过的,备份通常受密码保护。那这里有两个不同的问题:

· 如果设备所有者已经配置了备份密码而你不知道,这将是一个问题。

· 如果未设置备份密码,则需要自行设置。

这两个问题都需要解释。但让我们先回顾一下Apple对备份密码所做的更改:

· iOS 9.x之前(包含9.x):密码可被有效攻击

· iOS 10.0:弱密码备份,有执行漏洞,攻击速度非常快

· iOS 10.1:漏洞修复,回到iOS 9的保护级别

· iOS 10.2:非常强的密码加密,攻击速度非常慢

· iOS 11:允许在设置中重置备份密码(会产生一些后果)

· iOS 13:修改备份密码需要输入密码

问题是有密码保护的备份比没有密码的备份包含更多的数据。谈到钥匙串,即使钥匙串的记录一直存在,我们也只能在设置并知道密码的情况下从备份中解密它们。

简而言之,如果没有其他提取选项,你只能提取备份,那么你需要设置(并知道)备份密码。

iPhone备份:5大默认密码

备份密码2

早在2016年,我们意识到如果没有设置备份密码,我们只需要自己设置,然后提取数据,最后删除临时密码即可。特别是:

我们知道如何处理加密数据。如果未设置备份密码,钥匙串将使用一个不可破解的硬件密钥进行安全加密。因此,在没有备份密码的情况下获取设备时,我们会自动设置一个临时密码(“123”)。(我们将在提取后将其重置)这让我们能够对无法访问的钥匙串数据进行解密。

64位设备(iPhone 5s、6/6s/Plus)中引入的Secure Enclave有效地将我们拒之门外,无论越狱状态如何,都无法访问硬件密钥。因此,物理获取过程可以提取但无法解密钥匙串,而没有密码的钥匙串数据备份同样无法访问。

我们通过使用iOS Forensic Toolkit在执行逻辑获取时设置临时密码(“123”)来解决这个问题。提取完成后,密码将重置为初始状态。由于受密码保护的iOS备份允许访问钥匙串,因此可以使用该密码成功解密钥匙串数据。

实际上还有更多——在每个新的iOS版本中,Apple只会将更多数据放入受密码保护的备份中(例如Safari浏览历史记录、健康记录等)。

iPhone备份:5大默认密码

macOS Big Sur中的备份

我们试图跟踪备份引擎的每一次更改,主要是在iOS设备上,而不是在主机系统(Windows或macOS)上。在macOS Big Sur中,备份加密选项确实令人困惑:

iPhone备份:5大默认密码

如果你切换到本地备份,你会得到以下结果:

iPhone备份:5大默认密码

请改用iOS Forensic Toolkit(如果你正在进行备份提取),我们将在我们的终端处理备份密码,以确保你可以获得大部分数据。

iPhone备份:5大默认密码

默认备份密码

以我们为例,其他移动设备取证供应商也开始设置临时备份密码。这是一个很好的举措。

以下是各种取证软件包设置的默认备份密码:

· Elcomsoft iOS Forensic Toolkit: 123

· Cellebrite UFED: 1234

· MSAB XRY: 1234

· Belkasoft Evidence Center: 12345

· Oxygen Forensic Detective: oxygen

· Magnet AXIOM: mag123

如果您正在分析通过所谓的“逻辑获取”获得的密码保护备份,但不知道密码是什么,请先尝试列表中的一个。如果它不起作用,你也可以尝试设备密码(你应该知道)或Apple ID的密码(令人惊讶的是,它经常起作用)。

iPhone备份:5大默认密码

恢复备份密码

如果备份密码不是默认密码,而是由设备所有者设置的,该怎么办?我们有一个全面的指南处理iPhone备份密码的四种方法。如果你别无选择,只能尝试破解它,我们有好消息给你:现在你可以使用NVIDIA RTX 3080或3090更快地完成破解。尽管如此,对于iOS 10.2及更高版本,我们能够达到的最大备份密码破解速度仅为每秒350个密码。相比之下,对于更早的iOS版本,破解速度能达到每秒超过22万个密码!但是它要比英特尔CPU上每分钟仅能尝试几个密码要好得多,并且允许在合理的时间内至少能破解简短的密码:7位数字,或单个大小写的6个字母,或5个大小写混合的字母和数字。

原文链接:

https://blog.elcomsoft.com/2020/12/iphone-backups-top-5-default-passwords/

参考链接:

https://blog.elcomsoft.com/2019/06/unusual-iphone-backups/

https://blog.elcomsoft.com/2016/08/ios-logical-acquisition-the-last-hope-for-passcode-locked-devices/

https://www.elcomsoft.com/eift.html

https://blog.elcomsoft.com/2020/07/4-ways-to-handle-iphone-backup-passwords/

https://blog.elcomsoft.com/2020/12/breaking-passwords-with-nvidia-rtx-3080-and-3090/

iPhone备份:5大默认密码
iPhone备份:5大默认密码

原文始发于微信公众号(数据安全与取证):iPhone备份:5大默认密码

版权声明:admin 发表于 2021年10月20日 上午9:00。
转载请注明:iPhone备份:5大默认密码 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...