Comments 27
А вы только про Apple пишете?
Я плаваю в вопросе, поэтому спрошу. Что имеется в виду под анализом, в каких ситуациях он может потребоваться и кому?
Правоохранительным органам в первую очередь. Например, переписка Telegram в резервную копию не попадает; её можно вытащить из устройства, только скопировав файловую систему полностью.
Это можно сделать, не зная пароль?
Нет, джейл можно поставить только зная пароль (пасскод) от телефона, к счастью (или для силовиков — к сожалению). Способы извлечения данных их заблокированного телефона в принципе существуют (у Cellebrite и GrayShit), я думаю мы отдельно об этом напишем — хотя информации крайне мало.
Просмотренные чаты в телеграмме отображаются даже при отключенном интернете — соответственно они хранятся на телефоне. Без пароля к аккаунту Телеграмма, зайти и посмотреть новые сообщения не выйдет, но вот посмотреть то, что уже «зекешировано» на телефоне можно получив полный доступ к ФС.
UPD. Из-за того что для установки джейлбрейка всё-равно нужен пароль к телефону, выходит, что проблема только в том случае если джейлбрейк установлен без вашего ведома, ну или если вы его поставили сами, а потом телефон у вас «ушел к спец-службам»
UPD. Из-за того что для установки джейлбрейка всё-равно нужен пароль к телефону, выходит, что проблема только в том случае если джейлбрейк установлен без вашего ведома, ну или если вы его поставили сами, а потом телефон у вас «ушел к спец-службам»
Ну, «проблемы» мы пока не затрагивали — об этом ещё будем писать. Именно *пользователям* я ставить джейл категорически не рекомендую, в любом случае. Здесь речь пока только об извлечении данных, причём в ситуации когда пасскод не установлен или известен.
Так а какой алгоритм работы? Вам приносят телефон с паролем. Вы ставите rootless джейлбрейк. Делаете дамп данных. Возвращаете телефон?
А есть какие то контрольные подписи на дамп? Что если туда кто то добавит «лишнюю», информацию, которой изначально, не было.
А есть какие то контрольные подписи на дамп? Что если туда кто то добавит «лишнюю», информацию, которой изначально, не было.
Начнём с того, что нам ничего не приносят :) Мы услуги не оказываем, мы только делаем софт.
Но, ещё раз — если телефон с паролем и он неизвестен (и нет способов его получить), то джейл никак не поставить.
Что касается контрольных сумм или подписей — отличный вопрос, спасибо. Ни у кого на рынке форензик-софта нет и не может быть такого решения (чтобы гарантировать неизменность данных), для iPhone по крайней мере (для некоторых аппаратах Android это в принципе возможно). Но легальные аспекты — это тоже не к нам. Да, в суде невозможно доказать, что снятая с телефона информация в точности соответствует тому, что реально (было) в телефоне. Однако, речь идёт в основном об ОРД.
Но, ещё раз — если телефон с паролем и он неизвестен (и нет способов его получить), то джейл никак не поставить.
Что касается контрольных сумм или подписей — отличный вопрос, спасибо. Ни у кого на рынке форензик-софта нет и не может быть такого решения (чтобы гарантировать неизменность данных), для iPhone по крайней мере (для некоторых аппаратах Android это в принципе возможно). Но легальные аспекты — это тоже не к нам. Да, в суде невозможно доказать, что снятая с телефона информация в точности соответствует тому, что реально (было) в телефоне. Однако, речь идёт в основном об ОРД.
UFO just landed and posted this here
Да, считать содержимое памяти — не проблема. Но оно действительно зашифровано, начиная с iPhone 4 (iOS 4), причём если для 32-битных устройств (iPhone 4, 4S, 5, 5C) теоретическая возможность расшифровки есть, то начиная с iPhone 5S — без шансов, спасибо Secure Enclave.
Насколько безопасно продавать сброшенный айфон и несброшенный, но утопленный? Есть ли у злонамеренных покупателей возможно забрать данные? Речь идет о логинах и паролях, взлом переписки и фото — не беспокоит.
Сброшенный — абсолютно безопасно. Весь контент зашифрован, а при сбросе надёжно стираются ключи шифрования, до данных добраться абсолютно невозможно.
Несброшенный, но утопленный — вот тут огромные риски. Очень многие «утопленники» оживляются, какие-то проще (достаточно полной переборки, очистки контактов и ряда других процедур), другие сложнее (требуется перепайка некоторых компонентов).
Несброшенный, но утопленный — вот тут огромные риски. Очень многие «утопленники» оживляются, какие-то проще (достаточно полной переборки, очистки контактов и ряда других процедур), другие сложнее (требуется перепайка некоторых компонентов).
Здравствуйте! Спасибо за статью.
У вас в статье приведено деление JB на классические и Rootless. Честно я впервые вижу такое деление и привык к делению на непривязанный (untethered jailbreak) и привязанный джейлбрейк (tethered jailbreak). Я могу предположить что это одно и тоже, только у вас своя терминология. Так?
У вас в статье приведено деление JB на классические и Rootless. Честно я впервые вижу такое деление и привык к делению на непривязанный (untethered jailbreak) и привязанный джейлбрейк (tethered jailbreak). Я могу предположить что это одно и тоже, только у вас своя терминология. Так?
Вам спасибо за отзыв и вопрос!
Нет, это не связаненые друг с другом вещи. Tethered/untethered означает всего лишь, сохраняется ли джейл после перезагрузки устройства; есть ещё semi-tethered (или semi-untethered), когда сохраняется ли частично, то есть надо будет перезапустить программу.
Rootless jailbreak — очень интересная тема. Он вносит минимальные изменения в системный раздел, оставляя его read-only; не включает Cydia; не позволяет запускать сторонний приложения без дополнительных манипуляций (правки trusted cache), так что в целом значительно стабильнее, безопаснее и надёжнее. Подробнее можно почитать в нашем блоге на сайте:
blog.elcomsoft.com/ru/2019/02/novyj-klass-jailbreak-dlya-ios-teper-rootless
Нет, это не связаненые друг с другом вещи. Tethered/untethered означает всего лишь, сохраняется ли джейл после перезагрузки устройства; есть ещё semi-tethered (или semi-untethered), когда сохраняется ли частично, то есть надо будет перезапустить программу.
Rootless jailbreak — очень интересная тема. Он вносит минимальные изменения в системный раздел, оставляя его read-only; не включает Cydia; не позволяет запускать сторонний приложения без дополнительных манипуляций (правки trusted cache), так что в целом значительно стабильнее, безопаснее и надёжнее. Подробнее можно почитать в нашем блоге на сайте:
blog.elcomsoft.com/ru/2019/02/novyj-klass-jailbreak-dlya-ios-teper-rootless
Не за что)
После прочтения данной статьи у меня сложилось впечатление, что можно взять привязанный джейлбрейк (tethered jailbreak) и врезать из него все что он доставляет (включая Cydia) кроме SSH и это и будет вариация rootless.
Но я соглашусь, что на последних версиях iOS для создания вариации rootless нужно меньше уязвимостей, меньшей критичности.
После прочтения данной статьи у меня сложилось впечатление, что можно взять привязанный джейлбрейк (tethered jailbreak) и врезать из него все что он доставляет (включая Cydia) кроме SSH и это и будет вариация rootless.
Но я соглашусь, что на последних версиях iOS для создания вариации rootless нужно меньше уязвимостей, меньшей критичности.
В смысле, «вырезать»? Нет, перечисленного недостаточно. Одно из ключевых отличий rootless-джейла от «классического» — rootless не ремаунтит файловую систему и не даёт доступ на запись к системному разделу. Для этого, вообще говоря, уязвимости и не нужны, но операция сложная и небезопасная; мы сталкивались со случаями, когда джейл (классический) фейлился именно на этом этапе, и телефон практически окирпичивался. Перепрошить систему с нуля можно (не затрагивая пользовательский раздел), но только на версию, которая подписывается Apple, и обучно это одна (иногда две, очень редко три) последних, и джейлов для них нет. Откатиться на более старую версию невозможно.
Тоесть убрать из привязанного джейлбрейка (tethered jailbreak) функциональность отвечающую за mount и соотвественно стадию установки софта. Смысл в том что сделать из более мощного JB, менее мощный.
Да, теоретически можно (исходники того же unc0ver для iOS 11.0-12.2 есть), конечно! Но смотря какая цель ставится. Для нас (работающих на forensic-рынке) это в принципе полезно; для пользователя — ну, если джейл реально нужен, но хочется минимизировать риски (поскольку классический джейл предоставляет практически полный доступ к системе, ну и соответственно малвари всякой).
Я абсолютно с вами согласен. Просто хотел этот вопрос у себя в голове систематизировать.
Еще раз спасибо за материал!
Еще раз спасибо за материал!
а как вы его включите то? там же пин вроде сразу
RootlessJB позволяет отправлять команды через терминал? Допустим поменять TTL?
RootlessJB позволяет получить полный доступ к файловой системе iPhone через ssh. А дальше делайте что хотите :) С одним замечанием: системный раздел монтируется read-only, поэтому чтобы править *системные* файлы — придётся писать свою программу, причём чтобы её запустить — понадобится самостоятельно прописать её в trusted cache.
Sign up to leave a comment.
Использование джейлбрейка для извлечения данных: риски и последствия