O que isso significa para a comunidade forense digital

A extração completa do sistema de arquivos pode fornecer muito mais dados do que uma extração lógica. Isso inclui dados críticos, como e-mails completos, dados de aplicativos de terceiros, além de senhas, chaves e tokens armazenados no “KeyChain”. Além disso, um conjunto limitado de dados de BFU (Antes do primeiro desbloqueio) pode ser extraído de dispositivos bloqueados . Esses dados podem fornecer informações vitais para os investigadores.

A maioria dos fornecedores de ferramentas forenses digitais tem trabalhado ativamente para fornecer vários graus de suporte para extrair dispositivos checkra1n (usando um computador macOS ou Linux adicional para aplicar a infraestrutura padrão de jailbreak). Por Cellebrite em https://www.cellebrite.com/en/blog/ios-breakthrough-enables-lawful-access-for-full-file-system-extraction/

Aquisição de dispositivos iOS com checkra1n Jailbreak, por ElcomSoft

Artigo traduzido de https://blog.elcomsoft.com/2019/11/ios-device-acquisition-with-checkra1n-jailbreak/, ELCOMSOFT, empresa parceira. Abaixo segue a tradução do artigo.

Acabamos de anunciar uma grande atualização para o iOS Forensic Toolkit , agora com suporte a toda a gama de dispositivos que podem ser explorados com o jailbreak checkra1n inatacável . Por que o jailbreak do checkra1n é tão importante para a comunidade forense e que novas oportunidades na aquisição de dispositivos Apple apresentam para especialistas forenses? Descobriremos que tipos de dados estão disponíveis nos dispositivos AFU (após o primeiro desbloqueio) e BFU (antes do primeiro desbloqueio), discutiremos as possibilidades de aquisição de iPhones bloqueados e forneceremos instruções sobre a instalação do jailbreak checkra1n .

O checkra1n não se refere apenas aos iPhones. Testamos recentemente o checkra1n com o Apple TV 4 . Hoje é o dia de experimentar o novo jailbreak com o produto de pão com manteiga da Apple, o iPhone. Não se trata apenas de apoiar o novo jailbreak; tentaremos fornecer o máximo possível de informações úteis (e utilizáveis) aos profissionais de LE sobre a nova exploração, por que ela não pode ser corrigida pela Apple e quais são as implicações para o futuro.

Por que jailbreak?

Sempre nos fazem essa pergunta e acho que vale uma boa resposta. Em muitos casos, o jailbreak é o único portal para todas (ou a maioria ) das informações disponíveis nos dispositivos iOS e tvOS. A aquisição lógica é uma maneira fácil e segura; sempre funciona, e não há nada a perder. No entanto, a lógica fornece principalmente os mesmos dados que você pode obter por meio do aplicativo iTunes: um backup no estilo iTunes (que pode ou não ser criptografado), arquivos de mídia e alguns logs. Há muito mais dados armazenados no iPhone do que isso, mas isso não significa que você deva economizar na lógica. Aconselhamos sempre a fazer lógica primeiro, seguida pela extração do sistema de arquivos. Há também a nuvem, que você pode fazer a qualquer momento.

Como checkra1n é diferente

Jailbreaks sempre tiveram compatibilidade limitada. Os lançamentos de jailbreak sempre ficavam atrás dos lançamentos da Apple, possibilitando o jailbreak de versões anteriores do iOS, mas quase nunca a versão atual. O novo jailbreak checkra1n suporta uma ampla lista de dispositivos e versões do iOS, incluindo muitas versões do iOS 13. Esse também é o primeiro jailbreak desde o iPhone 4 que pode ser instalado em um dispositivo “frio” com uma senha desconhecida e usado para extrair alguns dados.

Ao contrário dos jailbreaks clássicos, como o Chimera  ou unc0ver , este é baseado em uma vulnerabilidade e exploração de bootrom. O checkra1n é potencialmente compatível com todas as versões do iOS, desde que executadas no hardware suportado. Mais importante, ele permanecerá compatível com os lançamentos novos e futuros do iOS, pois a vulnerabilidade de bootrom não pode ser corrigida pela Apple.

A lista de dispositivos suportados inclui o iPhone 5s, iPhone 6, iPhone SE, iPhone 6s, iPhone 7 e 7 Plus, iPhone 8, 8 Plus e iPhone X, além da maioria dos iPads baseados em SoC semelhante. O Apple TV HD (ATV4) e o Apple TV 4K, bem como potencialmente as séries 1, 2 e 3 do Apple Watch, também estão na lista.

As versões suportadas do iOS incluem oficialmente o iOS 12.3 e superior, até a versão atual do iOS 13. As versões mais antigas também devem ser suportadas, mas não foram testadas.

A última vez que vimos um exploit bootrom dessa escala foi em 2010 para o iPhone 4. O exploit limera1n nos permitiu ser o primeiro a realizar uma aquisição física completa (cópia física verdadeira, isto é, cópia com precisão de bits do armazenamento do iPhone, código de acesso além da extração da maioria dos dados sem uma senha).

Como instalar o checkra1n

O checkra1n é uma grande partida do procedimento testado e verdadeiro do Cydia Impactor. O que pode não ser ruim, já que o Cydia Impactor está quebrado há semanas. A versão inicial do checkra1n estava disponível apenas para o macOS. Hoje, existem versões do Windows e Linux disponíveis. No entanto, a compilação do macOS continua sendo a mais confiável e ainda recomendamos o uso do macOS para fazer o jailbreak e realizar aquisições, especialmente se você estiver realizando análises forenses móveis regularmente. Se você ainda não possui um Mac, pode ser uma adição valiosa ao seu arsenal. Se você estiver com orçamento limitado, qualquer modelo que possa executar o macOS Catalina (10.15) funcionará. Embora exista um conjunto limitado de ferramentas forenses móveis disponíveis no mercado (além do nosso software, podemos recomendar soluções BlackBag ), esse é um bom investimento.

Método 1

A instalação do checkra1n é bem diferente de qualquer outro jailbreak dos últimos anos. Não há necessidade de assinar e carregar de lado um arquivo IPA no dispositivo. Tudo o que você precisa fazer é iniciar o utilitário checkra1n, conectar o dispositivo ( recomenda-se o cabo USB-A para alinhamento ; algumas fontes dizem que o USB-C para ligação não funciona bem) e siga as instruções. O dispositivo deve estar no modo Normal (a menos que esteja bloqueado e a senha não seja conhecida), e o utilitário o coloca primeiro no modo de Recuperação (automaticamente) e, em seguida, você deve colocá-lo manualmente no modo DFU. Honestamente, é sempre uma dor e nunca funciona desde a primeira tentativa; no final, com algumas tentativas e erros, ele faz. Instruções para vários modelos disponíveis aqui:

Depois que o checkra1n reconhece o dispositivo no modo DFU, instala o jailbreak (leva apenas alguns minutos) e reinicia o iPhone. Agora você pode começar a usar o iOS Forensic Toolkit.

Método 2 (recomendado)

Existe uma maneira alternativa de instalá-lo, e posso dizer que é o melhor. Mesmo com alguns riscos (menores) envolvidos, recomendamos esse método alternativo, em vez do descrito acima, por dois motivos:

  • Não há necessidade de entrar no modo de recuperação primeiro.
  • Isso pode ser feito mesmo para dispositivos bloqueados com senha desconhecida.

Sem hora da GUI. Apenas mude para o modo DFU, abra o Terminal e execute os seguintes comandos (observe o traço à direita como parâmetro no segundo comando):

cd /checkra1n.app/Contents/MacOS/
./checkra1n_gui -

É isso, agora o dispositivo está com jailbreak.

Aquisição

Depois que o jailbreak estiver instalado, inicie o iOS Forensic Toolkit . Agora você pode executar a aquisição do sistema de arquivos, exatamente da mesma maneira que em todos os outros jailbreaks. Importante: quando solicitado o número da porta, digite 44 em vez do padrão 22. O novo número da porta é basicamente a única diferença, exceto a rotina da senha raiz. Enquanto a senha root ainda é “alpina”, a nova versão do EIFT poupa você do esforço de digitá-la, preenchendo-a automaticamente. (Se a senha root foi alterada, você ainda pode digitá-la manualmente).

Importante: o número da porta é 44.

Há outro ponto importante: se a senha de bloqueio da tela for desconhecida, as opções D (Desativar bloqueio) e K (Chaveiro) não estarão disponíveis (erro), e apenas F (Sistema de arquivos) funcionará. Além disso, se você não souber a senha de bloqueio da tela, apenas um conjunto muito limitado de dados estará disponível, veja abaixo. Para obter o sistema de arquivos completo (e o chaveiro), é necessário desbloquear o dispositivo e mantê-lo desbloqueado durante a aquisição.

Provavelmente é isso. A aquisição em si é tão simples quanto isso; você passará a maior parte do tempo instalando o jailbreak (do qual é necessário colocar o dispositivo no DFU) e analisando os resultados.

Com este novo jailbreak, você pode extrair o sistema de arquivos sem o EIFT ou software similar? Tecnicamente, você pode obter uma cópia do sistema de arquivos. No entanto, você não poderá descriptografar o chaveiro. O chaveiro contém muitas informações valiosas, como as credenciais do usuário para diferentes serviços, que variam de sites à redes sociais e contas de correio, além de chaves de criptografia para o Signal messenger , backups do WhatsApp e muito mais.

Os resultados

Primeiras coisas primeiro: esse jailbreak não pode ajudar na recuperação de senha . Como já observamos, alguns dados limitados podem ser obtidos em dispositivos bloqueados. Isso ocorre por design: no iOS, todos os arquivos podem ter diferentes classes de proteção. Enquanto os mais críticos são protegidos com o atributo “quando desbloqueado” (ou pelo menos o “após o primeiro desbloqueio”), alguns estão disponíveis antes do desbloqueio. Isso é necessário para o sistema inicializar, receber chamadas (mesmo quando o dispositivo é apenas reinicializado), processar solicitações de “Localizar minhas” e muito mais. Isso não cria um sério risco de segurança, pois o próprio dispositivo ainda permanece bloqueado. Com o novo jailbreak, todos esses arquivos são acessíveis antes do desbloqueio. Apenas para citar alguns:

Logs, preferences, profiles

  • /private/var/installd/Library/Logs/MobileInstallation/
  • /private/var/log/
  • /private/var/preferences/
  • /private/var/root/Library/Preferences/
  • /private/var/mobile/Library/Logs/
  • /private/var/mobile/Library/Preferences/
  • /private/var/mobile/Library/UserConfigurationProfiles/

System databases

  • /private/var/wireless/Library/Databases/CellularUsage.db
  • /private/var/wireless/Library/Databases/DataUsage.db
  • /private/var/root/Library/Caches/locationd/consolidated.db
  • /private/var/mobile/Media/Downloads/downloads.28.sqlitedb
  • /private/var/mobile/Library/ApplePushService/aps.db
  • /private/var/mobile/Library/FrontBoard/applicationState.db
  • /private/var/mobile/Library/TCC/TCC.db

Call log and iMessage/SMS (temporary databases)

  • /private/var/mobile/Library/CallHistoryDB/CallHistoryTemp.storedata
  • /private/var/mobile/Library/SMS/sms-temp.db

Voice mail

  • /private/var/mobile/Library/Voicemail/voicemail.db

Mencionei a lista de contas (/private/var/mobile/Library/Accounts/Accounts3.sqlite)? Não há senhas, mas você pode acessar algumas informações sobre o proprietário do dispositivo e todas as contas relacionadas usadas neste dispositivo.

Você também terá um histórico de conexões Wi-Fi, dispositivos Bluetooth emparelhados, WAL (write-ahead logs) para bancos de dados SQLite, arquivos WhatsApp * .log, a lista de contatos bloqueados e dezenas de várias listas; a lista completa de arquivos não criptografados ainda está para ser explorada e analisada.

Os melhores resultados, no entanto, podem ser alcançados apenas se o dispositivo estiver desbloqueado (a senha de bloqueio da tela não está definida ou é conhecida). Não ignore a descriptografia de chaveiro; você terá acesso a toneladas de senhas e tokens de autenticação, abrindo as portas para aquisição na nuvem com o Elcomsoft Phone Breaker para Apple iCloud e o Elcomsoft Cloud eXplorer para contas do Google.

Se você precisar analisar uma imagem do sistema de arquivos (arquivo .tar), tente o Elcomsoft Phone Viewer ou alguns dos pacotes forenses mais avançados, como o Oxygen Forensic Detective ou BlackBag BlackLight (pessoal, você ainda precisa fazer um trabalho melhor ao analisar “arquivos BFU ”); não podemos confiar em outras ferramentas devido a vários motivos que estão fora do escopo deste artigo.

Mais uma coisa

Recentemente, compartilhamos algumas dicas sobre o uso do iOS Forensic Toolkit no Windows e no macOS:

É altamente recomendável ler esses dois artigos para entender e evitar possíveis problemas (como o computador que está se conectando ao dispositivo iOS errado). Mais importante (não apenas para este jailbreak, mas em geral): antes da aquisição, desative todas as conexões Wi-Fi e Ethernet (!) No computador em que o EIFT está sendo executado e coloque o dispositivo iOS no modo avião . Eu não posso enfatizar isso o suficiente; se você não conseguir fazer isso de maneira simples no computador e no dispositivo iOS, todos os tipos de problemas estranhos podem (e provavelmente ocorrerão).

Há um pequeno problema com a extração de chaves ocorrendo apenas na edição do Windows. Está relacionado à conexão SSH aprimorada na nova versão (sem a necessidade de digitar a senha root). Você receberá o seguinte prompt (depois de selecionar a versão do iOS):

Please select the following action:
1. Forcefully dump keychain without unlocking
2. Wait until device is unlocked and dump keychain after that

No primeiro caso, o Toolkit tenta despejar o chaveiro “como está”, no estado atual do dispositivo; apenas um número muito limitado de registros será descartado. Com a segunda opção, o Kit de Ferramentas envia um comando para desbloquear o chaveiro (para receber todos os dados) e o iPhone mostra um prompt para inserir a senha. Nesse caso, você verá a mensagem Executando … após o desbloqueio, seguida por Pressione ‘Enter’ para continuar assim que o processo for concluído. O número de registros extraídos das categorias de chaves específicas não é impresso no console como na versão do macOS, mas não se preocupe, está tudo lá.

Uma palavra no modo restrito USB e emparelhamento

Se você estiver familiarizado com o modo restrito USB , poderá perguntar se isso afeta a capacidade de fazer o jailbreak com checkra1n e adquirir com o iOS Forensic Toolkit.

A resposta é sim, é verdade. No modo DFU, o dispositivo ainda está acessível, mesmo que o modo restrito do DFU tenha sido ativado; O checkra1n pode ser instalado e nenhuma senha é necessária. Depois que o jailbreak é instalado, a aquisição parcial (BFU) é possível e vale a pena prosseguir. No entanto, você ainda precisará da senha de bloqueio da tela para desbloquear o dispositivo e extrair o sistema de arquivos completo e o chaveiro.

E os registros de emparelhamento (bloqueio)? É possível adquirir se o dispositivo não estiver emparelhado?

Sim e não. Se você trabalha com um dispositivo com uma senha desconhecida e não consegue estabelecer um relacionamento confiável com o computador, a aquisição do sistema de arquivos ainda funciona no modo limitado . A extração de chaves não funciona. Não podemos nem carregar o utilitário de descriptografia de chaveiro no dispositivo; Para descriptografar o chaveiro, o dispositivo deve estar desbloqueado. Se o dispositivo estiver desbloqueado (a senha é conhecida ou não definida), você precisará estabelecer um relacionamento confiável para extrair e descriptografar o chaveiro.

Agradecimentos

Primeiro, muito obrigado a @ axi0mX , o pesquisador genial que descobriu a vulnerabilidade de bootrom e criou a exploração checkm8 . Essa é uma verdadeira inovação!

Os autores do checkra1n também fizeram um excelente trabalho! A lista de todos os envolvidos neste projeto está disponível em sua página da web. Obrigado pessoal, muito apreciado, continuem seu bom trabalho!

E por último, mas não menos importante, muito obrigado a Mattia Epifani , instrutora do SANS FOR 585 , coautora do Learning iOS Forensics e nossa boa amiga. Verifique sua conta no twitter para obter informações atualizadas sobre este tópico! Mattia, este trabalho não seria possível sem sua pesquisa, seu apoio e suas idéias.