SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Seminarski rad u okviru predmeta „Računalna forenzika“

2016./2017.

iOS forenzika

Nejra Muslić

0036476015

Zagreb, siječanj 2017. godine

Sadržaj

1 Uvod ..................................................................................................................... 2

2 Općenito o iOS operacijskom sustavu ................................................................. 3

3 Ekstrakcija podataka iz iOS uređaja ..................................................................... 4

3.1 Slanje uređaja Apple-u .................................................................................. 6

3.2 Fizička slika uređaja ...................................................................................... 6

3.3 Ekstrakcija podataka putem iTunes rezervne pohrane ................................. 7

3.4 Preuzimanje informacija s iCloud-a ............................................................. 10

3.5 Jailbreak ...................................................................................................... 10

4 Važni dokumenti ................................................................................................. 10

4.1 App store aplikacije ..................................................................................... 10

4.2 Rječnik korisničkih zapisa ........................................................................... 11

4.3 SMS poruke ................................................................................................ 11

4.4 Kolačići preglednika .................................................................................... 12

4.5 Povijest pretraživanja .................................................................................. 12

4.6 Ostale datoteke ........................................................................................... 12

5 Zaključak ............................................................................................................ 13

Literatura ................................................................................................................... 14

2

1 Uvod

Kombinirajući mogućnosti mobilnog uređaja, kamere, navigacije i multimedije, iOS je

jedan od najpopularnijih mobilnih operacijskih sustava.

Korištenjem nekih od metoda za ekstrakciju podataka iz iOS uređaja moguće je izvršiti

forenzičku analizu podataka. Metode funkcioniraju različito na različitim verzijama iOS

operacijskog sustava zbog različitih sigurnosnih mehanizama.

S pojavljivanjem novijih iOS uređaja, iOS forenzika je postala mnogo teža. Više nije

moguće zaobići lozinku u uređajima s novijim verzijama iOS-a. Sa svakom novom

verzijom operacijskog sustava Apple povećava razinu enkripcije.

U budućnosti bi iOS forenzika mogla postati nemoguća zbog naprednih sigurnosnih

karakteristika iOS operacijskog sustava.

3

2 Općenito o iOS operacijskom sustavu

IOS je mobilni operacijski sustav kojeg je razvila tvrtka Apple. Mnogi mobilni uređaji su

upogonjeni ovim operacijskim sustavom: iPhone, iPad i iPod touch. To je drugi

najpopularniji mobilni operacijski sustav nakon Android-a.

2007. godine je nastao prvi uređaj s iOS operacijskim sustavom – iPhone. Trenutna

najnovija verzija iOS operacijskog sustava je iOS 10, objavljena 13. rujna 2016. godine.

Uređaji s iOS 10 verzijom su: iPhone 5 i novije verzije iPhone-a, iPad (četvrta generacija)

i novije verzije, iPad Pro, iPad Mini 2 i novije verzije, te šesta generacija iPod Touch-a.

iOS ima 4 sloja apstrakcije:

Core OS

Core usluge

Media

Cocoa Touch

IOS korisničko sučelje zasnovano je na direktnoj manipulaciji koristeći višestruke dodire.

Na slici 1. prikazan je iOS 10 na iPhone 7 uređaju.

Slika 1. iOS 10 na iPhone 7 uređaju

4

3 Ekstrakcija podataka iz iOS uređaja

Razbijanje lozinke na iOS uređaju ovisi o instaliranoj verziji iOS-a kao i o verziji hardvera.

Forenzička analiza na starijim verzijama iOS-a je bila mnogo lakša. IOS uređaji su koristili

A4 čip (iPhone 4, iPad) i bilo je moguće jednostavno stvoriti fizičke slike uređaja. Pomoću

fizičke slike je moguće pristupiti podacima spremljenim na uređaju. Kako je vrijeme

odmicalo, postalo je sve teže dobiti potpunu fizičku sliku iz mobilnih uređaja. Češći pristup

je dobivanje rezervne kopije podataka ili logička ekstrakcija dijelova podataka iz uređaja.

Počevši od verzije A5 Apple-ovih čipova (iPhone 4S, iPad 2) za dobivanje fizičke i/ili

logičke slike uređaja je potrebna lozinka i jailbreak softver ili uređaj koji je prethodno

jailbreak-an od strane korisnika.

Forenzičar Devon Ackerman je napravio popis dostupnih rješenja za određene iOS

uređaja što je prikazano na slici 2.1

1Devon Ackerman, „iOS Device Dashboard“, https://docs.google.com/spreadsheets/d/1zAqSSiLZ-Fw6RrXg7qegkxbE7ejXI_mpxQre_ybWRWw/edit#gid=0, (04.01.2017.)

5

Slika 2. Prikaz dostupnih rješenja za različite iOS uređaje

6

Neke od metoda za ekstrakciju forenzičkih podataka iz iOS uređaja su:

slanje uređaja Apple-u,

fizička slika uređaja,

rezervna kopija podataka,

preuzimanje informacija s iCloud-a,

jailbreak odnosno isključivanje zaštitnih modula.

3.1 Slanje uređaja Apple-u

Ova metoda dostupna je policijskim službenicima i to samo za iOS verzije starije od iOS

8. Uvođenjem verzije iOS 8, Apple iznosi u izjavi o privatnosti da je novi sustav toliko

siguran da mu čak ni oni ne mogu pristupiti ako ne znaju ispravnu lozinku. Stoga je

moguće dobiti forenzičke podatke samo ako je lozinka poznata. Apple je 15. lipnja 2015.

objavio da je 83% iOS uređaja na verziji iOS 8. Na slici 3. je prikazana navedena

statistika.

Slika 3. Statistika iOS sustava na korisničkim uređajima

3.2 Fizička slika uređaja

Pomoću ove metode moguće je analizirati SMS-ove, popis poziva, događaje u kalendaru,

slike, kontakte, povijest pretraživanja i email račune. Kako bi se prikupili dokazi koristeći

ovu metodu, potrebno je povezati iOS uređaj s uređajem na kojem je pokrenuta jedna od

aplikacija za ekstrakciju podataka.

7

Ova metoda funkcionira samo za 32-bitne uređaje na kojima je već izvršen jailbreak ili za

32-bitne otključane uređaje na kojima forenzičar može izvršiti jailbreak. U odnosu na

Android, relativno mali broj korisnika Apple-a instalira jailbreak.

3.3 Ekstrakcija podataka putem iTunes rezervne pohrane

Ako je lozinka poznata ili postoji način da se sazna, istraživači mogu kreirati rezervnu

kopiju podataka putem iTunesa. Za analiziranje rezervne kopije podataka postoji nekoliko

ograničenja:

Stavke iz međuspremnika nisu dostupne.

Ako je na uređaju podešeno da kreira rezervnu kopiju zaštićenu lozinkom,

mijenjanje te lozinke nije moguće bez poznavanja trenutne lozinke. Apple2 je u

službenom saopćenju naveo: „Ako ste zaboraviti svoju lozinku za rezervnu kopiju

podataka, jedini način da se isključi enkripcija rezervne pohrane na uređaju je da

se obrišu svi podaci s uređaja“. Drugim riječima, resetiranje lozinke nije moguće

ako lozinka nije poznata.

Neki tajni podaci neće biti dostupni ako rezervna kopija podataka nije zaštićena

lozinkom.

Podatke bi trebalo povući s uređaja na koji se iOS uređaj inače povezuje za ažuriranja ili

sinkronizaciju aplikacija, audio i video zapisa. Najčešće je to MacOS ili Windows uređaj.

Ako korisnik nije drugačije odredio, iTunes obavljanja automatsku pohranu rezervnih

podataka tijekom sinkronizacije ili ažuriranja iOS operacijskog sustava. Ovisno o

operacijskom sustavu, rezervni podaci bit će spremljeni na sljedećim lokacijama:

2 „About encrypted backups in iTunes“, Apple, https://support.apple.com/en-

gb/HT205220, (05.01.2017.)

8

Na Mac operacijskom sustavu -

/Users/<username>/Library/ApplicationSupport/MobileSync/Backup

Na Windows operacijskom sustavu:

/Users<username>AppDataRoamingApple ComputerMobileSyncBackup

Korijenski direktorij rezervne kopije podataka sadrži datoteke:

Info.plist,

Status.plist

Manifest.plist,

Manifest.db.

Datoteka Status.plist sadrži podatke o zadnjoj rezervnoj pohrani podataka: datum,

verziju, stanje i da li je rezervna pohrana potpuna. Na slici 4. prikazan je sadržaj datoteke

Status.plist.

Slika 4. Sadržaj datoteke Status.plist

9

Datoteka Info.plist sadrži podatke kao što su naziv telefona, telefonski broj, serijski broj i

verzija OS-a. Pomoću njih je moguće potvrditi da rezervna pohrana podataka odgovara

uređaju. Na slici 5. je prikazan sadržaj datoteke Info.plist.

Slika 5. Sadržaj datoteke Info.plist

Manifest.plist sadrži meta podatke o rezervnim podacima. Na slici 6. prikazan je sadržaj

datoteke Manifest.plist

Slika 6. Sadržaj datoteke Manifest.plist

10

Datoteka Manifest.db u starijim verzijama iTunes-a nije bila kriptirana, ali nova verzija

dojavljuje grešku s formatom. Datoteku je moguće analizirati putem HEX editora ili

pomoću iPhone Backup Browser-a. Sadrži instalirane aplikacije, broj i nazive datoteka

aplikacije, verziju i datum posljednjeg ažuriranja.

3.4 Preuzimanje informacija s iCloud-a

ICloud je cloud usluga dostupna Apple-ovim korisnicima. Spremnik veličine do 5 GB je

dostupan besplatno, a moguće je kupiti spremnik veličine do 50 GB.

Apple je dizajnirao zgodan sustav za rezervnu kopiju uređaja na cloud. Rezervne kopije

se stvaraju automatski svaki put kada se zaključan uređaj puni i dok je povezan na

poznatu Wi-Fi mrežu. Sva tri uvjeta moraju biti zadovoljena. Statistika o korisnicima

iCloud usluge iz 2012. godine navodi da 33% njihovih korisnika koristi iCloud. Cloud

rezervne kopije podataka sadrže iste informacije kao i iTunes offline rezervne kopije.

Informacije s iCloud rezervne kopije podataka mogu direktno preuzeti policijski službenici.

Također je moguće preuzeti informacije s nekim od forenzičkih programa, primjerice

Elcomsoft Phone Breaker ako su poznati korisnički Apple ID i lozinka ili ako je poznat

token binarne autentifikacije s korisničkog računala.

3.5 Jailbreak

Jailbreak je tehnika s kojom se mijenja firmware particija s hakiranom verzijom nakon

čega ispitivač može instalirati alate na uređaj koji inače ne bi bili dozvoljeni. Neki od tih

alata su SSH i Terminal. Uvođenjem novijih iOS verzija jailbreak postaje sve teži.

4 Važni dokumenti

IOS operacijski sustav sprema vremena uređivanja, pristupa, mijenjanja i kreiranja

datoteka. Neke datoteke su spremljene u tekstualnom, XML ili binarnom, a ostale su

spremljene u SQLite bazi podataka.

4.1 App store aplikacije

11

Kad je aplikacija instalirana stvara se novi direktorij u private/var/Mobile/Applications

mapi. Ovaj direktorij sadrži 32 znaka dug alfanumerički jedinstveni identifikator koji je

konzistentan na svim iOS uređajima. Svaki direktorij aplikacije će imati nekoliko

zajedničkih poddirektorija :

„documents“ direktorij za sve važne datoteke

„temp“ direktorij za privremene datoteke

„library“ direktorij za postavke i podatke iz međuspremnika

4.2 Rječnik korisničkih zapisa

Dinamički rječnik je tekstualna datoteka dynamic-text.dat i nalazi se u

/private/var/mobile/Library/Keyboard direktoriju. Svaka riječ koju korisnik unese putem

aplikacija: Notes, Safari, Messages, Facebook i sličnih aplikacija koje dozvoljavaju unos

teksta je zapisana u ovu datoteku. Svrha datoteke je pomoć korisniku u tipkanju.

Nažalost, ne postoji vremenska oznaka u rječniku.

Zanimljiva za forenzičku istragu je i UserDictionary.sqlite baza podataka. Ona sadrži

korisnikove ručne ispravke za auto-correct.

4.3 SMS poruke

U direktoriju /private/var/mobile/Library/SMS je moguće pronaći sms.db datoteku. U njoj

se nalaze postojeći i obrisani razgovori. Baza podataka ima 6 tablica od kojih su

najvažnije za forenzičku istragu „message“ I „msg_pieces“.

Tablica „message“ sprema svaku poruku u jedan zapis. Za svaki poruku su spremljeni

datum, broj telefona, sadržaj poruke i informacija o tome da li je poruka poslana ili

primljena (zastavica 3 ako je poslana odnosno 2 ako je primljena). Zastavica read će imati

vrijednost 1 ako je poruka poslana.

12

4.4 Kolačići preglednika

Safari kolačići se nalaze u datoteci cookies.binarycookies u direktoriju

/private/var/mobile/Library. Kako bi se datoteka mogla čitati, potrebno ju je otvoriti s HEX

editorom. Datoteka se sastoji od zaglavlja te jedne ili više stranica. Na svakoj stranici se

nalazi jedan ili više kolačića. (Miyake, 2011)

4.5 Povijest pretraživanja

Povijest pretraživanja Safari preglednika nalazi se u datoteci RecentSearches.plist u

direktoriju /private/var/mobile/Library/Caches/Safari. Datoteka je u XML formatu.

4.6 Ostale datoteke

Pored ovih informacija moguće je i istražiti datoteke u kojima se nalazi telefonski imenik,

povijest poziva ili geografska lokacija.

13

5 Zaključak

IOS uređaji čuvaju veliku količinu podataka o korisničkim aktivnostima.

Pomoću različitih metoda forenzičari mogu doći do ovih podataka te im oni mogu pomoći

u istrazi. Neke od tih metoda su: slanje uređaja Apple-u, fizička slika uređaja, rezervna

kopija podataka, preuzimanje informacija s iCloud-a i jailbreak odnosno isključivanje

zaštitnih modula.

IOS operacijski sustav sprema vremena uređivanja, pristupa, mijenjanja i kreiranja

datoteka. Neke datoteke su spremljene u tekstualnom, XML ili binarnom, a ostale su

spremljene u SQLite bazi podataka. Neke od važnih informacija koje iOS sprema u

datotekama su: App store aplikacije, rječnik korisničkih zapisa, SMS poruke, kolačići

preglednika, povijest pretraživanja, telefonski imenik, povijest poziva i geografska

lokacija.

14

Literatura

Web poveznice

[1] Wikipedia: iOS

https://en.wikipedia.org/wiki/IOS (27. prosinac 2016.)

[2] The Future of Mobile Forensics: November 2015 Follow-Up

https://articles.forensicfocus.com/2015/11/04/the-future-of-mobile-forensics-

november-2015-follow-up (5. siječnja 2017.)

[3] Acquiring iOS 10 Devices with BlackLight

https://www.blackbagtech.com/blog/2016/07/15/acquiring-ios-10-devices-with-

blacklight (5. siječnja 2017.)

[4] HackediOS.com - iOS Forensics Tools

https://hackedios.com/ios-forensics-tools (09. siječnja 2017.)

[5] Forensic Analysis on iOS Devices

https://www.sans.org/reading-room/whitepapers/forensics/forensic-analysis-ios-

devices-34092 (09. siječnja 2017.)

[6] ITunes backup analysis

http://randomforensics.com/2012/11/20/itunes-backup-analysis (11. siječnja

2017.)

Slike

[1] To illustrate the default layout and configuration of the iOS 10 homescreen as released

by Apple on an iPhone 7, digitalna slika, (10.01.2017.), www.apple.com

[2] Itunes backup analysis, digitalna slika, (10.01.2017.),

http://randomforensics.com/2012/11/20/itunes-backup-analysis/

[3] We believe security shouldn’t come at the expense of individual privacy, digitalna slika,

(10.01.2017.), https://www.apple.com/privacy/government-information-requests/