如何对苹果设备进行云取证

云取证可以说是移动取证的未来发展方向，因为云端的存储信息量要远远大于设备上的信息量，而且对云端的取证可以不用考虑设备的好坏或是否能正常工作。

不过，要对云端进行访问，就必须得获取正确的身份验证凭证，比如登录名和密码，还有就是以二进制身份验证令牌形式缓存的凭证。如果没有身份验证凭证，肯定无法访问数据。然而，你以为有了正确的身份验证凭证，就可以访问存储在云中的证据了吗？与人们普遍认为的相反，即使获取正确的登录凭证，也不一定能对存储在云中的数据进行访问。本文中，我将告诉你如何访问存储在Apple iCloud中的数据。

前言

每次当有研究人员发布有关于云取证工具的更新时，都会引来很多评论。最新的例子是MacRumors的文章“极端情况下，ElcomSoft的最新版本可以访问iCloud中的iMessages”。此文一出，就有很多网友评论到：

· “这下iCloud都不安全了，攻击者可以随意访问我们的数据了。”；

· 还有人评论到“这就好比有人窃取了我的银行卡和密码，可以随意地在自动取款机上取钱一样。”； 

· 还有人评论到“如果有人获得你的Apple ID、密码就一定能够获得你的信息！”。

以上所有的评论，都有一个假设，就是如果一旦正确的凭证被获取，对方就可以肆无忌惮地访问云端的信息，对吧？

显然，没有一个用户尝试过这些假设是否能够实现。说到Apple的封闭式生态系统，拥有正确的身份验证凭证并不意味着你可以访问信息，更不用说“轻松访问”了。

为什么在云取证时，除了获得正确的身份验证凭证，你还需要借助额外的工具？

让我们从一个简单的测试开始，我会给你一个测试用的Apple账号的登录名（Apple ID）和密码，让你尝试从该帐户中提取你认为能提取的应用程序数据、密码和消息。假设我们都可以访问辅助身份验证因素，并且都知道测试设备的密码或系统密码。我将使用Elcomsoft Phone Breaker，而你可以使用任何你想要的东西（除了任何取证工具），看看谁能获得用户存储的数据。

第1步：使用登录名、密码和双因素身份验证对iCloud进行身份验证；

第2步：我将所有已同步的数据（包括密码和消息）下载到我的测试设备上。然后，我输入该测试设备密码，获得数据的时间总共花了1分52秒，其中就有获得的密码；

第3步：最后，我会获得一份备份（展示1 ，展示2）； 

以上是我获取数据的过程，现在轮到你了。你可以登录https://appleid.apple.com/在线查看密码和消息吗？不，你只能从Apple设备访问消息和密码。你需要一个备用的苹果设备来恢复iCloud备份，并同步密码和消息。

为此，你要备用iPhone，iPad或iPod Touch，并确保它运行最新版本的iOS。接着，你要进行设置，以恢复云备份，此时测试帐户的所有者会收到电子邮件警报，然后等待既可。通常为30分钟到几个小时）。此时，你要启用iCloud 钥匙串和消息同步，这样帐户持有者会收到另一个警报，然后等待既可。

设备设置完毕后，你可以通过设置逐个查看密码：

你可以通过消息应用程序访问消息，如果要将应用程序数据(iCloud备份)转储后进行离线分析，你必须先通过iTunes备份手机，然后才能处理该备份信息。（顺便说一下，你是否知道必须为该备份指定一个临时密码才能访问所有信息的操作吗？之后你需要对其进行解密，如果你不使用取证工具，这样做可能会很困难）。

注意：备份数据中，没有地图数据，因为此数据不会包含在本地备份中。如果你需要访问用户的地图数据，则必须使用Elcomsoft Phone Breaker或类似的取证工具。

如果要取证的设备有多个备份，你可能需要多次重复出厂设置的过程。

假如你能顺利获取自己想要的数据，那这个过程你花了多少时间？这是一次轻松的体验吗？ 

GDPR条款

你可能会想，利用今年新发布的GDPR条款，就可以在https://privacy.apple.com/上填写一个表格，然后就可以下载到苹果公司所知道的关于用户的所有信息。

而事实上，苹果公司按着GDPR条款列出的数据并非真正意义上的全部数据，下图显示了使用GRPR pulls导出的完整数据类别列表。

仔细观察，你会发现通过GDPR请求获取的信息中缺少两个主要类别的数据：

· 消息（SMS和iMessages）；

· iCloud 钥匙串（用户在线帐户的密码）；

苹果公司称，这些数据是通过一个密钥进行加密，而该密钥则由已注册设备的密码或系统密码保护。因此，用户或安全调查员无法通过GDPR请求访问这些类型的证据。

那么如果你要对消息和iCloud钥匙串进行访问，该怎么做呢？

如果你拥有正确的登录凭证，并且你对使用取证工具持怀疑态度，那么你就必须按着复杂的步骤才能达到访问目的。

1.找一个备用iOS设备(iPhone、iPad或iPod Touch)，该设备要与要取证的设备运行相同版本的iOS；

2.将备用的iOS设备还原到出厂设置，然后在备份的云资料中，将用户的Apple ID和密码进行恢复（可能需要30分钟到几个小时）；

3.通过iCloud钥匙串注册设备，并进行消息同步，注意：消息同步时需要已注册设备的密码或系统密码；

4.耐心等待设备同步密码和消息（可能需要几分钟到几个小时）；

5.如果你只需要获取特定的密码或消息，则可以在设备上手动访问它。但是，如果你需要分析所有密码或消息，则需要通过本地备份转储所有项；

6.将已经转储的设备连接到你的计算机，然后使用iTunes进行本地备份（注意，一定要记住设置的临时密码，这是访问密码时所必需的）。这个过程可能需要几分钟或几个小时，具体取决于设备的数据量；

7.不过目前没有苹果公司制作的软件可以处理iTunes备份，因此你需要第三方工具来解密和分析这些备份。

8.最后，你可以导出密码和消息；

总的下来，这个过程大概得花几个小时的时间。但是如果你使用取证工具呢？只需大约一分钟就完成了同样的任务。为此，我亲自测试了一下，大概是33秒，就可以提取密码。

然后获取消息的时间，大约是27秒。

现在，让我们继续接着聊GDPR所能提供的证据信息。除了消息（SMS和iMessages）和iCloud 钥匙串外，那剩下的数据是否就都能得到呢？ 苹果公司声称处理GDPR请求可能需要7天时间。

如果你能等得起，那就去等吧。如果着急用，我可以教你一些比较快速的获取方式。

通过政府请求的方式获得

执法部门长期以来一直能够通过政府请求的方式获取证据，对于Apple帐户来说，政府请求的数据主要包括两方面内容：帐户里保留的个人信息和帐户本身的信息（比如登录名、密码），所有请求均按照苹果公司的隐私政策处理。

不过在回复政府请求时，苹果公司都是以其专有格式提供信息，取证人员以加密形式接收信息。此时苹果只会提供解密密钥，而不提供解密工具。由于解密过程很复杂，许多专家都会选择使用Kleopatra或GPG等第三方工具，或购买Cellebrite或BlackBag等公司提供的解密服务。由于生成的解密数据采用的是二进制格式，因此需要借助更多工具来分析。

通过政府请求的方式获取数据的好处，是不需要知道用户的身份验证凭证。如果登录名和密码以及二进制身份验证令牌都不可用，则政府请求可能是获取信息的唯一方式。

不过这些都是政府在获取一般苹果设备的优势，在获取云端的内容时，政府请求的方式就具有许多缺点，比如：

1.需要大量的法律证据和支持；

2.只能申请调取案发以前的数据； 

3.这个过程很漫长，可能需要几周时间（除非你提出紧急请求）；

4.苹果公司以二进制格式提供加密数据，虽然还提供了解密密钥，但他们不提供解密密钥的工具。第三方工具和服务可用于帮助调查人员解密数据，这就会增加额外成本并延迟调查；

5.苹果公司不会提供消息或密码（iCloud 钥匙串），因为这些消息或密码还使用了不同的加密密钥进行加密。如果你需要，你必须使用Elcomsoft Phone Breaker或按照上面所述的步骤操作；

何时需要云取证工具

如果你决定不用云取证工具，那只能花费大量的时间，并使用备用的Apple设备来到达目的。而使用取证工具（比如Elcomsoft Phone Breaker），即使没有备用的Apple设备，也可以在很短的时间内（几分钟而不是几小时）完成相同的任务。

与使用备用设备来恢复iCloud相比，Elcomsoft Phone Breaker具有以下优势：

1.不需要备用的Apple设备；

2.可以访问已删除的项目（30内删除的照片和Safari书签都可以进行访问）；

3.更快的访问速度（以分钟而不是小时计算）；

4.选择性访问；

5.无需通过iTunes备份；

6.可以访问同一设备的先前备份资料，但如果在备用设备还原，则只能恢复同一设备的最后一次备份；

7.可以同时访问同一帐户上在其他设备的备份；

8.使用令牌而不是用户的Apple ID和密码进行身份验证；

9.没有或很少有电子邮件的提醒；

10.使基于SMS短信的双因素认证成为可能；

11.可以获取地图数据，但却不包含在本地备份中；

12.可以获取iCloud Drive文件（但也可以使用Mac或PC访问或使用EPB下载）

与GDPR请求方式相比，Elcomsoft Phone Breaker具有以下优势：

1.无与伦比的访问时间优势，只需几分钟而不是7天；

2.访问已删除的项目；

3.访问消息（需要已注册设备的密码或系统密码）；

4.访问iCloud 钥匙串的密码（需要已注册设备的密码或系统密码）；

与政府请求方式相比，Elcomsoft Phone Breaker具有以下优势：

1.减少法律的繁琐过程；

2.很快获得数据；

3.使用内置解密简化分析过程；

4.访问消息（需要已注册设备的密码或系统密码）；

5.访问iCloud钥匙串的密码（需要已注册设备的密码或系统密码）；