​极客必知:iPhone备份番外篇

xiaohui Web安全 2019年7月16日发布
Favorite收藏

导语:在本文中,我们试图介绍我们所知道的关于iTunes备份加密的所有内容,以帮助你以最有效的方式破解或重置这些密码。

如果你长期混迹于密码破解的第一线,那么就非常清楚破解相同内容的不同文件格式对破解的速度的影响是非常大的。例如,破解保护RAR文档密码所需的时间是破解具有相同内容的ZIP文档密码的十倍,而破解保存在Office 2016中的Word文档需要的时间是破解Office 2010文档的十倍。对于对300多种文件格式和加密算法的破解测试,我们发现iTunes备份的加密性是最棒的,破解难度是最大的。而且,iTunes的加密方式在一些方面与其他程序非常不同。在本文中,我们试图介绍我们所知道的关于iTunes备份加密的所有内容,以帮助你以最有效的方式破解或重置这些密码。

什么是iTunes备份

苹果的iPhone拥有所有竞争平台中最令人惊叹的备份系统,关于iOS备份的一些基本信息可以在苹果的iOS设备备份中找到。虽然iOS备份包含很多数据,但它们并不包含所有内容。比如,iTunes备份不包括:

1.来自iTunes和App Stores的内容,或直接下载到Apple Books的PDF;

2.与iTunes同步的内容,如导入的mp3或CD、视频、书籍和照片;

3.已经存储在iCloud中的数据,如iCloud照片、imessage、文本(SMS)和多媒体(MMS)消息;

4.Face ID或Touch ID设置;

5.Apple Pay信息和设置情况;

6.苹果邮件信息;

7.活动状况、健康状况和钥匙串数据(要备份此内容,你需要在iTunes中使用加密备份);

苹果知识库中有更多关于备份的文章,推荐以下3篇:

1.如何备份iPhone、iPad和iPod touch

2.找到iPhone、iPad和iPod touch的备份

3.通过备份中恢复你的iPhone、iPad或iPod touch

因此,基本上,本地备份几乎包含了恢复现有iPhone或设置新iPhone所需的所有内容。将文件和设置传输到另一台设备既快捷又简单,更换手机后的体验和使用旧iPhone没什么不同。

以上我们说过,iTunes备份不包含7项备份内容,这就会造成新的设备丢失一些重要的数据。除此之外,备份数据时,还会丢失一些重要数据,究竟是哪些数据?稍后我们会详细介绍。

备份内容:技术方面

传统上,计算机备份是由一个特殊的程序创建的,该程序会枚举特定位置的所有文件,压缩它们后并将数据存储在一个巨大的“文档”中(通常附带一个索引)。

不过,这在iphone上是行不通的。除了媒体(照片和视频) 之外,连接iPhone的电脑也无法访问设备上的任何特定文件。原因有很多,其中最重要的是安全性和数据完整性。

那么iphone的备份过程是个怎样的过程呢?备份是在设备内部生成的。你在桌面上运行的程序,无论是iTunes还是其他应用程序,只会向iPhone发送命令(通过USB端口或Wi-Fi)。然后,在iOS上运行的一项特殊服务通过文件系统(除了许多特定的域),收集数据并将数据发送回“主机”计算机。我们需要“主机”计算机做什么? 它用于接收数据并将数据保存到硬盘上的文件中。

iTunes备份以一种不同寻常的方式存储数据,即使iOS 13不再有iTunes, macOS 10.15 beta版也表明备份将保持不变,只是创建方式略有不同而已。简而言之,iTunes备份只是iOS文件系统部分的部分副本,但你不会看到任何熟悉的文件和文件夹。相反,备份中的文件名实际上是实际名称的散列(带有路径),并带有某种索引(作为数据库)和一些额外的元数据。

1.jpg

苹果没有提供任何工具来支持iOS备份,你所能做的就是在新设备上恢复备份,仅此而已。当然,有几个第三方工具可以浏览备份内容,并从中导出选定的数据,例如Elcomsoft Phone Viewer(实际上它的功能远不止于备份)。

2.png

iTunes备份:加密和密码

最后,我们来谈谈密码!在iOS系统中,备份密码是不存在的,原因有三:

1.与其他文件格式类似;

2.iTunes备份可以用设备的密码保护;

3.更多关于iTunes中加密备份的信息,请点此

简而言之,在ios11或更高版本中,你可以通过重置密码为设备进行新的加密备份。下面是具体步骤:

1.在iOS设备上,进入“设置”>“常规”>“重置”;

2.点击重置所有设置并输入你的iOS密码;

3.按照步骤重置一遍,这不会影响你的用户数据或密码,但会重置显示亮度,主屏幕布局和壁纸等设置。除此之外,它还会删除你加密的备份密码。

4.再次将你的设备连接到iTunes并创建一个新的加密备份;

不过有一点要注意,那就是加密的iTunes备份与其他任何加密文件都不同。

首先,备份密码不仅仅是备份设备本身的属性,而备份密码本身也是设备的一个特定属性。一旦设置了密码,这个密码就会存储备内部的某个位置。当被要求执行设备备份时,iTunes只向设备发送一条命令,而在iOS上运行的特殊服务会返回加密的数据流。加密完全在设备上进行,而不是主机上。如果你将设备连接到另一台计算机,并使用iTunes或第三方工具,则将使用完全相同的密码创建备份。如果你要修改密码,除非知道旧密码。

如果你真的忘记了旧的备份密码,该怎么办?毕竟,备份密码不是你经常输入的内容,忘记了也正常。首先,如果你在运行macOS的计算机上加密备份,很有可能密码保存在macOS钥匙串中(在“iOS备份”记录中),并且可以使用钥匙串实用程序轻松地从中提取密码。

其次,你可以尝试使用字典或暴力攻击来破解密码(例如使用Elcomsoft Phone Breaker)。不过,从iOS 10.2开始,加密就非常强大,即使使用现代显卡,你的密码恢复速度也会非常有限,使用高端GPU加速器每秒最多只能恢复200个密码。这使得长而复杂的密码实际上是不可破解的。我们的建议是,根据你能想到的特定用户的所有密码,以及系统中存储的其他密码(例如,在Web浏览器中),创建有针对性的词典/单词列表,这些可以使用Elcomsoft Internet Password Breaker提取。

最后,如果你仍然持有进行了iTunes备份的设备,你可以试着重置一下密码,具体过程,我们会在下面进行讲解。

如果你忘记了备份密码,又需要在新设备恢复备份时,我们会碰到很多意外的情况,比如,有时所设置的密码是在iOS用户不知情的情况下设置的。

备份和钥匙串

iPhone备份密码不同寻常的另一个原因是拥有钥匙串,有密码保护的iTunes备份和没有密码的备份确实有很大的区别,对于破解专家来说,有密码保护的备份比没有密码的备份更有价值。关于备份加密,苹果公司的解释如下:

iTunes的加密备份功能可以锁定和编码你的信息,加密的iTunes备份可以包括未加密的iTunes备份不包括的信息,比如:

1.你保存的密码;

2.无线网络设置情况;

3.网站浏览历史;

4.健康数据;

第一项信息是最重要的,不管苹果怎么说,保存的密码也包含在未加密的备份中。但问题是,它们是用特定于硬件的密钥加密的。这意味着,你只能将这样的备份在同一款设备上进行还原,否则,保存的密码将丢失。当然,你可以使用iCloud钥匙串,但事实是有些钥匙串项并没有与iCloud同步。

顺便说一下,如果你加密了iTunes备份并知道密码,你可以使用Elcomsoft Phone Breaker查看存储在iOS钥匙串中的所有密码。

3.jpg

重置备份密码

综上所述,我们认为备份密码是保护其内容的一种安全方法。另外,我们还发现该密码是设备的一个内在属性。如果你丢失了密码怎么办?

如果你经过备份密码的iPhone,只是升级到了最新版本的iOS系统,你应该能够重置密码。

在ios11或更高版本中,你可以通过重置密码对设备进行新的加密备份。具体过程如下:

1.在你的iOS设备上,进入“设置”>“常规”>“重置”。

2.点击重置所有设置,然后输入你的iOS密码;

3.按照步骤重置设置,不过这不会影响你的用户数据或密码,但会重置显示亮度,主屏幕布局和壁纸等设置,它还会删除你的加密备份密码。

4.再次将你的设备连接到iTunes并创建一个新的加密备份;

不过,这个过程并不是很完美。

在iPhone上重置所有设置时,系统会向用户发出一个很大的警告。警告你应该注意的重要影响,比如重置设备密码(屏幕锁定密码)。这意味着你还将丢失Apple Pay交易和下载的Exchange邮件(如果有的话)。此外,如果一个给定的设备连接到一个启用了双因素身份验证的iCloud帐户,那么你将无法在未输入单独的Apple ID密码的情况下从该设备更改此帐户设置,因为密码已被删除。

从iOS 7开始,有一种方法可以对iPhone设置限制。限制可以保护某些选项免受未经授权的更改的影响(其他一些操作也可能受到限制)。在iOS 12中,不再有密码限制,但有一个新的屏幕时间功能,功能和密码限制非常相似。详情请参看 以下两篇参考文章:

1.在孩子的iPhone、iPad和iPod touch上使用父母控制机制

2.使用iPhone、iPad或iPod touch上的屏幕时间

这意味着,除非你知道(限制或屏幕时间)密码,否则你将无法使用“重置所有设置”命令重置备份密码。如果你也忘了呢?那就比较尴尬了,只能试编所有的密码组合。

4.png

对备份的一些思考

如果你把iPhone和电脑配对,除了备份,你是否可以访问备份以外的任何其他内容?

首先,无论备份是否受密码保护,你都可以提取所有媒体文件(照片和视频)。你还可以获取共享文件(许多应用程序使用该功能以允许一个应用程序在多个设备上使用,比如Microsoft Office)。最后,你还可以获得崩溃和诊断日志(移动取证专家对该功能特别感兴趣)。这可以通过Elcomsoft iOS Forensic Toolkit完成,说实话,大多数这些数据也可以“手动”获取,比如通过Explorer (Windows)或Image Capture (macOS)、XCode和iTunes,但这并不容易。顺便说一句,所有这些数据(包括媒体,日志和共享文件)也可以从Apple TV和Apple Watch获得,但必须借助iOS Forensic Toolkit。

5.jpg

最后,你总是可以尝试做一个新的iCloud备份。事实上,它比iTunes备份包含的数据更少,例如,你的照片并不总是在那里(如果使用的是iCloud照片),如果你选择在iCloud中存储消息,则可能会丢失消息。

终极方法:越狱?

令人惊讶的是,对iPhone进行越狱可能是找回备份密码的终极解决方案。目前,iOS 12.1.2之前的所有iOS版本都可以越狱(iOS 12.1.3-12.3很有可能很快就会越狱)。越狱后,你将获得iPhone的完整内容,包括备份中不包含的文件:下载的邮件、位置数据、特定于应用程序的数据等。如果幸运,你还能获取完整的钥匙串,其中就包括iTunes备份密码!

至于过程嘛,很简单,你可以阅读《iOS越狱和物理获取》这篇文章,包你操作顺利。

怎么处理iPhone被密码锁定的情况?

如果iPhone被密码锁定,就可以创建备份。如果你能访问到一台与iPhone建立了信任关系的电脑,则可以执行此操作。此外,iPhone必须在上次重启后至少解锁一次。更多信息请参考以下文章:

1.访问macOS上的锁定文件

2.iPhone被锁定:处理冷启动情况

3.iOS锁定(配对)记录的取证

4.获取iOS逻辑:密码锁定设备的最后希望?

然而,如果USB限制模式被激活,则此操作过程将无法顺利进行。

总结

为你的iPhone创建备份是个保护隐私的好主意,想象一下如果你丢失了你的iPhone,即使有人将它同步到你的iCloud账户(就像Android用户那样),也不足以恢复所有内容。除了常见的“选择强密码,启用2FA和USB限制模式,熟悉你的特定设备上的S.O.S.组合,并准备好在紧急情况下使用它”外,我们强烈建议你做两件事。

首先,确保启用iCloud备份(我们知道,如果你从苹果免费获得5 GB的存储空间,这将会很困难。如果你买得起iPhone,那就再买一些iCloud存储设备。)使用iCloud备份,你将拥有两个快照,这意味着你可以根据需要恢复意外删除的数据。

其次,养成定期创建iTunes备份的习惯,并确保用一个你可以记住的密码来保护它们。

本文翻译自:https://blog.elcomsoft.com/2019/06/unusual-iphone-backups/如若转载,请注明原文地址: https://www.4hou.com/web/18829.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论