Apple TV和Apple Watch的取证分析

xiaohui Web安全 2019年7月2日发布
Favorite收藏

导语:虽然iPhone是苹果的主要系列产品,但并不是该公司唯一生产的产品。

虽然iPhone是苹果的主要系列产品,但并不是该公司唯一生产的产品。比如苹果还有Mac(台式机和笔记本电脑)、平板电脑(iPad系列)、音乐设备(HomePod)、可穿戴设备(Apple Watch)和Apple TV。在今天的文章中,我们将讨论如何从Apple TV和Apple Watch中提取数据。它们确实包含大量有价值的数据,而且往往是唯一的信息来源。

信息采集方法

一般来说,苹果设备的数据提取方法只有三种。

1.逻辑提取(备份、媒体文件、共享文件、崩溃日志和诊断日志)是最直接的方法,尽管有些限制。

2.文件系统的获取,虽然对于某些特定的设备和操作系统版本来说,该方法有些困难但也是最先进的方法。

3.从共享同一苹果ID的所有设备上获取备份或同步的信息是个不错的方法,但却需要正确的登录凭证。

这三种方法所获取的数据虽然各有特点,但事实上,它们在一定程度上是重叠的,所以如果可能的话,我们建议把以上提到的方法统统过一遍,已提取最全面的数据。Apple Watch和Apple TV的数据提取,也是遵循这个规则。

Apple TV

我们将在本文讨论两个版本的Apple TV: Apple TV 4(最近更名为Apple TV HD)和Apple TV 4K。从我们的角度来看,这两款设备的主要区别在于USB接口。虽然Apple TV 4 (Apple TV HD)背面有一个USB Type-C端口,但新款的Apple TV 4K没有USB接口。新设备上缺少USB连接,需要使用特定的硬件(基于macos的PC或笔记本电脑)和软件(Xcode)进行连接。

Apple TV的信息获取方法有点类似于iPhone,只是有一点不同,Apple TV没有备份服务。这意味着逻辑获取仅限于通过afc协议提取媒体文件获取。这招非常管用,因为大多数Apple TV设备都启用了iCloud照片功能。另外,Apple TV无法使用密码进行保护,因此无需将其与计算机配对即可提取数据。其次,许多版本的tvOS都存在越狱的情况,这意味着你可以获取文件系统的映像并解密钥匙串。

在安装越狱之前,请务必使用其他方法,例如提取媒体文件(Photos.sqlite可能非常有用,因为它可能包含一些不在Apple TV上的文件的信息):

1.png

那Apple TV越狱呢?你至少可以选择以下涵盖tvOS 10到12.1.1的工具:

ChimeraTV ,适用于tvOS 12.0 – 12.1.1;

LiberTV ,适用于tvOS 10.0-10.1, 11.0, 11.1;

Electra ,适用于tvOS 11.0-11.4.1。

安装类似于越狱iOS设备的过程。假设你的Apple TV运行tvOS 12.0到12.1.1,首先下载Cydia Impactor和ChimeraTV。通过USB Type-C电缆将Apple TV 4连接到计算机(或使用Mac和Xcode建立与Apple TV 4K的无线连接),在sideload模式中加载IPA文件(如果可能,请使用开发人员证书进行签名),并从主Apple TV屏幕运行Chimera应用程序:

2.png

此时,你的Apple TV已启动并运行SSH连接,并提供了完整的root访问权限。

3.jpg

现在,你可以使用Elcomsoft iOS Forensic Toolkit轻松获取文件系统的映像:

4.png

你甚至可以访问钥匙串(即使它不像iOS设备那样全面,但通常包含iCloud令牌,或者至少是wi-fi网络的密码,以及其他一些网络密码):

5.jpg

5.1.png

最后,你可以将文件系统加载到取证软件(例如Elcomsoft Phone Viewer)或手动分析它。

如上所述,Apple TV 4K越来越难以被越狱,因为它没有USB Type-C端口。你将不得不使用XCode来建立无线连接,其余步骤则和Apple TV 4是相同的。

我们对Chimera越狱进行了大量测试,并发现它在我们的测试设备上运行良好。然而,你有时可能需要多次尝试才能真正利用漏洞。

Apple Watch

Apple Watch至今已经有五代产品了,从信息获取的角度来看,它们只有一个区别:目前还没有办法将第四代手表连接到电脑上。另外,Apple Watch没有无线信息采集的途径。

就像Apple TV一样,Apple Watch(或者更确切地说,watchOS)没有备份服务。但是,你仍然可以创建备份。Apple Watch备份将存储在与其连接的iPhone的备份中。强制Apple Watch备份的方法只有一种:你必须通过iPhone取消配对的Watch。但是,在某些未知条件下,Watch备份可能仍会定期发生,详情请点此查看

6.png

因此,一旦你获得了iPhone的iTunes备份(或访问手机本身),你就可以从备份中提取Watch数据。

另一种获取数据的方法是将Watch直接连接到电脑上。此时,S1/S2/S2型号很容易实现。Apple Watch有一个隐藏在表带下的端口,你将需要用别针来打开它。接下来,你将需要一个特殊的适配器,本文中,我们用的是 IBUS:

7.jpg

具体用法,请参考以下两篇文章:

1.IBUS for Apple Watch S1 

2.IBUS for Apple Watch S2,S3; 

将适配器连接到Apple Watch并不是那么容易,最后的结果应该如下所示:

8.jpg

iTunes提示用户与电脑建立信任关系,就像与iPhone一样:

9.png

iTunes会在你连接的Apple Watch上显示一些信息(仅限操作系统版本和唯一ID):

10.png

现在继续使用Elcomsoft iOS Forensic Toolkit:

11.png

你可以提取Apple Watch上安装的应用程序列表:

12.png

获取日志:

13.png

最后,媒体文件(再次,特别注意Photos.sqlite数据库):

14.png

能越狱吗?对不起,目前还没有办法。

你还可以从Apple Watch获得其他信息吗?从技术上讲,已经没有了,但还有一项来自Apple Watch的内容被藏在了iCloud中。你可以通过Elcomsoft Phone Breaker将健康数据从iCloud下载下来。Elcomsoft Phone Breaker甚至可以提取使用额外加密的数据,而苹果在满足法律要求时从未提供过这些数据。然后,你将使用Elcomsoft Phone Viewer进行浏览:

15.png

数据分析

提取数据后,下一步就是数据分析。我们将在下一篇文章中介绍,敬请关注!

本文翻译自:https://blog.elcomsoft.com/2019/06/apple-tv-and-apple-watch-forensics-01-acquisition/如若转载,请注明原文地址: https://www.4hou.com/web/18830.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论