Elcomsoft Phone Viewer 4.60 извлекает пароли ограничений и Экранного времени, расшифровывает историю переписки Signal

В новой версии Elcomsoft Phone Viewer добавлена поддержка паролей ограничений и Экранного времени. Кроме того, в EPV 4.60 появилась возможность расшифровать и просмотреть историю переписки пользователей защищённого мессенжера Signal.

В обновлении Elcomsoft Phone Viewer 4.60 добавлено две новых возможности. Во-первых, пользователи продукта смогут узнать пароли ограничений (для iOS 7..11) и Экранного времени (для iOS 12). Во-вторых, эксперты, использующие физическое извлечение данных (снятие образа файловой системы и извлечение Связки ключей) смогут расшифровать и просмотреть историю коммуникаций пользователей защищённого мессенжера Signal.

Пароли ограничений (iOS 7…11)

В старых версиях iOS пользователь мог установить так называемый пароль ограничений. Пароль ограничений невозможно сбросить или изменить, не указав предварительно оригинальный пароль. Более того, от пароля ограничений невозможно избавиться, если восстановить устройство из резервной копии после сброса устройства до заводских настроек.

В iOS с 7 по 11 версию пароль ограничений сохраняется в виде хэш-функции pbkdf2-hmac-sha1. Несмотря на защиту хэша многочисленными итерациями, общая стойкость пароля невелика благодаря тому, что пароль всегда состоит ровно из 4 цифр. Elcomsoft Phone Viewer 4.60 автоматически определяет наличие пароля ограничений и осуществляет атаку в фоновом режиме в процессе открытия резервной копии. К моменту окончательной загрузки данных пароль ограничений будет уже расшифрован и показан эксперту.

Требования: локальная резервная копия без пароля или с известным паролем либо образ файловой системы, полученный в процессе физического извлечения данных.

Пароль Экранного времени (iOS 12)

В iOS 12 вместо пароля ограничений используется пароль Экранного времени. Пароль Экранного времени хранится в Связке ключей. EPV 4.60 может извлечь и расшифровать пароль Экранного времени.

Требования: локальная резервная копия с паролем (пароль должен быть известен) либо результат физического извлечения данных (образ файловой системы и расшифрованная Связка ключей) посредством Elcomsoft iOS Forensic Toolkit.

История переписки в Signal

Signal – одна из самых хорошо защищённых программ для мгновенного обмена сообщениями. База данных Signal не синхронизируется с облаком и не попадает в iCloud или локальные резервные копии. База данных Signal на самом устройстве зашифрована нестандартным алгоритмом, а ключ шифрования хранится в Связке ключей с высокой категорией защиты (ThisDeviceOnly).

Единственный способ получить доступ к базе данных Signal – физический анализ, в процессе которого снимается образ файловой системы и расшифровывается Связка ключей. В новой версии Elcomsoft Phone Viewer добавлена возможность расшифровать историю Signal из образа файловой системы и Связки ключей, извлечённых при помощи Elcomsoft iOS Forensic Toolkit. Эксперт получает доступ к информации об учётной записи пользователя, журналу звонков и полной истории сообщений включая вложения (вложения Signal хранятся в незашифрованном виде).

Требования: для доступа к базе данных Signal требуется как образ файловой системы, так и расшифрованная Связка ключей, полученные при помощи Elcomsoft iOS Forensic Toolkit в процессе физического анализа.

Список обновлений:

  • Добавлено восстановление пароля Ограничений (iOS 7..11)
  • Добавлено извлечение пароля Экранного времени (iOS 12)
  • Добавлена расшифровка и отображение переписки в Signal
  • Улучшено время открытия набора данных благодаря предварительному выбору категорий (для локальных и облачных резервных копий, а также образов файловой системы)
  • Добавлена совместимость с macOS 10.15 Catalina

Дополнительно