Взлом iPhone и при чем тут израильские чемоданчики?
В условиях стремительного развития цифровых технологий вопросы безопасности и расследования данных с годами обретают всё большую значимость. В этой статье поговорим о небезызвестной израильской компании «Cellebrite DI Ltd» основанной в далеком 1999 году и занимающейся цифровой криминалистикой. Как и многие другие компании «Cellebrite» начала свой путь совсем с иного профиля, компания производила аппаратное и программное обеспечение для передачи данных между телефонами, для обслуживания клиентов в розничных салонах мобильных операторов. Но по мере развития компании, «Cellebrite» успешно расширяет свои инструменты цифровой и мобильной криминалистики, производя продукт о котором далее пойдет речь.
1. «Cellebrite UFED Touch 2» (Universal Forensic Extraction Device) - устройство способное извлекать данные из мобильных устройств.
2. «UFED Physical Analyzer» - ПО для глубокого анализа и декодирования данных.
И если первый продукт это по сути "упитанный" планшет для работы в «полевых» условиях, с помощью которого можно извлечь данные, то с помощью «UFED Physical Analyzer» эти данные можно привести в понятный вид, доставая их из бэкапа и разбивая на категории. Стоит также отметить, что это одни из самых популярных продуктов компании «Cellebrite», которые используют правоохранительные органы и спецслужбы многих стран. Существует большое количество не менее мощных систем для получения информации, например такие, как «GrayKey» и «Мобильный криминалист», но сегодня речь не о них.
- «GrayKey» - оборудование созданное американской компанией «Grayshift» (в 2023г объединилась с канадской компанией «Magnet Forensics») для получения доступа к заблокированным iPhone, используя уязвимости и эксплойты.
- «Мобильный криминалист» - программный комплекс для извлечения и анализа данных с мобильных устройств и ПК, разработанная российской компанией «МКО Системы».
«Cellebrite UFED Touch 2» и «UFED Physical Analyzer» - как это работает в комплексе: подключая устройство к UFED Touch 2 / 4PC (программный аналог «UFED Touch 2») происходит создание резервной копии данных, после чего с помощью ПО «UFED Physical Analyzer» можно произвести:
- обход блокировки ввода PIN-кода, пароля, графического ключа
- анализ приложений и исследуемой информации
- извлечение паролей
- восстановление удаленных данных
- дешифрирование истории мессенджеров
- декодирование журналов вызовов, контактов, email, SMS, данные о местоположении
- обнаружение вредоносного ПО
- просмотр статистики, текстовых файлов с последующей выгрузкой и многое другое.
Среди любителей продукции «Apple», очень часто бытует мнение, что iOs невозможно взломать и заблокированный iPhone = кирпич. К сожалению или к счастью, это не так. С помощью данного программно-аппаратного комплекса, можно разблокировать устройство на iOs с помощью брутфорса, с последующим копированием данных.
Брутфорс-атака - автоматизированный метод взлома систем защиты через последовательный подбор паролей, ключей шифрования и т.д.
Важно отметить, что есть технические ограничения - не все версии iOs поддаются взлому, так как компания «Apple» с выпуском новой версии системы, "пролечивает" уязвимости и безопасность устройства. Несмотря на то, что компания «Cellebrite» указывает на возможность получения доступа практически ко всем актуальным версиям iOs, действительность такова, что софт готов побороть версии до iOs 16 включительно. За редким исключением поддается взлому iOs 17-17.3.1 на «iPhone XR» и «iPhone 11». Хотя в различных утечках информации фигурируют материалы с расследованием актуальных возможностей ПО, где говорится, что на момент середины 2024 года ПО «Cellebrite» способно взломать iOs 17.4, но в настоящее время это не подтверждено. Полные технические возможности продукта в работе с устройствами в большинстве своём - закрытая информация, так как компания «Cellebrite» работает с криминалистическими лабораториями и правоохранительными органами. Согласно реестру госзакупок, основными заказчиками оборудования UFED в России, являлись различные управления ФСБ, СК и МВД. Но существует и серый рынок по продаже данного аппаратно-программного оборудования.
Можно ли отнести оборудование и софт UFED к одному из инструментов, для целей государственного или промышленного шпионажа? Однозначно сказать нельзя, но то что в умелых руках этим комплексом можно получать определенного рода сведения - откровенно можно. Комплекс UFED не предназначен для негласного получения информации, а создан для криминалистических исследований, но гарантии использования по прямому предназначению никто не даст, тем более как отмечал выше, существует серый рынок и различные площадки по продаже данных устройств и ПО.
внешний вид «Cellebrite UFED Touch 2»:
Работает комплекс с устройствами (более 5000 моделей) на базе различных ОС, перечислю некоторые из них:
- iOS
- Android
- BlackBerry
- Windows Phone
- Symbiаn и др.
И тут сразу хочется извиниться за кликбейтное название статьи, как понимаете комплекс может работать не только с iOS.
Для каких целей используется данное оборудование и ПО различными ведомствами думаю очевидно, это помогает предотвращать готовящиеся преступления и расследовать уже оконченные преступления. В кругу опытных криминалистов неспроста данный комплекс считается "фаворитом" и всегда занимает лидирующие позиции. Приведу пример из недавних событий получивших широкое освещение в СМИ: 13 июля 2024 года во время предвыборной речи 45-го и 47-го президента США - Дональда Трампа, на него было совершено покушение американцем Томасом Мэттью Круксом, в результате чего Д. Трамп получил легкое ранение, при этом был случайно убит другой человек. Ответным выстрелом снайпера президентской охраны, стрелок был убит. При себе у него был найден мобильный телефон марки «Samsung», который был направлен на исследование. Как сообщает издательство «Bloomberg», FBI пытались взломать телефон Крукса с помощью ПО компании «Cellebrite» у себя в лаборатории штата Пенсильвания, где и произошел инцидент, но первая попытка не увенчалась успехом. После чего FBI обратилось напрямую в «Cellebrite» и компания оказала содействие в расследовании. С помощью нового ПО находившегося еще в разработке, новую модель «Samsung» смогли взломать за 40 минут. Стоит также отметить, что ранее и коммерческие компании имели успешный опыт интеграции с оборудованием компании «Cellebrite», например компания «Билайн» тестировала оборудование в своих точках продаж, где предоставляла услуги по переносу контактов и других данных, например со старого телефона на новый. В марте 2021 года компания «Cellebrite» объявила о том, что прекращает сотрудничество с Россией и останавливает поставки оборудования и ПО, как пишет Коммерсант.
Если посмотреть на статистику смены мобильных устройств на новые 2024 года: 48% респондентов меняют телефон, только тогда, когда он перестает работать, 44% обновляют устройство каждые 3-5 лет. Из этого можно сделать вывод, что большое количество людей пользуется "устаревшими" мобильными устройствами, на которых может отсутствовать обновление безопасности, ввиду прекращение поддержки производителя и как следствие риск потенциальных уязвимостей для взлома. Это говорит о том, что у UFED всегда будет работа.
Какие можно дать советы для защиты своего телефона от взлома с помощью Cellebrite UFED:
- Регулярно обновляйте версию iOS. Компания «Apple» плотно работает над безопасностью и фиксирует уязвимости, которые используют инструменты по извлечению данных.
- Используйте надежный код-пароль, не ставьте состоящий из 4-ёх цифр. Лучше задать произвольный буквенно-цифровой пароль, чем больше символов - тем лучше (постарайтесь его запомнить).
- Включите автоматическое удаление данных (Настройки → Face ID и код-пароль → Стирание данных). При десяти неверных вводах пароль iPhone автоматически сотрет все данные.
- Запретите доступ USB-аксессуаров к заблокированному устройству (Настройки → Face ID и код-пароль → отключите Аксессуары * устройства для хранения могут подключаться к iPhone, только когда он разблокирован. Если эта настройка выключена, аксессуары могут подключаться только при условии, что iPhone был разблокирован хотя бы раз за последний час).
- Зашифруйте резервные копии на своем устройстве в связке со сложным паролем.
- Включите двухфактурную аутентификацию своего аккаунта.
Данные рекомендации не дают полной гарантии защиты от взлома, с использованием профессиональных инструментов, но существенно затрудняют и замедляют такой процесс.
© Игорь Ландшман