Исследователи смогли получить доступ к резервным копиям iCloud, даже не имея никакой информации об учетной записи

Московская компания Elcomsoft разработала инструмент, позволяющий получать доступ к файлам резервных копий в iCloud, даже если идентификатор Apple ID неизвестен. Это поможет правоохранительным органам проводить более полный анализ изъятых в ходе следственных действий компьютеров.

Компания, занимающаяся разработкой инструментов для спецслужб, сообщила об интеграции новой функции в программное обеспечение Phone Password Breaker, предназначенное для взлома защищенных паролями резервных копий информации, которая хранится на устройствах Apple и BlackBerry.

Ранее в Elcomsoft нашли способ получения удаленного доступа к резервным копиям данных, сделанным на мобильных устройствах, которые работают под управлением операционной системы iOS. Наличия самого устройства при этом не требуется, но нужны сведения об учетной записи Apple.

В своей новой разработке исследователи смогли получить доступ к резервным копиям iCloud, даже не имея никакой информации об учетной записи. Однако у этого способа имеются свои ограничения. В частности, для получения доступа правоохранительным органам нужно иметь в своем распоряжении устройство подозреваемого.

Кроме того, в момент захвата компьютера он должен быть подключен к панели управления iCloud, которая служит для управления резервными копиями устройства. Панель управления iCloud, входящая в состав iTunes, автоматически устанавливается на оборудовании, работающем под управлением OS X, а вот на компьютерах Windows ее необходимо развертывать отдельно.

Программное обеспечение Phone Password Breaker захватывает маркер аутентификации, создаваемый в момент подключения пользователя к iCloud. После регистрации учетной записи iCloud подключение к ней обычно осуществляется автоматически, поскольку iCloud периодически создает резервные копии избранных данных без участия пользователя.

«Другими словами, шансы получить маркеры аутентификации при установленной на компьютере панели управления iCloud достаточно велики, — указывается в блоге Elcomsoft. — Возможность использования маркеров аутентификации, полученных с компьютера подозреваемого, вместо текстовых учетных сведений имеет очень большое значение для успешного проведения расследований».

В программное обеспечение Phone Password Breaker встроен инструмент командной строки, ищущий маркеры аутентификации. После выполнения соответствующего запроса маркер копируется и вставляется в Phone Password Breaker, после чего его можно использовать для получения доступа к учетной записи iCloud, даже не имея в своем распоряжении никакой дополнительной информации.

Изучая маркеры аутентификации iCloud, в Elcomsoft обнаружили ряд интересных моментов. Получить с помощью маркеров пароли методом обратного инжиниринга невозможно. При отключении пользователя от панели управления iCloud маркеры удаляются, после чего получить их уже не удастся. По истечении определенного времени маркеры становятся неактуальными, но каков этот период, пока неясно.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF