• Link na PowerPoint prezentaciju
• Link na PDF prezentaciju

Forenzika iOS uređaja je dio forenzike mobilnih uređaja čija popularnost raste zajedno sa popularnošću mobilnih uređaja. iOS je jako siguran operativni sustav te sadrži mnoge sigurnosne mehanizme koji otežavaju forenziku uređaja te akviziciju podataka. No unatoč tome postoje komercijalni programi koji olakšavaju forenziku iOS uređaja. Jailbreak je zaobilaženje sigurnosnih ograničenja te nam kao takvo može uvelike olakšati proces akvizicije podataka. Aplikacije su nam također od značaja te njen sadržaj možemo otkriti analizom IPA datoteke. Na kraju spomenuti su neki od važnijih artefakata iOS forenzičke analize.

iOS operativni je sustav pametnih telefona tvrtke Apple. Prema posljednjim podacima na svjetskoj razini trenutno oko 27% korisnika koristi iPhone [1]. Dok na američkom tržištu postotni udio doseže i 55.8% [2]. Zbog značajnog tržišnog udjela bitno je upoznati se sa mehaniznima forenzike na iPhone uređajima. Apple je prilikom dizajna iOS-a posebnu pažnju obratio na to da sustav bude jako siguran. Ta činjenica čini forenziku iOS uređaja prilično zahtjevnom disciplinom. Zbog popularnosti iOS-a postoje i specijalizirani alati za analizu podataka s iOS uređaja kao i za njihovu akviziciju. Primjeri takvih programa su Elcomsoft, Oxygen Forensic i pomoćni alati (na primjer iExporer)

Sigurnost u iOS sustavu ostvarena je kroz razne mehanizme. Za potrebe ovog seminara osvrnuti ćemo se na:

• iOS Secure Boot Chain
• Potpisivanje aplikacija
• Sandboxing aplikacija

Secure Boot Chain je mehanizam sigurnog podizanja sustava koji koristi iOS kako bi ostvario sigurnost sustava prilikom njegova podizanja (paljenja). Sigurnost pri podizaanju sustava je iznimno bitna zbog brojnih rootkitova koji upravo ciljaju na izmjene koje im omogućavaju ranjivosti low-level software-a. Boot ROM prvi je program koji se pokrene u lancu i on sadrži certifikate (i ključeve) koji provjeravaju autentičnost i integritet LLB-a (Low-level Bootloadera). LLB je najniža razina programa koja se može ažurirati te ona između ostalog provjerava potpise iBoot programa koji kasnije pokreće iOS kernel. Iz ove strukture je jasno da je iznimno teško “podmetnuti” drugi software koji bi se podigao kao operativni sistem [3].

Instaliranje aplikacija van službene trgovine (App Store) načelno nije dozvoljeno. Svaka aplikacija koja se instalira na uređaj mora biti potpisana od strane programera i validirana od strane Apple-a. Trenutno sam proces provjere aplikacije prije provjere valjanosti certifikata nije skroz transparentan. Prema nekim istraživanjima ne postoji provjera malicioznosti aplikacije te je tu otvoren prostor za moguće ranjivosti sustava [3].

Sandbox naziv je za izoliranu okolinu u kojoj se izvodi aplikacija na iOS uređaju. Ta okolina štiti sigurnost i integritet OS-a na način da onemogućava aplikaciji pristup bilo kakvim resursima (memorija i sl.) van njene okoline. Zbog tog ograničenja čak i ukoliko uspijemo instalirati malicioznu aplikaciju ona neće moći mijenjati ništa van njene okoline (na primjer neće moći mijenjati memoriju drugim aplikacijama i slično…) [3].

Datotečni sustav dizajniran je da ga koriste aplikacije unutar svoje okoline te korisnici mu u pravilu ne mogu pristupiti. Prilikom instalacije svaka aplikacija ima nekoliko direktorija u njenoj okolini:

• Bundle Container
• Data Container
• ostali direktoriji (na primjer: iCloud container)

U Bundle Containeru sadržana je sama aplikacija te je sadržaj ovog containera potpisan kako bi se osigurao integritet. Ukoliko se pokuša mijenjati ovaj direktoriji aplikacija se više neće moći pokrenuti. Međutim moguće je čitanje sadržaja ovog containera [4].

Data Container sadrži sve podatke koje aplikacija pohranjuje (fotografije, korisnikove postavke aplikacije i sl.). Data Container sadrži nekoliko direktorija od kojih su bitniji Documents i Temp direktorij. U Documents direktoriju nalaze se pohranjene baze podataka (ukoliko ih aplikacija ima). Memorija aplikacija se pohranjuje u međuspremnik (cache) međutim sam proces pohranjivanja još nije sasvim jasan no zna se da se ti podatci nen nalaze u Data Containeru. Temp direktorij sadrži podatke bitne za pokretanje aplikacije no ti podatci se mogu izbrisati kada se aplikacija prekine izvoditi [4].

Datoteka .ipa (iOS App Store Package) je datoteka arhive iOS aplikacije koja pohranjuje iOS aplikaciju. Svaka .ipa datoteka sadrži binarnu datoteku i može se instalirati samo na uređaj koji se temelji na iOS-u ili macOS-u koji se izvodi na procesoru ARM arhitekture. Datoteke s ekstenzijom .ipa mogu se otvoriti promjenom ekstenzije u .zip. Većina .ipa datoteka ne može se prenijeti u iPhone Simulator jer ne sadrže binarnu datoteku za x86 arhitekturu, već samo datoteku za ARM arhitekturu uređaja. Osim toga, za pokretanje aplikacija u simulatoru potrebne su izvorne projektne datoteke koje se mogu otvoriti pomoću Xcode SDK-a. Svaka IPA datoteka sadrži:

• Payload - svi podatci aplikacije
• iTunes Thumbnail - 512×512 png slika ikone aplikacije
• iTunes metadata.plist sadrži metapodatke kao što su: ime i ID programera, identifikator paketa, informacije o autorskim pravima, žanr, naziv aplikacije, datum izdavanja, datum kupnje itd. Također sadrži razne podatke kao što su:

/WatchKitSupport/WK: Sadrži kontrolere koji upravljaju sučeljem za Apple watch.

/META-INF: Sadrži informacije o tome za koji je program stvoren IPA.

Na iOS uređajima, jailbreaking je iskorištavanje ranjivosti sustava kako bi se uklonila softverska ograničenja koja nameće proizvođač. Obično se to postiže nizom zakrpa kernela. Uređaj sa Jalibreak privilegijama daje root pristup operativnom sustavu i mogućnost instaliranja softvera koji nije dostupan putem App Storea. Za iskorištavanje različitih uređaja i verzija koriste se različiti alati [5].

Apple na jailbreaking gleda kao na kršenje licencnog ugovora s krajnjim korisnikom i snažno upozorava vlasnike uređaja da ne pokušavaju ostvariti root pristup iskorištavanjem ranjivosti. Jailbreaking je krajnja mogućnost korisnika da zaobiđe razne vrste Appleovih ograničenja. Budući da podrazumijeva modificiranje operativnog sustava (nametnuto “zaključanim bootloaderom”), instaliranje neslužbeno odobrenih (nisu dostupnih u App Storeu) aplikacija putem sideload-a i dodjeljivanje korisniku povišenih privilegija na razini administracije (rooting) [3].

Postoji nekoliko popularnih alata koje su razvijeni i koriste se za jailbreaking. Iako se metoda može razlikovati ovisno o alatu, većina Jailbreak alata zahtijeva podršku računala. Kao najpoznatiji primjeri navodim: Unc0ver i Checkra1n [3].

Općenito Jailbreak se dijeli na:

• Tethered - ukoliko se uređaj ugasi računalo je neophodno za njegovo pokretanje
• Semi-Tethered - ukoliko se uređaj ugasi Jailbreak privilegije se gube te se mogu obnoviti jedino korištenjem računala
• Fully Untethered - ukoliko se uređaj ugasi nije potrebno računalo da se vrati jailbreak privilegija

Značaj forenzike mobilnih uređaja nije potrebno posebno naglašavati. Spomenimo samo da mobilni uređaj je većinu vremena sa nama te prati naše razgovore, lokaciju, email-ove te svi navedeni podatci mogu se koristiti prilikom forenzike [3].

Kada započinjemo forenziku iOS uređaja bitno je:

• Zabilježiti lokaciju, vrijeme i fotografiju pronađenog uređaja
• Utvrditi status uređaja. Je li upaljen? Ako je, kolika je napunjenost baterije te je li telefon zaključan.
• Utvrditi pristutnost SIM kartice

Prilikom postupka analize jako je bitno očuvati stanje u kojem smo pronašli uređaj. Vlasnik iOS urešaja ima mogućnost brisanja podataka na daljinu te je stoga važno izolirati uređaj od mreže i ne dopustiti da se isprazni ili isključi.

Na kraju pristupamo akviziciji podataka s uređaja. Akvizicija se ugrubo dijeli na:

• Fizička akvizicija: bit-to-bit kopija uređaja, omogućuje oporavak izbrisanih podataka.
• Akvizicija datotečnog sustava: izdvaja datoteke vidljive na razini datotečnog sustava.
• Logička akvizicija: omogućuje izdvajanje određenih datoteka iz datotečnog sustava, kao što je sigurnosna kopija stvorena pomoću iTunesa [3].

Elcomsoft je program za stvaranje slike uređaja. Ima mogućnost dektriptiranja ključeva te preuzimanje datotečnog sustava. Ne ostavlja nikakve tragove ili promjene na uređaju. Nedostatak je što podržava starije verzije iOS-a. Program može raditi na Windows ili MacOS platformi [3].

iExplorer je pomoćni alat kojim možemo preuzeti datoteke aplikacija s uređaja

Obzirom da neke aplikacije koriste baze podataka korisni su i razni pretraživači kao što je npr: DB Browser

Ukoliko procesom akvizicije uspijemo dobiti sliku uređaja, možemo pristupiti raznim podatcima kao što su [3]:

Međuspremnik (Clipboard)

/private/var/mobile/Library/caches/com.apple.UIKit.pboard

U njemu potencijalno možemo pronaći podatke poput poruka, kopiranih zaporki i slično.

Datoteke tipkovnice

/private/var/mobile/Library/Keyboard

Čuvaju se datoteke za svaki jezik i datoteke tipkovnice konfigurirane na uređaju.

Lokacija

/private/var/root/Library/Caches/locations/consolidated.db

ili

/private/var/root/Library/Caches/locations/cache_encryptedA.db (za novije uređaje)

Sadrži podatke o lokaciji wifi točke i bazne stanice. Na novim uređajima encrypted.db ostaje na uređaju samo 8 dana prije nego se podaci automatski izbrišu. Druge aplikacije koje prate geolokaciju također mogu pohranjivati GPS i informacije o vremenu.

Snimke (Snapshots)

/private/var/mobile/Library/Caches/Snapshots/

/private/var/mobile/Applications/<app_UUID>/Library/Caches/Snapshots

Sprema snimke snimljene iOS-om. Zadržavaju se snimke unaprijed instaliranih aplikacija. Pomoću ove značajke mogu se lako dobiti važne forenzičke informacije.

Spotlight pretrage

/private/var/mobile/Library/Spotlight

Ova značajka pomaže korisniku u pretrazi kao što su aplikacije, SMS, kontakti i više. Pohranjuje fokus indeksa pažnje i pretraživanja.

Pozadina uređaja

/private/var/mobile/Library/Springboard/

iOS uređaji vrlo su popularni ovih dana, pa će forenzičari vjerojatno nailaziti na sve više iOS uređaja tijekom forenzičkih istraga. iOS uređaji stalno se nadograđuju novim značajkama, a ranjive/slabe značajke uklanjaju se u korist ovih novih naprednih značajki. Zbog toga forenzika iOS uređaja je zahtjevna disciplina no njeni aretfakti zasigurno mogu biti od velike pomoći u istrazi.

• [1] World market share iPhone
• [2] US Apple iPhone market share
• [3] iOS forensic guide
• [4] iOS forensics
• [5] What is Jailbreaking