苹果与执法取证之间的最新较量

原创

mob604756ebed9f 2021-04-12 19:34:38 ©著作权

©著作权归作者所有：来自51CTO博客作者mob604756ebed9f的原创作品，请联系作者获取转载授权，否则将追究法律责任

苹果与执法取证之间的最新较量_Python

就在几天前，某知名安全团队审查了存储在iCloud上的数据，并研究了它的加密机制。为此，他们还讨论了存储在云中的数据与提供给执法部门的数据之间的差异。目前，执法取证较之前更困难了，苹果正在使用端到端加密来保护特定类型的数据。本文回顾了苹果安全系统最近几年的变化。

我们将列出苹果这些年推出的安全措施，并讨论这些更改的真正目的是为了保护用户的安全和隐私，还是破坏执法工作。我们还将努力了解iCloud安全的现状，以及你的数据在黑客和执法机构面前的安全程度。

苹果与执法取证之间的最新较量_Python_02 Apple iCloud

苹果于2011年10月推出了iCloud，以取代老化的MobileMe服务。当时，Apple iCloud服务仅基于Amazon和Microsoft Azure服务器，几年后添加了新平台，在iPhone上使用iCloud需要安装iOS 5。

今天，Apple iCloud提供了一系列服务，包括与该帐户连接的设备之间的数据同步，iOS和iPadOS设备的iCloud备份，iCloud Drive（仅存储）以及Find My服务。

苹果与执法取证之间的最新较量_Python_02 iCloud安全性

虽然你可以在iCloud security overview中随时查阅源代码，但是我可以提供一个更简短的描述。

首先，所有iCloud数据(包括备份)都存储在第三方服务器上。这些服务器由亚马逊、谷歌、微软或中国政府所有。另外，还有一些神秘的AT&T数据中心。

其次，所有这些数据都是加密的。

最后，大部分数据的加密密钥也由苹果公司保留。但是，密钥并不存储在相同的物理服务器上。相反，苹果将这些数据保存在自己的数据中心，完全由公司控制。有趣的是，即使对于存储在中国的数据（iCloud数据本身仅位于中国的服务器上），情况似乎也是如此。

同样的规则也适用于iCloud备份，几年前，据传Apple war计划以更安全的方式加密iCloud备份(可能采用端到端加密)，这个计划可能但在联邦调查局的压力下最终被否定。

苹果与执法取证之间的最新较量_Python_04 双因素身份验证:2SV、2FA和iCloud备份

今天，保存你的个人数据的网上帐户都支持双重认证。网络威胁和网络钓鱼是主要的风险，如果你重复使用你的密码，情况会更糟。

不过，在最初的两年里，iCloud没有任何形式的双因素认证。双因素认证是在2013年才添加的，但这个不成熟的解决方案只保护对账户本身的访问，而不保护对iCloud备份的访问。之后，苹果添加了Celebgate，在那之后，苹果才对备份应用了双因素认证。

需要注意的是，苹果最初的实现(称为两步验证，2SV)并不完美，这是一个仓促的想法。目前的双因素认证(2FA)是在2015年iOS 9中引入的，它提供了更好的保护。

苹果与执法取证之间的最新较量_Python_05 身份验证令牌

在2014年（苹果将2SV添加到iCloud备份的那一年），我们注意到，如果你将你的电脑设置为访问iCloud账户，你就不会在每次访问云端时都提示你输入密码或一次性密码。这意味着身份验证令牌可以保存在某个地方。这意味着，我们可以使用这个令牌来绕过基于密码的身份验证。

iCloud access是Mac的内置功能，而Windows需要“iCloud控制面板”，它现在的名字是 iCloud for WIndows。

获得了令牌之后，就可以下载iCloud备份了，后来我们还实现了从iCloud下载/同步数据。

这是否意味着出现了新的安全风险?可能不会，因为对令牌的提取和解密需要对计算机的物理访问，以及管理权限。

不过苹果公司对这个小风险非常重视，并从那时起实施了与令牌相关的额外安全措施，特别是:

1.有限的生命周期，令牌对于同步数据非常有效。在访问iCloud备份时，它的生命周期最初被限制为24小时，现在则只有一个小时。

2.限制使用，目前，存储在设备上的令牌只适用于有限的类别，包括iCloud照片库和大多数3.同步数据，不包括端到端的加密数据，令牌不能用于访问iCloud备份。

4.固定到设备，这是最大的惊喜，在去年苹果做了一些改变之后，这个令牌只能在同一台电脑上使用(即使是访问有限的数据集)。在macOS上，我们最近发现了一种获取“未固定”令牌的方法，可以在其他计算机上使用，但在Windows上则没有出现这种情况。

尽管如此，从理论上说，我们还是有可能获得功能齐全的“非固定”令牌，这些令牌允许我们从受信任的macOS计算机上获取iCloud上的几乎所有内容。我们正在朝着这个方向努力，不过不签仍然不能访问备份。苹果竭尽全力让iCloud备份变得极其困难，即使你知道密码并且有第二个认证因素。

苹果与执法取证之间的最新较量_Python_06 端到端加密

准确地说，“端到端”这个叫法并不准确，该术语用于某些数据只能在端点解密的情况，因为它是唯一拥有解密密钥的地方。虽然受信任的iPhone确实具有密钥，但是我们甚至可以从外部获得一个密钥，而无需访问该设备，而这并不是完全端到端的加密。

苹果使用“端到端”加密保护什么？此加密涵盖了以下类别的数据：iCloud钥匙串，运行状况数据，iCloud中的消息，Home数据，以及一些苹果地图数据。

以上所有这些数据都存储在iCloud中，并在“受信任的设备”之间同步。可能你不知道，解密数据的密钥也存储在iCloud中。然而，这个密钥比一般的iCloud加密密钥具有更强的保护，并且只能被属于可信的设备访问。

那有人可以拥有可信的设备吗当然可以，但并不容易。

苹果与执法取证之间的最新较量_Python_07 通知、帐户锁定、GSA和其他更改

现在介绍一些与iCloud备份相关的一些额外安全措施。

首先，你可能注意到，一旦备份恢复过程完成，就会通过电子邮件将通知发送给帐户所有者。

其次，苹果会竭尽全力检测下载过程是由实际设备还是由像我们这样的第三方软件启动的。我们尽了最大的努力来“模仿”实际可信设备，但禁止显示“恢复”通知。目前，它可以运行，但看起来苹果拥有专门的安全专家团队来研究第三方的软件。

通常，苹果会定期改变他们所能改变的一切，包括协议、加密和数据存储格式。其中一些更改是合理的，而其他更改只是针对取证工具的对策，对iCloud的安全性几乎没有什么影响。

苹果与执法取证之间的最新较量_Python_08 云端加密的巨大漏洞

你确定你知道以下所有的内容吗?

1. 你的设备和iCloud之间同步了哪些信息(或者只是上传到iCloud)？

2. 当你从iCloud上删除数据时，苹果真的删除了你的数据吗？

3. 一旦执法部门接到法律请求，苹果会提供什么样的信息。

首先，苹果与iCloud同步的数据比它公开承认的要多。一个很好的例子是呼叫日志(呼入和呼出的列表)以及iPhone上没有禁止同步的选项。

其次，iCloud中还有一些额外的数据，比如iCloud访问日志，会存储28天。它包括你的IP地址(可以用来获取物理位置)和时间戳。

你从iCloud上删除数据时，苹果真的删除了你的数据吗？。在过去，我们发现一些数据在广告宣传的保留时间之后仍然保留在苹果的服务器上，包括媒体文件(照片和视频)、网络历史和笔记。此外，我们已经找到了一种提取它的方法。目前，我们的方法已经不管用了，但我们肯定知道它保存在某个地方，如果是，是否提供给执法机构或是少数人。

说到这，你可能会好奇苹果iCloud安全性与另外两家主要云供应商谷歌和微软有何不同？

这两家公司都没有提供关于如何存储和加密用户数据的详细描述，然而，根据我们所知道的，这并不难猜。

谷歌保存了大量的数据，它的数据来源来自所有运行其软件或使用其服务的设备，而不仅仅来自Android。与苹果不同的是，尽管谷歌提供了存储或同步数据的粒度控制，但要禁用或启用设备的数据同步并不容易。谷歌存储的数据通常包括详细的位置历史记录、用户搜索查询的综合历史记录、用户的所有购买交易（不仅限于Google的交易）等等。

微软同步的数据可能少于Apple和Google，但该公司仍同步一些数据。这包括网络历史和必应搜索、联系人、Cortana命令、Skype对话等，包括BitLocker恢复密钥。目前，微软没有明确说明账户中保存了哪些数据。

苹果与执法取证之间的最新较量_Python_09 云取证

如果你想从苹果iCloud获取最多的数据，你别无选择，只能使用Elcomsoft Phone Breaker。iCloud备份，文件从iCloud驱动器，iCloud照片，FileVailt2恢复令牌，iCloud密钥链和所有端到端的加密数据，如消息，健康，屏幕时间和更多，你可以获得所有这些。该产品还可以从微软账户中提取数据，从联系人到Skype对话的数据都可以被提取。

对于谷歌帐户，使用Elcomsoft Cloud eXplorer。Elcomsoft Phone Breaker唯一不能得到的是Android设备备份，因为它们是安全加密的。

当涉及到其他云数据时，Oxygen Forensic Suite没有给竞争对手留下空间。它所支持的云资源数量令人印象深刻(接近100个)，包括Telegram、三星云、小米Mi云、华为云以及其他几十个云，包括同步海量数据的第三方应用以及相关证据。所有这些内容都是根据供应商的变化不断改进和完美支持的，与其他供应商的类似产品相反，即使是那些更贵的，号称自己是最好的产品。认真地说，不要浪费你的时间去尝试其他的，你会得到一个甚至是接近的结果。不要相信供应商的说法，要自己验证。

苹果与执法取证之间的最新较量_Python_10 保护你的数据

我建议的第一件事是从Apple的数据与价格门户网站索取你的数据副本，并仔细进行分析。如果需要，将向执法部门提供大约相同数量的数据以及备份。

一种更有效的方法是使用Elcomsoft Phone Breaker获取所有信息，包括“端到端的加密数据”。

如果你决定继续使用iCloud，以下是我们推荐的安全使用建议（简单且可能众所周知，但仍然经常被忽略）：

1. 使用足够长且复杂的安全iCloud密码；

2. 确保该密码与你使用的任何其他密码都不相似，当然，它不能与你拥有的任何其他密码相同。

3. 永远不要在你的Web浏览器中缓存该密码；

4. 永远不要将密码存储在你的Google帐户中；

5. 请勿将该密码存储在钥匙串（iOS，iPadOS或macOS）中。

6. 使用双因素身份验证；

7. 在iOS设备和台式机上使用强密码；

8. 物理保护你的所有设备，切勿让它们处于无人看管（即使已锁定）状态。

9. 永远不应重复使用密码；

10. 保持所有设备更新到最新系统（iOS / iPadOS / Windows / macOS），包括Apple TV和Apple Watch；

11. 如果你使用的是旧版Android（已使用一年以上），则不要指望更新会到来，需重新购买。

12. 对于Windows，请遵循此处列出的建议。

13. 如果你使用的是旧设备，请注意checkm8对漏洞的利用。即使你锁定和禁用的设备，攻击者也使用可以使用 Checkm8提取某些数据。Checkm8一款史上最强的iPhone越狱工具，读做checkmate。这款辅助功能非常强大，支持iPhone 4s到iPhone X之间所有机型，和其他使用同款A系列处理器的iPad、iPod touch等iOS设备，并提供一次越狱终身越狱的使用体验，并且无法被修复。

14. 记住如何启用SOS模式；

15. 知道如何使用“Find My”。

苹果与执法取证之间的最新较量_Python_11 总结