С выходом iOS 11 разработчики Apple уничтожили многоуровневую систему безопасности, ранее существовавшую в экосистеме iOS. Теперь абсолютно вся безопасность iOS зависит исключительно от надежности пасскода — пароля блокировки устройства.
Стоит злоумышленнику получить доступ к устройству и узнать пасскод(а большинстве случаев это не составляет особого труда), как владелец устройства и учетной записи моментально становится бывшим. В этой статье я расскажу как зная пасскод извлечь пароли из iCloud Keychain.
Облачная связка ключей — iCloud Keychain
Связка ключей iCloud — облачный сервис для синхронизации логинов и паролей к веб-сайтам из браузера Safari, данных платежных карт и информации о сетях Wi-Fi. Акцент здесь именно на синхронизации паролей: существует по крайней мере один способ настроить облачную связку ключей таким образом, что сами пароли, хоть и будут синхронизироваться через облако, в iCloud храниться не будут.
Вкратце опишем возможные сценарии работы связки ключей iCloud.
Учетная запись без двухфакторной аутентификации:
1) Если пользователь включит связку ключей iCloud, но не задаст так называемый код безопасности iCloud (это отдельный код, который служит для защиты именно облачной связки ключей и ничего более), то пароли в облако не сохраняются; синхронизация ведется исключительно между доверенными устройствами. Нас этот сценарий не интересует.
2) Если пользователь выбрал код безопасности iCloud, то пароли уже хранятся в облаке, но для доступа к ним нужно будет ввести тот самый код безопасности — по условиям задачи мы его не знаем. Что делать? Можно попробовать активировать двухфакторную аутентификацию в учетной записи пользователя; зная пароль от Apple ID и сменив доверенный номер телефона, сделать это будет очень просто.
Учетная запись с включенной двухфакторной аутентификацией:
Пароли хранятся в iCloud, а для доступа к ним вам потребуется ввести пароль от Apple ID и дополнительно указать пароль блокировки устройства — любого устройства (iPhone, iPad, macOS), которое уже зарегистрировано в облачной связке ключей, включая тот iPhone, который у вас в руках. Задача решена, пароли извлечены.
Извлечение паролей из iCloud Keychain
Рассмотрим извлечение облачной связки ключей подробнее.
В Elcomsoft Phone Breaker выбираем Tools — Apple — Download from iCloud — Keychain.
Авторизуемся в iCloud (логин, пароль, одноразовый код 2FA).
Выбираем из списка устройство Trusted device (тот самый iPhone, который у вас в руках) и вводим пароль от него в поле Device passcode.
Возвращаемся на главный экран и открываем Keychain Explorer.
Вам доступны пароли и маркеры аутентификации от Apple ID (кстати, здесь, возможно найти и оригинальный пароль пользователя от его Apple ID — развлечения ради можно будет вернуть его на место), пароли от сетей Wi-Fi, пароли от почтовых аккаунтов, кредитные карты, а также все пароли, сохраненные в браузере Safari.
P.S. не знаю, как вы, но лично я Iphone'ом не пользовался и не собираюсь... :)