本文由小茆同学编译,由陈裕铭、Roe校对,转载请注明。
iOS 17(代号为"Dawn"),是美国苹果公司研发的移动端操作系统,于2023年6月6日在2023苹果全球开发者大会上推出。
概要
又一年过去了,为了配合iPhone 15系列的发布和苹果首次在其iPhone系列中加入USB-C端口,iOS17应运而生。虽然USB-C端口对于macOS设备来说甚至对iPadOS设备来说都是老式的,但将其带到苹果主流移动设备肯定会给取证专业人士带来一些变化。让我们来看看iOS 17的变化和功能,以及未来的一些取证影响。
加密快速镜像仍是一个必要的取证方式,备份加密功能会锁定一些人工痕迹。那么,加密备份与不加密备份相比,你会获取到哪些数据呢?
通话记录
Safari历史记录 *
Safari浏览器的最后会话
Safari标签数据
InteractionC钥匙串
Apple健康数据
私人Wi-Fi配置文件
Safari历史记录则需要 "看情况",因为截至本文撰写之时,任何Safari "配置文件"历史数据都可以在未加密的备份中使用。说到这里,让我们来谈谈 iOS 17的功能有哪些变化。
iOS 17新功能和痕迹支持
在深入了解最新版iOS带来的新功能之前,我们先来谈谈“房间里的大象”。好消息!初步测试和审查显示,AXIOM解析的标准痕迹已经可以与iOS 17镜像一起使用。诸如 iMessage/SMS/MMS、通话记录、通讯录、备注等基本工具的更改很少。
但很少并不意味着没有。例如,在sms.db中,我们有了恢复音频信息的新方法!通过 iMessage发送的音频信息会在播放两分钟后自爆,很难被恢复。输入Apple为这些语音文件添加的新音频信息转录。
与其他转录不同的是,这些转录可以通过浏览音频信息记录的attributedBody BLOB轻松恢复。以纯十六进制/文本打开时,检查人员可以查看信息的转录。值得注意的是,任何转录都不可能尽善尽美,但可以让您大致了解信息的内容。
然而,Safari让事情开始变得有趣起来。新操作系统宣布的Safari加入了 "配置文件",用于细分用户在设备上的浏览历史。这样,用户就可以将自己的工作和私人信息分开,甚至可以将自己的信息归类到一个特定的配置文件中,用于学校作业或副业。它是在上一版 iOS发布的标签组功能基础上发展而来的。
苹果公司尚未完全明确数据是如何分割的,用户的实际浏览器历史记录被分割到每个独立的配置文件中。在基本配置文件或默认配置文件下所做的任何操作仍存储在History.db文件中的相同位置。其他配置文件在Profiles文件夹中也有自己的History.db文件。这些文件不在标准的Library/Safari 路径下,而是在应用程序目录下。
对于取证人员来说,好消息是一些软件已经在解析这些额外的History.db文件,以恢复所有配置的历史记录。
在撰写本文时,这确实是唯一被分割的数据。其余的Safari数据,包括会话、标签,甚至是私有选项卡,都混杂在主Library/Safari目录中。无论是否使用生物识别/密码锁来隐藏"私人浏览",只要标签页仍处于打开(或可解析)状态,私人浏览数据仍可恢复。
所有书签都存储在同一个数据库中,用户可以选择对它们进行分割,但这只限于他们可以选择的文件夹。用户仍然可以将它们存储在任意书签文件夹中。
需要考虑的一点是,Safari plist文件中存储的"最近搜索条件"只会跟踪在基本配置文件下进行的搜索。
iOS 17添加的另一项功能是在语音留言可视化,将语音留言显示在锁屏上。这既适用于常规通话,也适用于FaceTime,这也是第一次可以为FaceTime留下语音邮件。
目前,这些文本录音似乎无法在备份式镜像中找到,但我们会在解锁文件系统访问权限后继续深入查找。语音信箱问候语会取代标准的运营商问候语(或允许你使用自定义预设),听起来像Siri的声音。
说到FaceTime,iOS 17为用户提供了将音频和视频录音作为语音邮件的功能。音频语音邮件将在与普通通话语音邮件相同的区域内明显可见,但FaceTime视频语音邮件将位于不同的区域。遗憾的是,这些文件似乎都无法在备份式镜像中找到。
苹果公司新增了一项新功能"NameDrop",可以让你与身边的人快速共享通讯录。要使用该功能,需要解锁两部设备,并将设备顶部合在一起。在视觉效果和震动之后,您创建的联系人海报就会出现在您的手机上,并允许您与另一台设备交换。
现在,虽然这可能不是与取证最相关的功能,但它引入了苹果公司似乎称之为"boop"的服务。这个"boop"允许用户传输的不仅仅是他们的联系人信息。现在,只要把两部手机的顶端放在一起,就可以通过AirDrop与非联系人传输文件。
因此,AirDrop现在将以多种方式工作,新版的“boop”传输允许您快速向某人发送文件,而无需他们成为联系人(或可被发现),或者使用AirDrop相同的技术扫描该地区的标准接近方法。苹果似乎也取消了AirDrop无限完全开启的能力,现在将其减少到允许您将其设置为“每个人10分钟”,这以前仅在中国等其他国家提供。请注意,此更改是在16.2,而不是17中,但“boop”功能似乎是允许您在持续更改设置的情况下与您的非联系人传输文件的修复方法。
在我们继续解锁文件系统提取的访问权限时,仍有一些功能需要测试。消息收到了位置共享的升级,选择在旧的“发送位置”上共享实时位置,该位置只会删除包含纬度/经度的苹果地图URL的vCard文件。添加了额外的安全功能,包括“签到”功能,可用于在特定时间与受信任的联系人共享您的位置。
在位置方面,iOS 17增加了与个人共享AirTags的能力,作为AirTags的爱好者和狂热用户,我们迫不及待地想亲自深入了解这些功能。由于苹果努力保护着他们的位置数据,我们需要一定时间去探索所有这些新细节。
苹果没有最开始向我们提供其所有功能。根据苹果网站,仍然有几个非常相关的取证功能预计将于今年晚些时候发布。这些功能将在发布时继续进行检查,包括从附近开始并通过iCloud、Journal应用程序和文件应用程序的增强功能完成的AirDrops。
参考链接:
https://www.magnetforensics.com/blog/ios-17-forensics-another-year-another-byte-of-the-apple/