Новые функции
Анализ переписки в Signal
Signal – одна из самых хорошо защищённых программ для мгновенного обмена сообщениями. База данных Signal не синхронизируется с облаком и не попадает в iCloud или локальные резервные копии. Данные на устройстве зашифрованы нестандартным алгоритмом, а ключ шифрования хранится в Связке ключей с высокой категорией защиты.
Единственный способ получить доступ к базе данных Signal – физический анализ, в процессе которого снимается образ файловой системы и расшифровывается Связка ключей. Elcomsoft Phone Viewer позволяет расшифровать историю Signal из образа файловой системы при помощи Связки ключей, извлечённой посредством Elcomsoft iOS Forensic Toolkit. Эксперт получает доступ к информации об учётной записи пользователя, журналу звонков и полной истории сообщений включая вложения (вложения Signal хранятся в незашифрованном виде).
Пароли Экранного времени и ограничений iOS
В iOS с 7 по 11 версию пользователь мог установить пароль ограничений, который использовался для защиты настроек устройства и учётной записи. Пароль ограничений невозможно сбросить или изменить, не указав предварительно оригинальный пароль.
В iOS 12 вместо пароля ограничений используется пароль Экранного времени, который хранится в Связке ключей с высокой категорией защиты. Облачное извлечение - единственный способ извлечь пароль Экранного времени для устройств, работающих под управлением iOS 13.
Elcomsoft Phone Viewer автоматически восстанавливает пароли ограничений и извлекает пароль Экранного времени.
Данные приложения Здоровье (Apple Health)
Приложение «Здоровье» (Apple Health), доступное во всех последних версиях iOS, собирает подробные данные о здоровье и активности пользователя – количество шагов, виды активности (сон, бег, ходьба, спортивные тренировки и так далее), которые были собраны датчиками самого iPhone, одного из сторонних устройств или введены вручную. В приложении «Здоровье» агрегируются данные с iPhone, Apple Watch, данные из программ и с устройств Bluetooth, поддерживающих стандарт HealthKit.
Собранные из многочисленных источников и обработанные на iPhone данные попадают в резервные копии iTunes (при условии, что на резервную копию установлен пароль). Кроме того, данные «Здоровья» могут извлекаться из образа файловой системы устройств iOS. Такие образы создаются в процессе физического анализа iPhone при помощи Elcomsoft iOS Forensic Toolkit или комплекса GrayKey.
Elcomsoft Phone Viewer предоставляет удобный инструментарий для просмотра и анализа данных «Здоровья», скачанных из "облака" iCloud посредством Elcomsoft Phone Breaker или извлечённых из зашифрованных резервных копий в формате iTunes. Кроме того, данные "Здоровья" просмотреть напрямую из образа файловой системы iPhone в формате TAR или ZIP.
Ценность информации об активности пользователя трудно переоценить. Данные о том, в какие моменты времени пользователь был неподвижен, шёл или бежал могут стать ценными уликами в процессе расследования. Если же использовалось дополнительное устройство (к примеру, Apple Watch), то объём и детализация данных значительно возрастают: могут стать доступными такие данные, как пульс и сердечный ритм пользователя, количество потраченных калорий, информация о сне, падениях и многое другое. Привязка данных об активности пользователя ко времени происшествия может дать ключ к расследованию и усилить доказательную базу.
Анализ образов файловой системы iOS (TAR/ZIP)
Elcomsoft Phone Viewer получил поддержку образов файловой системы iOS в виде TAR или ZIP файла, полученного в результате физического извлечения данных посредством Elcomsoft iOS Forensic Toolkit, комплекса GrayKey и аналогичных продуктов. Анализ образа файловой системы позволяет получить доступ к таким данным, как рабочие базы данных приложений, переписка в программах мгновенного обмена сообщениями и электронной почте. Из образов файловой системы извлекаются данные приложения "Здоровье" и многих других системных приложений.