4 votes

Rich avatar

Comment faire une sauvegarde de mon iPhone afin de réaliser des analyses judiciaires

Demandé el 7 de Août, 2019
Quand la question a-t-elle été
1327 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je voudrais être en mesure d'exécuter une analyse forensique sur mon iPhone à partir d'une copie de disque dump faite sur mon Mac ou tout type de système Unix comme je le ferais à partir de n'importe quel disque externe avec une commande dd.

Pour ceux qui sont curieux : pourquoi je veux effectuer une telle analyse forensique? Je voudrais détecter les logiciels malveillants, les fuites de données, vérifier ce qui est crypté, ce qui ne l'est pas..., c'est une méthode que j'aimerais être capable d'exécuter facilement et aussi fréquemment que nécessaire pour un audit de sécurité. Je ne fais confiance qu'à ce que je comprends!

Je suis ouvert à toute méthode logicielle que je peux reproduire.

Comment puis-je procéder pour voir mon iPhone comme un disque normal?

Comment puis-je décrypter le dump obtenu puisque je connais mon mot de passe, mais pas comment est construite la clé AES à partir de celui-ci?

Demandé el 7 de Août, 2019 par Rich

Réponses

Trop de publicités?

3voto

Jose Chavez avatar
Jose Chavez Points 645

Vous pouvez lire comment le chiffrement est effectué et comment les clés AES sont construites dans le Guide de sécurité d'Apple pour iOS :

https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf

En particulier, cela décrit que la clé n'est pas disponible pour le processeur de l'application. Elle est uniquement disponible dans l'Enclave Sécurisé. Cela signifie que même si vous connaissez votre mot de passe, vous ne pouvez pas reconstruire la clé AES à partir de celui-ci sur un ordinateur différent.

Cela signifie qu'il n'est pas possible de faire ce que vous voulez (c'est-à-dire, extraire le contenu brut du disque et le décrypter sur un autre ordinateur en utilisant des clés AES que vous avez générées à partir de votre propre mot de passe sur cet ordinateur).

En ce qui concerne l'extraction du contenu brut du disque, vous pouvez utiliser la commande dd si vous le souhaitez - mais vous ne pouvez pas vraiment l'utiliser pour quoique ce soit.

Répondu el 7 de Août, 2019 par Jose Chavez (645 Points )

0 votes

Avatar de Kerry Jones

Les cabinets professionnels proposent de réaliser des travaux d'investigation sur les appareils iOS.

Commenté el 8 de Août, 2019 par Kerry Jones

0 votes

Avatar de Rich

@historystamp : absolument vrai. Il s'agit de la seule compétence publiquement reconnue. J'espère que ce secret ne restera pas protégé entre les mains d'Apple, des agences gouvernementales et des cybercriminels.

Commenté el 17 de Octobre, 2019 par Rich

0 votes

Avatar de user3439894

@historystamp Travailler sur un appareil iOS physique par rapport à une image dd de celui-ci sont deux choses totalement différentes.

Commenté el 17 de Octobre, 2019 par user3439894
Afficher 2 autres commentaires

2voto

Wilfred Smith avatar
Wilfred Smith Points 1844

Vous devrez mettre la main à la pâte. En supposant qu'il s'agisse d'un iPhone que vous n'utiliserez pas forcément à nouveau...

Vous devrez désassembler le téléphone, enlevant les parties flash (le disque comme la plupart des gens l'appellent). Vous devez le faire avec précaution car vous devrez remplacer les parties flash et l'Enclave Sécurisée de manière à ce qu'ils ne se désapparient pas l'un de l'autre.

Copier le contenu brut des parties flash vous permettra de vérifier s'il y a quelque chose de stocké en texte clair, mais je peux vous éviter la peine... tout ce qui se trouve du côté professionnel de l'Enclave sécurisée est crypté.

Si vous avez été très prudent, vous pouvez démarrer le téléphone et essayer d'accéder aux données connues. Vous voudrez avoir un analyseur logique des deux côtés de l'Enclave Sécurisée afin de voir ce qu'il a obtenu de quelle partie de la flash. Les broches pour les parties flash sont bien connues, mais la disposition BGA pour les ASIC personnalisés d'Apple est quelque peu nébuleuse.

Avec un effort considérable, vous pouvez lire différents modèles de données, mais si vos fausses réponses sont trop erronées, une erreur de bus est générée et tout s'arrête de fonctionner jusqu'à ce que vous coupiez le courant et recommenciez.

Honnêtement, cela ne vaut pas la peine à moins que quelqu'un ne vous paie des millions pour les données que vous récupérez. Jouer avec un téléphone cassé juste pour satisfaire votre curiosité est une chose, mais vous aurez besoin de sérieuses compétences en ingénierie électronique et d'équipement pour effectuer des expertises forensiques sur un iPhone.

Répondu el 18 de Octobre, 2019 par Wilfred Smith (1844 Points )

0 votes

Avatar de Rich

Je suis à la recherche d'une méthode que je vais exécuter sur mon iPhone. Je ne veux pas le détruire.

Commenté el 25 de Octobre, 2019 par Rich

0 votes

Avatar de Wilfred Smith

Dan, je ne crois pas qu'il y ait un moyen possible d'exécuter une application sur un iPhone et de récupérer le contenu brut du disque. Même si vous avez le mot de passe (en tant qu'utilisateur légitime du téléphone), d'autres sels sont utilisés pour le cryptage, et dans certaines régions, le Secure Enclave ne vous permettra pas de récupérer. Sans démonter le téléphone, vous DEVEZ passer par le Secure Enclave. Apple a explicitement veillé à ce qu'aucune commande ne puisse être émise pour lire ou écrire des blocs bruts (comme vous le feriez avec une commande comme dd). Une solution matérielle est nécessaire pour faire ce que vous voulez. C'est prévu.

Commenté el 26 de Octobre, 2019 par Wilfred Smith

0 votes

Avatar de Wilfred Smith

Au fait, même avec un jailbreak, vous ne pouvez pas contourner le Secure Enclave. Peut-être devriez-vous envisager d'obtenir un Android.

Commenté el 26 de Octobre, 2019 par Wilfred Smith

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X