Checkm8與Checkra1n

iOS裝置完整檔案系統提取(FFS)

2020-1-13 by 高田鑑識

研討會VOD

Cellebrite線上研討會

Cellebrite線上研討會主講介紹

iOS提取是一個難以克服的作業。該平台封閉的特質僅允許有限的取證功能。雖然有時提取的技術會有新突破,以幫助鑑識界的同仁,但大多數iOS資料保護機制皆發揮作用,在有螢幕鎖的情況下僅能透過iTunes備份提取,若無法取得螢幕鎖則困難重重。最近公開的漏洞“ Checkm8”允許數位鑑識界能夠在各種iDevices上執行完整檔案系統提取。透過該模式可提取出比iTunes備份更多的關鍵資訊,最重要的是符合數位鑑識模式。

透過本次線上研討會,您可以對以下議題有更進一步暸解:

  • Checkm8和Checkra1n有什麼區別,如何利用這兩個功能強大的工具,以及使用它們時應注意的事項。

  • 完整檔案系統提取的重要性及其對科學鑑識的重要性。

  • UFED客戶如何善用Checkm8與Checkra1n。

線上研討會簡報

  • 註:研討會講師Heather Mahalik簡報上註明UFED 7.28僅支援iPhone 7 – X,2020/1/20日更新版本的UFED 7.28.2.8經測試已可支援iPhone 5S – X。

問答

checkra1n與UFED checkm8完整檔案系統提取是否有差異?

Shahar Tal回答: 使用checkra1n越獄時,裝置必須開機至iOS作業系統,並執行checkra1n工具,這過程不可避免會有部分資料或證據會有更動。如果您有UFED,僅需將裝置進入DFU模式即可進行取證。其他同業也意識到需導入checkm8,但因為取證過程需簡潔與穩定,並且需支援不同的iOS裝置和版本,其中所涉及的開發工作是巨大的,我個人也會很開心看到其他同業可以提供同樣的提取方案,但因為我知道開發門檻,其他同業可能低估了導入的困難度。

USB限制模式是否限制了UFED透過checkm8提取的能力?

Shahar Tal回答: 透過UFED客製化的checkm8可提取任何支援的iOS裝置,不管USB Restricted模式是否已經啟用。若不知道螢幕鎖密碼,僅可提取BFU;但若有螢幕鎖,則可提取完整檔案系統。

checkm8是否有支援iPhone XR之後的裝置?

Shahar Tal回答: checkm8現在可以支援的僅有A5-A11晶片組,A12與A13晶片組無法使用checkm8漏洞去取得系統權限。

Greykey與UFED checkm8完整檔案系統提取有無差異?

Shahar Tal回答: 不管任何一種模式,Greykey、Premium或CAS,基本上皆是透過取得裝置上最高權限,再去進行FFS提取。所以理論上來說,提取出的資料應該不會有太大差異,包含Keychain。但UFED客製化的checkm8提取模式則有一個較大的優勢,主要在掛載用戶分區(Data Partition)時,會採唯讀方式掛載,確保不會有任何資料在提取過程被變更。

checkm8是否可以用於暴力破解iPhone螢幕鎖密碼?

Shahar Tal回答: iPhone 5S之後的裝置因為已導入Secure Enclave安全機制,checkm8無法用於暴力破解螢幕鎖。早期一點的裝置則有可能,但還需投入額外的開發資源。

PA的method 3與checkm8有什麼差別?

Guy Rutenberg回答:PA上的Method 3是一個舊式的提取方式,當初是用於偵測已越獄的裝置並進行完整檔案系統提取。UFED客製化的Checkm8則更優於Method 3,未來在命名方式也會做一些調整,以助降低混淆。