Cellebrite reader что это
21 апреля 2021 года создатель мессенджера Signal Мокси Марлинспайк (Moxie Marlinspike) раскритиковал в своем блоге средство взлома смартфонов от израильской компании Cellebrite. Он проанализировал входящее в его комплект ПО и обнаружил там старые и незакрытые уязвимости, а также проблемы с защищенностью комплекса от подделывания выходных данных. Оказалось, что саму систему для взлома легко скомпрометировать, а предоставляемые ей выгрузки данных из смартфонов не закрыты от внешнего незаметного воздействия.
Технологии Cellebrite с 1999 года позволяют спецслужбам и ИБ-компаниям всего мира получить доступ к данным внутри заблокированных смартфонов в обход стандартных методов защиты.
Марлинспайк рассказал, что комплекс специального ПО от Cellebrite (UFED и Physical Analyzer) для взлома смартфонов работает под управлением ОС Windows. UFED создает резервную копию смартфона на ПК. Фактически это интерфейс для резервного копирования adb на Android и резервного копирования iTunes на iPhone с некоторым дополнительным анализом. После создания резервной копии ПО Physical Analyzer анализирует файлы из резервной копии и показывает данные в доступной для просмотра форме.
Разработчик Signal пояснил, что он работал с последней версией ПО Cellebrite, которое, кстати, защищено аппаратным ключом. Марлинспайк обнаружил, что безопасности этого ПО уделено очень мало внимания. Там нет песочницы и не используются защитные системы для блокировки контента с анализируемых смартфонов, например, эксплойтов. Оказалось, что ПО Cellebrite использует устаревшую версию библиотеки DLL FFmpeg, созданную в 2012 году и с тех пор не обновленную. Хотя за 9 лет для нее было выпущено более сотни обновлений.
В итоге программисты Signal написали небольшой эксплойт для запуска произвольного кода на ПК с ПО Cellebrite. Они пояснили, что практически нет ограничений на код, который может быть запущен в софте для взлома во время проверки им смартфона. С помощью эксплойта, который по факту является специально отформатированным, но в остальном безобидным файлом внутри смартфона, можно не только изменить текущий отчет о сканировании Cellebrite, но и менять предыдущие и будущие отчеты приложения, а также захватить управление над ПК оператора, который занимается сканированием смартфона.
Также оказалось, что Cellebrite использует в своем ПО пакеты MSI с цифровой подписью Apple, извлеченные из установщика iTunes для Windows. ПО Cellebrite использует библиотеки DLL от Apple для извлечения данных с мобильных устройств iOS. Этот факт может не понравиться юристам Apple.
Марлинспайк не уточнил, будут ли встроены какие-либо эксплойты против ПО Cellebrite в новые версии Signal, но в конце блога он рассказал, что следующие версии Signal будут периодически создавать некоторые файлы и копировать их в хранилище смартфона. Эти файлы не будут использоваться для чего-либо внутри Signal и никогда не будут взаимодействовать с программным обеспечением на смартфоне или данными Signal.
В декабре прошлого года Израильская компания Cellebrite утвержала, что смогла взломать криптомессенджер Signal.
Представители Signal опровергли заявления Cellebrite о взломе мессенжера.
В марте 2021 года Cellebrite отказалась продавать технологии взлома смартфонов в Россию и Беларусь.
UFED Touch Ultimate: комплексное решение для мобильной криминалистики
Около месяца назад группа неизвестных хакеров объявила о взломе израильской компании Cellebrite, которая продаёт правоохранительным органам по всему миру программно-аппаратный комплекс Universal Forensic Extraction Device (UFED) для взлома и копирования данных с любых мобильных телефонов. Аналогичные инструменты для криминалистической экспертизы делает российская компания «Элкомсофт». Именно Cellebrite, по слухам, помогла ФБР взломать телефон iPhone 5C под iOS 9, принадлежащий террористу из Сан-Бернардино, который стал камнем преткновения в громком конфликте между Apple и ФБР.
В январе хакеры предоставили для доказательства редакции издания Motherboard архив с 900 ГБ файлов, полученных с серверов Cellebrite. В изъятых файлах — списки клиентов, базы данных и большой объём технической информации о продуктах Cellebrite. Первоначальный анализ данных о клиентах Cellebrite показывает, что среди её клиентов были правоохранительные структуры из таких стран как Россия, ОАЭ, Турция.
Весь архив 900 ГБ пока не опубликован, там много конфиденциальной информации. Но сегодня хакеры выложили в онлайн бинарники коммерческих программ Cellebrite, которые та продаёт своим клиентам в составе программно-аппаратного комплекса для взлома смартфонов Apple.
Ссылки на файлы вместе с заявлением группы хакеров опубликованы на Pastebin.
Файлы размещены на хостинге Mega. К сожалению, уже через несколько часов после публикации файлы удалены с хостинга Mega, найти зеркало пока не удалось (UPD: зато это удалось пользователю ValdikSS, зеркало).
Но с этими инструментами в первые часы после публикации успел ознакомиться специалист по информационной безопасности и известный эксперт по взлому macOS и iOS Джонатан Здзярски (Jonathan Zdziarski). Его мнение очень любопытно узнать.
В опубликованном сегодня дампе выложены эксплойты для обхода защиты в смартфонах iOS, «специально разработанные подпрограммы для расшифровки этой ламерской защиты», демонстрационный файл .eas (библиотека DLL для работы с конкретными устройствами и приложениями) и файлы .epr (загрузчики, эксплойты и шеллкод).
Хакеры обращают внимание, что некоторые эксплойты для Apple очень похожи на стандартные инструменты, доступные каждому юному хакеру-тинейджеру, который играет с джейлбрейками для iPhone. Это общедоступные инструменты для джейлбрейка, которые фактически продаются государственным органам в красивой «обёртке» за десятки и сотни тысяч долларов. В этой связи рекомендуется обратить особое внимание на .epr для Blackberry.
Вместе с файлами в первом дампе — расшифрованные и полностью рабочие скрипты на Python для использования этих эксплойтов.
Джонатан Здзярски говорит, что опубликованные бинарники Cellebrite действительно очень похожи на джейлбрейкерские инструменты, которые распространяются в рамках проекта QuickPWN. Их только адаптировали для криминалистической экспертизы. Например, один из программных модулей в дампе предназначен для брутфорса пинкодов, что не является частью нормальной программы для джейлбрейка.
Если Cellebrite использовала эти программы в своих программно-аппаратных комплексах UFED и других продуктах, то это означает, что они «ограбили» сообщество джейлбрейкеров и использовали непроверенное и экспериментальное ПО в составе своих коммерческих продуктов, считает Здзярски.
Представитель компании Cellebrite официально заявил, что представленные файлы являются частью программного пакета Cellebrite и доступны для клиентов, при этом они распространяются без исходных кодов. Он добавил, что специалисты компании Cellebrite постоянно следят за последними разработками хакерского сообщества, за новыми методами взлома, исследовательскими инструментами, в том числе за джейлбрейками.
В ближайшем будущем хакеры обещают выложить второй дамп файлов. В нём должна быть «небольшая подборка файлов, полученных через сервер обновлений Cellebrite, который устанавливается на устройствах и настольных компьютерах под MS Windows (c привилегиями SYSTEM) внутри инфраструктуры клиента».
Во втором дампе должен быть опубликован отчёт с анализом «техник сжатия и обфускации», которые используются в продуктах Cellebrite, поставленных по заказу Министерства обороны Великобритании, а также версии программ со снятой защитой, поставленные по заказу Главное управление войск специального назначения Министерства обороны США (ГУ СпН МО США или SOCOM) и других организаций.
Следите за релизами на Pastebin.
Месяц назад сообщалось, что среди полученных данных с сервера Cellebrite — кэш веб-сервера с именами и паролями пользователей, которые логинились на портал MyCellebrite. Этот раздел сайта предназначен только для клиентов компании. После публикации статей в издании Motherboard компания Cellebrite официально признала факт взлома «внешнего веб-сервера» с резервной базой данных аккаунтов MyCellebrite. По этому поводу было назначено расследование. Компания уверяла клиентов, что в утечке данных нет ничего особо конфиденциального, только хэши паролей пользователей, которые ещё не мигрировали на новую систему учёта пользовательских аккаунтов. Но независимая экспертиза Motherboard показала, что в том дампе на 900 ГБ есть гораздо больше, чем признаёт Cellebrite.
Компания Cellebrite производит программное обеспечение для автоматизации извлечения и индексирования данных с мобильных устройств. Они работают в "серой" зоне, где корпоративный брендинг идёт бок о бок с "цифровой разведкой", если конечно можно так называть воровство.
В список их клиентов входят авторитарные режимы в Беларуси, России, Венесуэле и Китае; отряды смерти в Бангладеш; военные хунты в Мьянме; а также те, кто жаждет насилия и гнёта в Турции, ОАЭ и других странах.
Их продукты часто связывали с преследованиями журналистов и активистов по всему миру, но о том, как их программы работают и что они делают в действительности было написано гораздо меньше. Поскольку программы Cellebrite ассоциируются с обходом систем защиты, давайте уделим некоторое время изучению безопасности их собственных программ.
Как Cellebrite обманула Apple
С помощью этого устройства можно взломать любой iPhone вне зависимости от модели. Несмотря на то что в последних iPhone компания Apple использует специальное аппаратное оборудование, защищающее смартфон от несанкционированного извлечения данных, пользы от него оказалось не слишком много. Во всяком случае, Cellebrite смогли обойти все препятствия, которые чинили им в Купертино, обманув и систему ввода паролей, заставив её не блокировать смартфон при вводе 10 неправильных комбинаций, и механизм, препятствующий использованию разъёма Lightning, который больше не требовал ввода пароля для активации, и все сопроцессоры, шифрующие информацию и якобы не позволяющие прочесть её.
Поэтому может показаться странным, что сейчас ФБР, когда ей нужно взломать iPhone стрелка из Пенсаколы, обращается за помощью Apple. Ведь в распоряжении ведомства наверняка есть инструментарий и от Cellebrite, и от GrayShift, другой компании, специализирующейся на извлечении данных из заблокированных смартфонов. Но тут всё более чем логично. Власти просто хотят дожать Apple и вынудить её добровольно взломать iPhone, чтобы иметь возможность и в дальнейшем обращаться к ней за этой услугой. Это, во-первых, придаст процедуре легитимности, а, во-вторых, сэкономит деньги, потому что по разным подсчётам годовая лицензия на инструмент для извлечения данных может стоить до ста тысяч долларов.
Unison
Igor_Mich
Cellebrite Reader только показывает результаты полученные с помощью UFED Physical Analyzer из данных (физического дампа, файловой системы, резервной копии и т.д.) которые извлекли из устройств с помощью UFED Touch или UFED PC. К сожалению, UFED Physical Analyzer, не самый надежный инструмент. За ним глаз да глаз нужен. То SMS-ки не все вытащит, то чаты потеряет.
Коллега, я немножко сильно в шоке с того, что вы делаете. Вы привели итоговый скриншот "14.JPG" (где показан UFDR файл размером более 52 Гб, кстати, не задавались вопросом почему итоговый размер 52Гб? ZTE BLADE V8 имеет объем памяти 32Гб, так что размер UFDR файла, который у вас получился, скажем так эээ странен.). На скриншоте "Открытие файла образа смартфона" мы видим, что размер исходного UDF файла 2Кб (да, да не гигабайт, а килобайт). Конечно, я знаю, что технологии компрессии данных хорошо развиты, но согласитесь, получить из файла размером 2Кб файл размером 52Гб - это уже слишком. В статье я не нашел объяснения этого чудесного превращения.
Unison
Коллега, я немножко сильно в шоке с того, что вы делаете. Вы привели итоговый скриншот "14.JPG" (где показан UFDR файл размером более 52 Гб, кстати, не задавались вопросом почему итоговый размер 52Гб? ZTE BLADE V8 имеет объем памяти 32Гб, так что размер UFDR файла, который у вас получился, скажем так эээ странен.). На скриншоте "Открытие файла образа смартфона" мы видим, что размер исходного UDF файла 2Кб (да, да не гигабайт, а килобайт). Конечно, я знаю, что технологии компрессии данных хорошо развиты, но согласитесь, получить из файла размером 2Кб файл размером 52Гб - это уже слишком. В статье я не нашел объяснения этого чудесного превращения.
Это очень интересный феномен роста файла отчета, так как когда Cellebrite Reader загружает в себя отчет он дублирует файлы(может при форматировании файла UFED сам так делает). Как видно:
данные в 3-х ветках.
И данные, допустим браузера - файл History с идентичным содержанием находиться как в ветке raw так и в application. Почему так? Как говорил мой преподаватель по программированию: "Вопрос к разработчикам".
Igor_Mich
UDF - это обычный текстовый файл который можно открыть Блокнотом. Там содержится немного информации об устройстве, из которого извлекли данные, сведения об извлечении, ключи шифрования и . и все. Тех данных, скриншоты на которые вы нам тут приводите, там нет по определению.
Вот, например, содержимое UDF файла, полученного при извлечении данных из iPhone 3GS
[General]
ConnectionType=Cable No. 110
Date=23/10/2012 15:21:58
Device=IPHONE_PHYSICAL
EndTime=23/10/2012 15:49:04
FullName=Apple iPhone
[Image]
Classkey_11=1F4DBD596084CC87D3776A768633CF35ABBAC7A4573CCFBF88C588055949B35F
Classkey_10=1989EA8E5AFF11C6B373221D77BF1ECABFA43697D9DE3525E904706409B5CD9C
Classkey_9=B7478B8C314A947221CC0F259522D4C87FF693FB251D31217E646DA7CB332369
Classkey_8=DEA47D32FA344D2F46C0F6FAB8B13D6832F9B9BF6665D1D23465495D64D6EE3D
Classkey_7=C1B072EE80DB0D619C34322047A62813BE5235FBC381D9DB568C16AE3008EDB0
Classkey_6=64A0474E7E0E41D18EA4E5FED80A5D0A35A361DF2799E841A65C673A01447ADD
Classkey_5=D9849509EE6A82863A185C800503A20FD442600F6D9EC52833E4B212BE589466
Classkey_3=5E4F2E6A3316F0539BE340AE24DF5354653A865FC7A5D620296C74986D378E0C
Classkey_2=C4C8681FED70B586D9BBAAB1DE3BE492CA9C20CB1F8D7D17A98C693FC0C39A92
Classkey_1=7D7FF666933CA4E6E413FCFB30092ADFE39132892FB6D514661684AEE356647B
BaseLBA=192006
Classkey_4=7768e5f90e0752e0dc60601865b343ea7861e6c4956af55a9d15cd05261fcb39
EMFkey=79839f54d3e9d817ce5ef8a130aaae15a35ff911909574a499c84fdb9937b939
key835=bbcd6a63280268b32eea09a7fe161019
key89B=f1f67a1d53b85942f3b60f9f9d19652d
Passcode=
PasscodeKey=0f57aafeb555113c6d3d3790fa204351fb7af6a84491b91c783d4b84071c49ae
[DeviceInfo]
IMEI=011982009759461
SerialNumber=879396L03NP
ECID=000001475A127DCF
ConfigBoard=n88ap
iBootVersion=iBoot-1072.59
CPID=8920
Capacity=15GB
Passcode=
Extraction_Partition=User_System_Data
Все гигабайты данных которые оказываются в итоговом UFDR файле находятся в файлах (бинарниках или архивах), которые лежат в той же папочке, где находится и файл UDF. А следовательно, "Скрипач не нужен". Не надо никакого UDF файла чтобы конвертнуть данные в UDFR и потом подсунуть это UFED Reader.
Несмотря на то что джейлбрейк очень долго был едва ли не единственным способом пользоваться iPhone так, как хотелось самому владельцу, со временем, это явление в принципе исчезло. Это произошло даже не потому, что Apple расширила функциональные возможности фирменных смартфонов, и пользователям больше не хотелось их взламывать, отнюдь. Причиной всему стал небывалый скачок в развитии защитных механизмов, применяемых Apple. Именно они не позволяли доморощенным хакерам взломать iOS, делая её, пожалуй, самой защищённой коммерческой ОС. Но нашлись специалисты, которые поставили это утверждение под сомнение.
Cellebrite успешно взламывает iPhone уже 4 года
Шотландская полиция опубликовала видео с наглядной демонстрацией работы устройства для взлома iPhone от израильской компании Cellebrite. Это она, если помните, в 2016 году оказала ФБР содействие в разблокировке смартфона террориста из Сан-Бернардино, позволив спецслужбам не обращаться за помощью к Apple. Но если принцип работы инструмента был, в общем-то, понятен – он использовал лазейку в iOS и подбирал пароль, — то большинство из нас представляли его себе как маленькую коробочку размером с Apple TV, что оказалось совсем не так.
Уязвимости
Учитывая количество имеющихся возможностей, мы обнаружили, что можно выполнить произвольный код на машине с Cellebrite, просто добавив специально отформатированный, но в остальном безобидный файл в любое приложение на устройстве, которое впоследствии подключается к Cellebrite и сканируется. Ограничений на код, который может быть выполнен, практически нет.
Например, таким образом можно выполнить код, который модифицирует не только созданный в этом сканировании отчёт Сellebrite, но и все предыдущие и будущие отчёты Cellebrite со всех ранее отсканированных устройств, а также со всех будущих устройств любым произвольным способом (вставляя или удаляя текст, электронную почту, фотографии, контакты, файлы или любые другие данные), без каких-либо обнаруживаемых изменений временных меток или сбоях в проверках контрольных сумм. Это даже может быть сделано случайным образом, что серьёзно подставит под сомнение целостность данных в отчётах Cellebrite.
Любое приложение может содержать такой файл, и до тех пор, пока Cellebrite не сможет точечно устранить все уязвимости в своём программном обеспечении, с чрезвычайно высокой степенью уверенности можно сказать, что единственное средство, которое есть у пользователя Cellebrite - это не сканировать устройства. Cellebrite может снизить риск для своих пользователей, обновив их программное обеспечение, чтобы прекратить сканирование приложений, которые Сellebrite посчитает очень рискованными для такого типа проблем целостности данных, но даже это не является гарантией.
Мы же, конечно, готовы ответственно сообщать Cellebrite о конкретных уязвимостях, известных нам, если они сделают тоже самое для всех уязвимостей, которые они используют в физическом извлечении данных с устройств, а также в других сервисах их соответствующим поставщикам, сейчас и в будущем.
В нужное время, в нужном месте.
По поистине невероятному стечению обстоятельств, недавно я выходил на прогулку и увидел, как маленький кейс упал с грузовика впереди меня. По мере моего приближения, скучный корпоративный шрифт на кейсе постепенно становился всё более чётким. Подойдя вплотную, я увидел: "Cellebrite".
Внутри него мы нашли последние версии программного обеспечения Cellebrite, аппаратный ключ, предназначенный для предотвращения пиратства (это кое-что говорит о их клиентах, наверное), и необычайно большое количество переходников и адаптеров для кабелей.
Кейс Cellebrite на обочине дороги.
Авторское право
Ещё, из интересного, установщик для Physical Analyzer содержит два пакета установщиков MSI под названием AppleApplicationsSupport64.msi и AppleMobileDeviceSupport6464.msi . Эти два пакета MSI имеют цифровую подпись Apple и, кажется, были извлечены из установщика для Windows программы iTunes версии 12.9.0.167.
MSI-пакеты.
Программа установки Physical Analyzer устанавливает эти MSI-пакеты на C:\Program Files\Common Files\Apple . Они содержат библиотеки (DLL), реализующие тот функционал, который iTunes использует для взаимодействия с iOS устройствами.
DLL-библиотеки, установленные в систему.
Cellebrite iOS Advanced Logical Tool загружает эти библиотеки Apple и использует их функциональность для извлечения данных с мобильных устройств на базе iOS. На скриншоте ниже показано, что библиотеки от Apple загружаются в процесс UFED iPhone Logical.exe, который является именем для процесса iOS Advanced Logical Tool.
DLL-библиотеки, загруженные в процесс.
Нам кажется маловероятным, что Apple предоставила Сellebrite лицензию на повторное распространение и включение собственных библиотек в продукты Cellebrite, так что этот факт может понести за собой определённые юридические риски для Сellebrite и их пользователей.
Предыстория
Во-первых, всё, что касается Cellebrite, начинается с того, что кто-то другой уже держит ваше устройство в руках. Cellebrite не осуществляет перехвата данных или удалённого наблюдения. Их основных программных продукта два (и оба для Windows): UFED и Physical Analyzer (физический анализатор).
UFED создаёт резервную копию вашего устройства на машине под управлением Windows (по сути, это фронтенд для adb backup на Android и резервной копией от iTunes на iPhone, с извлечением некоторых дополнительных данных). После создания резервной копии, Physical Analyzer затем разбирает файлы из резервной копии, чтобы отобразить данные в обозримом виде.
Когда компания Сellebrite объявила, что они добавили поддержку мессенджера Signal, это на самом деле означало то, что в Physical Analyzer они добавили поддержку для форматов файлов, используемых Signal. Это позволяет Physical Analyzer отображать данные мессенджера, которые были извлечены из разблокированного устройства, находящегося в физическом владении пользователя Cellebrite.
Если кто-то держит ваше разблокированное устройство в руках, то он может открыть любое приложение и делать скриншоты всего, что в нём есть, чтобы сохранить их и повторно посмотреть их позже. По сути, Cellebrite автоматизирует этот процесс для того, кто физически владеет вашим устройством.
Программное обеспечение
Любой, кто знаком с программной безопасностью, сразу поймёт, что основной задачей программного обеспечения Cellebrite является анализ "ненадёжных" ("untrusted") данных из самых разных форматов, используемых различными приложениями. То есть, данные, которые программное обеспечение Cellebrite должно извлекать и отображать, в конечном счёте, генерируются и контролируются приложениями на устройстве, а не "доверенным" источником, поэтому Cellebrite не может делать никаких предположений о "правильности" упорядоченных данных, которые он получает. Вот в этом месте возникают практически все уязвимости в безопасности.
Поскольку почти весь код Сellebrite существует для разбора недоверенных входных данных, которые могут быть отформатированы неожиданным образом для эксплуатации повреждения памяти или других уязвимостей в обрабатываемых программах, можно ожидать, что Cellebrite действуют крайне осторожно.
Однако, глядя на UFED и Physical Analyzer, мы были удивлены, обнаружив, что, кажется, очень мало заботы было уделено безопасности собственного программного обеспечения Сellebrite. Отраслевые стандарты защиты от эксплойтов отсутствуют, и есть много разных возможностей для эксплуатации.
В качестве лишь одного примера (не связанного с тем, что следует далее), их программное обеспечение укомплектовано с библиотеками FFmpeg, которые были скомпилированы ещё в 2012 году, и в дальнейшем не менялись. За это время было выпущено более ста обновлений безопасности для FFmpeg, ни одно из которых не было применено в Сellebrite.
Уязвимости в FFmpeg по годам.
Совершенно не связанное
По странному совпадению, будущие версии мессенджера Signal будут периодически загружать файлы для размещения в хранилище приложения (App Storage). Эти файлы никогда не используются ни для чего внутри Signal и никогда не взаимодействуют с самим мессенджером или данными, но они просто выглядят эстетично, а эстетика в программном обеспечении важна.
Такие файлы будут создаваться только для постоянных пользователей приложения в течении некоторого времени, и только в низком процентном соотношении, основанном на шардинге телефонных номеров.
У нас есть несколько различных версий файлов, которые мы считаем эстетически привлекательными, и с течением времени мы будем их медленно перебирать. Иного предназначения у этих файлов нет.
Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data и увидим следующее:
В открывшемся окне импорта данных выбираем пункт меню Cellebrite UFD(так образ смартфона у нас как раз в формате UFD), в открывшемся меню выбираем нашу папку с образом смартфона и открываем файл в формате UFD.
В этом окне можно фильтровать данные в образе, так как нам нужна вся информация переходим далее с помощью кнопки Next.
В этом окне возможно произвести настройку отчета (выбрать язык, временную линию и внести комментарии в отчету). Временная линия относиться только к отчету, не к информации в ней. В дальнейшем Cellebrite Reader сам задаст вопрос о выборе временной линии при открытии отчета.
После проделанных действий мы переходим к выбору формата отчета, выбираем формат Cellebrite UFDR и кликаем Next.
Для использования анализаторов их предварительно требуется установить. У нас их нет, так что просто кликаем Next.
Далее выбираем место хранения образа, кликаем Export и ждём.
Ошибок много, но операция завершена и можно перейти в папку с готовым образом для Cellebrite Reader.
Открываем наш образ в Cellebrite Reader:
Как мы видим на скриншоте выше закладки есть только в браузере Opera а браузера Chrome только историю. Меня такая ситуация смущает. Проверим по наличию файлов браузера Opera.
В итоге файлы есть, но Cellebrite Reader не хочет их парсить. Что ж найдём их и сделаем парсинг сами.
По пути на скриншоте выше находим файлы базы данных и сохраняем их:
Если использовать даже самую надежную программу, не ленитесь проверять все вручную! Результаты могут быть не одинаковые)
Вложения
Как взломать iPhone
На самом деле инструмент взлома от Cellebrite представляет собой компьютер-моноблок на подставке с разъёмами, через которые и подключаются взламываемые смартфоны. Вместо операционной системы на него установлена программное обеспечение для разблокировки, которое хоть и исполнено довольно примитивно с точки зрения оформления, максимально наглядно и интуитивно — видимо, большего правоохранителям и не требуется. Полицейскому только остаётся, что подключить iPhone или любой другой смартфон по кабелю, выбрать информацию, которую нужно скопировать из памяти аппарата, и запустить процесс извлечения.
Подпишись на наш чат в Telegram. Его взломать не может даже Cellebrite.
Как видно на видео, инструмент Cellebrite позволяет получить доступ практически ко всем данным. Это и фотографии, и SMS, и MMS, и записи календаря, и список звонков, и даже загруженные файлы. Кроме того, извлечение данных производится из памяти самого смартфона, SIM-карты, на которой обычно хранят номера телефонов, и из карты памяти. А вот данных о перемещениях владельца взламываемого аппарата, что зачастую может оказаться довольно ценной уликой, почему-то нет. Возможно, потому что сама Apple предоставляет эти сведения по официальному запросу, а, возможно, кнопка для извлечения этой информации просто не попала на видео.
Предыстория
Во-первых, всё, что касается Cellebrite, начинается с того, что кто-то другой уже держит ваше устройство в руках. Cellebrite не осуществляет перехвата данных или удалённого наблюдения. Их основных программных продукта два (и оба для Windows): UFED и Physical Analyzer (физический анализатор).
UFED создаёт резервную копию вашего устройства на машине под управлением Windows (по сути, это фронтенд для adb backup на Android и резервной копией от iTunes на iPhone, с извлечением некоторых дополнительных данных). После создания резервной копии, Physical Analyzer затем разбирает файлы из резервной копии, чтобы отобразить данные в обозримом виде.
Когда компания Сellebrite объявила, что они добавили поддержку мессенджера Signal, это на самом деле означало то, что в Physical Analyzer они добавили поддержку для форматов файлов, используемых Signal. Это позволяет Physical Analyzer отображать данные мессенджера, которые были извлечены из разблокированного устройства, находящегося в физическом владении пользователя Cellebrite.
Если кто-то держит ваше разблокированное устройство в руках, то он может открыть любое приложение и делать скриншоты всего, что в нём есть, чтобы сохранить их и повторно посмотреть их позже. По сути, Cellebrite автоматизирует этот процесс для того, кто физически владеет вашим устройством.
Читайте также: