14/01/2024
V digitálním věku se mobilní telefony stávají úložištěm obrovského množství osobních i citlivých dat. V oblasti digitální forenzní analýzy je schopnost získat tato data z uzamčených nebo poškozených zařízení klíčová. Exploit checkm8, trvalá hardwarová chyba nalezená v milionech iPhonů a iPadů, nabízí bezprecedentní možnost přístupu k těmto zařízením. S nedávným vydáním iOS Forensic Toolkit (EIFT) 8.0 se tato možnost stává dostupnější a forenzně spolehlivější, a to díky rozhraní příkazového řádku, které poskytuje úplnou kontrolu nad procesem extrakce. Tento průvodce vás provede nezbytnými kroky k provedení čisté a forenzně správné extrakce kompatibilního zařízení iPhone nebo iPad.
- Co je to Exploit Checkm8 a Proč je Důležitý pro Forenzní Analýzu?
- Příprava na Extrakci: Co Budete Potřebovat?
- Kroky Extrakce pro Zařízení s iOS 15 a Staršími Verzemi
- Kroky Extrakce pro Zařízení s iOS 16
- Jak Přepnout Zařízení do Režimu DFU (Device Firmware Update)?
- Kompatibilní Zařízení pro Checkm8 Extrakci
- Často Kladené Otázky (FAQ)
- Závěr
Co je to Exploit Checkm8 a Proč je Důležitý pro Forenzní Analýzu?
Checkm8 (čti "checkmate") je název pro nevratnou hardwarovou zranitelnost, která byla objevena v bootromu (prvotním zavaděči) mnoha zařízení Apple. Jelikož se jedná o chybu v hardwaru, nelze ji opravit aktualizací softwaru. To znamená, že jednou zranitelné zařízení zůstane zranitelné navždy. Pro forenzní experty to představuje zlatý důl, neboť umožňuje obejít většinu softwarových zabezpečení, včetně uzamčené obrazovky a omezení USB, a získat přístup k datům na systémové úrovni. To je obzvláště cenné u zařízení, u kterých není znám heslový kód, nebo která jsou v omezeném režimu (USB Restricted Mode). Díky iOS Forensic Toolkit 8.0 je tento proces nyní plně integrován a optimalizován pro forenzní použití, což minimalizuje riziko poškození dat a zajišťuje jejich integritu.
Příprava na Extrakci: Co Budete Potřebovat?
Než se pustíte do procesu extrakce, je nezbytné mít připravené všechny potřebné nástroje a splněné podmínky. Extrakce pomocí exploitu checkm8 je specifická a vyžaduje přesné nastavení, aby byla úspěšná a forenzně spolehlivá. Zde je podrobný seznam všeho, co budete potřebovat:
| Položka | Popis a Důležité Poznámky |
|---|---|
| Počítač Mac | Budete potřebovat skutečný počítač Mac (žádné virtuální stroje!) k instalaci exploitu a provedení extrakce. Podporovány jsou Macy s procesory Intel i M1. Virtuální stroje nejsou spolehlivé pro správnou interakci s hardwarem zařízení v DFU režimu. |
| iOS Forensic Toolkit 8 pro Mac | Ujistěte se, že máte edici nástroje určenou pro Mac. Tato verze je speciálně navržena pro využití exploitu checkm8 a poskytuje potřebné příkazové řádky pro forenzní extrakci. |
| Podporované zařízení iPhone nebo iPad | Kompletní seznam kompatibilních zařízení naleznete níže v sekci "Kompatibilní Zařízení". Zařízení musí být dostatečně funkční, aby mohlo být přepnuto do režimu DFU (Device Firmware Update). Uzamčená zařízení a zařízení s omezením USB jsou podporována. |
| Zámek obrazovky musí být známý nebo prázdný | Pokud není zámek znám, je možná pouze omezená extrakce BFU (Before First Unlock), ale touto cestou lze získat jen velmi málo informací. Pro plnou extrakci dat je klíčové mít přístup k zařízení nebo znát kód. |
| Podporovaná verze iOS | Všimněte si, že zařízení iPhone s iOS 16.x mají pro extrakci checkm8 pouze omezenou podporu. Je důležité ověřit si kompatibilitu vaší verze iOS. |
| Kabel USB-A na Lightning | Kabely Type-C na Lightning nejsou podporovány pro tento typ extrakce. Použijte adaptér USB-A na Type-C nebo, ještě lépe, USB hub, pokud váš Mac nemá porty USB-A. |
| Přesná verze a číslo sestavení iOS | Budete muset zjistit přesnou verzi a číslo sestavení iOS nainstalovaného na iPhonu. EIFT se pokusí tyto informace automaticky detekovat během procedury, ale je dobré je mít předem. |
| Oficiální firmware Apple (IPSFW) | Musíte být schopni stáhnout oficiální firmware Apple (odkaz ke stažení bude poskytnut během extrakce), který odpovídá verzi iOS nainstalované na zařízení. Je to klíčové pro správné fungování exploitu, zejména u novějších verzí iOS. |
Kroky Extrakce pro Zařízení s iOS 15 a Staršími Verzemi
Proces extrakce dat se mírně liší v závislosti na verzi operačního systému iOS. Níže naleznete podrobný návod pro zařízení s iOS 15 a staršími verzemi. Důraz je kladen na zachování forenzní integrity dat.
1. Zakázání Automatického Spouštění (Auto-boot)
Prvním a velmi důležitým krokem je zakázání funkce automatického spouštění zařízení, aby se zabránilo nechtěnému restartu do iOS, pokud by se sekvence DFU nezdařila. To je klíčové pro forenzní data integritu.
- Pokud je zařízení zapnuto, vypněte jej.
- Přepněte zařízení do režimu zotavení (Recovery mode) a připojte jej k počítači. Zařízení by mělo zobrazit obrazovku "připojit k iTunes".
Důležitá poznámka k auto-boot: iOS Forensic Toolkit 8 automaticky nastaví hodnotu auto-boot na False v určitém okamžiku po odeslání ibootu, ale před odesláním jádra a spuštěním ramdisku. Toto chování účinně chrání uživatelská data před náhodnými úpravami způsobenými chybou uživatele při vstupu do DFU. Důležitým důsledkem je, že zařízení bude mít po dokončení extrakce stále povolený příznak 'autobootFalse'. To znamená, že jakékoli následné zapnutí nebo restart způsobí, že se zařízení spustí do režimu zotavení místo spuštění nainstalovaného operačního systému. Doporučujeme ponechat tento příznak povolený po celou dobu, kdy je zařízení uchováno jako důkaz, a vrátit jej na 'autobootTrue' až těsně předtím, než bude zařízení vráceno jeho majiteli. Experti mohou ručně přepnout příznak 'autoboot' pomocí následujícího příkazu provedeného, když je zařízení v režimu zotavení: ./EIFT_cmd tools autobootFalse. Jakmile je tento příkaz proveden, změní chování zařízení během sekvence spouštění. Pokud je zařízení zapnuto nebo restartováno s 'autobootFalse', načte se režim zotavení místo hlavního operačního systému. Spuštění do režimu zotavení je bezpečné, protože se nemění žádná uživatelská data. Příznak je uložen v NVRAM zařízení a přežije restarty i vypnutí. Doporučujeme udržovat zařízení ve stavu 'autobootFalse' až do okamžiku, kdy je zařízení uvolněno a vráceno majiteli, v takovém případě by jiný příkaz (provedený, když je zařízení v režimu zotavení) obnovil schopnost spouštět iOS: ./EIFT_cmd tools autobootTrue.
2. Spuštění EIFT v Režimu Čekání
Otevřete terminál na vašem Macu a spusťte EIFT v režimu čekání. Tím zajistíte, že nástroj bude připraven detekovat zařízení, jakmile vstoupí do DFU režimu.
- Spusťte příkaz:
./EIFT_cmd boot -w - Pokud zařízení není v režimu zotavení, přepněte jej do režimu zotavení. Pokyny naleznete v následující kapitole.
3. Přepnutí do Režimu DFU a Aplikace Exploitu
Z režimu zotavení přepněte zařízení do režimu DFU. Jakmile je zařízení v DFU, EIFT automaticky detekuje zařízení a aplikuje exploit checkm8.
- Jakmile je exploit úspěšně aplikován, spusťte následující příkazy pro extrakci dat:
./EIFT_cmd ramdisk loadnfcd./EIFT_cmd ramdisk unlockdata -s./EIFT_cmd ramdisk keychain -o {filename}(pro extrakci klíčenky)./EIFT_cmd ramdisk tar -o {filename}(pro extrakci souborového systému)
4. Vypnutí Zařízení
Po dokončení extrakce je důležité zařízení řádně vypnout, aby se zachovala jeho integrita.
- Spusťte příkaz:
./EIFT_cmd ssh halt
5. Znovupovolení Automatického Spouštění (Při Vrácení Zařízení)
Jakmile jste připraveni vrátit zařízení jeho majiteli, znovu povolte automatické spouštění.
- Zapněte zařízení. Automaticky se spustí do režimu zotavení.
- Spusťte iOS Forensic Toolkit a spusťte následující příkaz, když je zařízení stále v režimu zotavení:
./EIFT_cmd tools autobootTrue
Kroky Extrakce pro Zařízení s iOS 16
Extrakce dat z zařízení s iOS 16 se mírně liší kvůli novým bezpečnostním prvkům a omezené podpoře exploitu checkm8 pro tuto verzi. Zde jsou specifické kroky:
1. Zakázání Automatického Spouštění (Auto-boot)
Stejně jako u starších verzí iOS je klíčové zakázat automatické spouštění, aby se zabránilo nechtěnému restartu do iOS.
- Pokud je zařízení zapnuto, vypněte jej.
- Přepněte zařízení do režimu zotavení a připojte jej k počítači. Zařízení by mělo zobrazit obrazovku "připojit k iTunes".
Poznámka k auto-boot: Platí stejné zásady a příkazy jako pro iOS 15 a starší. Pro forenzní účely se doporučuje udržovat autobootFalse, dokud není zařízení vráceno.
2. Spuštění EIFT v Režimu Čekání
Otevřete terminál na vašem Macu a spusťte EIFT v režimu čekání.
- Spusťte příkaz:
./EIFT_cmd boot -w - Pokud zařízení není v režimu zotavení, přepněte jej do režimu zotavení.
3. Přepnutí do Režimu DFU a Aplikace Exploitu (s Firmwarem)
Z režimu zotavení přepněte zařízení do režimu DFU. Jakmile je zařízení v DFU, EIFT automaticky detekuje zařízení a aplikuje exploit.
- Důležitá poznámka: Budete muset stáhnout odpovídající soubor firmwaru (IPSFW) ze serverů Apple nebo zadat odkaz ke stažení, když k tomu budete vyzváni. To je specifické pro iOS 16.
- Po úspěšné aplikaci exploitu a načtení firmwaru spusťte následující příkazy:
./EIFT_cmd ramdisk unlockdata./EIFT_cmd ramdisk keychain -o {filename}./EIFT_cmd ramdisk tar -o {filename}
4. Vypnutí Zařízení
Po dokončení extrakce je důležité zařízení řádně vypnout.
- Spusťte příkaz:
./EIFT_cmd ssh halt
5. Znovupovolení Automatického Spouštění (Při Vrácení Zařízení)
Jakmile jste připraveni vrátit zařízení jeho majiteli, znovu povolte automatické spouštění.
- Zapněte zařízení. Automaticky se spustí do režimu zotavení.
- Spusťte iOS Forensic Toolkit a spusťte následující příkaz, když je zařízení stále v režimu zotavení:
./EIFT_cmd tools autobootTrue
Jak Přepnout Zařízení do Režimu DFU (Device Firmware Update)?
Přepnutí zařízení do režimu DFU může být složité, zvláště pokud jste to nikdy předtím nedělali. Kroky se liší pro různé modely zařízení a na obrazovce není žádná indikace úspěšného vstupu do DFU. Musíte pečlivě dodržovat kroky a pozorovat časování, a konečným výsledkem bude prázdná obrazovka. Důrazně doporučujeme nejprve přepnout zařízení do režimu zotavení a teprve z něj vstoupit do DFU.
DFU pro iPhone 6s, 6s Plus a Starší Modely
Krok 1: Vstup do režimu zotavení (Recovery Mode)
- Na iPhone 7, iPhone 7 Plus:
- Ujistěte se, že je zařízení vypnuto. Pokud ne, vypněte jej normálně.
- Stiskněte a podržte tlačítko pro snížení hlasitosti (Vol-).
- Držte tlačítko; připojte iPhone k počítači.
- Stále držte tlačítko, dokud se na zařízení nezobrazí obrazovka zotavení ("připojit k iTunes").
- Na iPhone 6s a starších zařízeních, včetně iPhone SE (1. generace):
- Ujistěte se, že je zařízení vypnuto. Pokud ne, vypněte jej normálně.
- Stiskněte a podržte tlačítko Home.
- Držte tlačítko; připojte iPhone k počítači.
- Stále držte tlačítko, dokud se na zařízení nezobrazí obrazovka zotavení ("připojit k iTunes").
Krok 2: Vstup do režimu DFU
- Na iPhone 6s a starších zařízeních, včetně iPhone SE (1. generace):
- Stiskněte tlačítko napájení (nebo boční tlačítko) a tlačítko Home (Touch ID). Držte přesně 8 sekund.
- Uvolněte tlačítko napájení (boční); držte tlačítko Home přesně 8 sekund.
- Na iPhone 7 a 7 Plus:
- Stiskněte boční tlačítko a tlačítko pro snížení hlasitosti (Vol-). Držte přesně 8 sekund.
- Uvolněte boční tlačítko; držte tlačítko pro snížení hlasitosti (Vol-) přesně 8 sekund.
Obrazovka iPhonu zůstane černá. Pokud uvidíte obrazovku zotavení nebo se zařízení začne spouštět do iOS, opakujte kroky od začátku.
DFU pro iPhone 8, 8 Plus a iPhone X (zařízení s čipem A11 Bionic)
Zařízení založená na čipu A11 Bionic mají dva mírně odlišné režimy DFU. Přepnutí zařízení do správného režimu DFU je klíčové pro úspěšné získání dat. Správný postup zahrnuje režim zotavení jako povinný první krok.
Krok 1: Vstup do režimu zotavení (Recovery Mode)
- Pro iPhone 8, 8 Plus a iPhone X použijte následující sekvenci:
- Ujistěte se, že je zařízení vypnuto. Pokud ne, vypněte jej normálně.
- Stiskněte a podržte boční tlačítko.
- Držte tlačítko a rychle připojte iPhone k počítači. Pokud nebudete dostatečně rychlí, zařízení se může začít spouštět.
- Stále držte tlačítko, dokud se na zařízení nezobrazí obrazovka zotavení.
Krok 2: Vstup do režimu DFU pro iPhone 8, 8 Plus a iPhone X
- Nechte iPhone připojený k počítači, poté spusťte iOS Forensic Toolkit v režimu čekání:
./EIFT_cmd boot -w - Na iPhone 8, 8 Plus nebo iPhone X:
- Rychle stiskněte a uvolněte tlačítko pro zvýšení hlasitosti (Vol+).
- Rychle stiskněte a uvolněte tlačítko pro snížení hlasitosti (Vol-).
- Stiskněte a podržte boční tlačítko, dokud iOS Forensic Toolkit nevypíše "iPhone disconnected". Tato zpráva znamená, že iPhone byl odpojen od počítače.
- Zatímco stále držíte boční tlačítko, stiskněte a podržte tlačítko pro snížení hlasitosti (Vol-) přesně 4 sekundy.
- Uvolněte boční tlačítko (držte Vol-).
- iOS Forensic Toolkit detekuje iPhone v režimu DFU. Jakmile se tak stane, uvolněte Vol-.
Důležité upozornění: Pokud budete držet tlačítko déle než 4 sekundy, iPhone se může restartovat namísto vstupu do DFU. Zakázejte automatické spouštění a cvičte s jiným zařízením před samotnou extrakcí.
Důležité Poznámky k Režimu DFU
Extrakce checkm8 vyžaduje určitou úroveň praxe, zejména s přepínáním zařízení do DFU. Špatná sekvence DFU může restartovat zařízení do iOS. Cvičte režim DFU s funkčním zařízením před samotnou extrakcí! Pokud zařízení běží na iOS 16, kroky extrakce se budou mírně lišit ve srovnání se staršími verzemi iOS, jak bylo popsáno výše.
Kompatibilní Zařízení pro Checkm8 Extrakci
iOS Forensic Toolkit 8 podporuje extrakci checkm8 pro širokou škálu zařízení. Zde je seznam nejčastěji používaných modelů:
| Kategorie Zařízení | Modely (Interní Označení a Modelová Čísla) |
|---|---|
| iPhone |
|
| iPod Touch |
|
| iPad Air |
|
| iPad Mini |
|
| iPad (Standardní) |
|
| iPad Pro |
|
Extrakce checkm8 je také podporována pro 32bitová zařízení, jako jsou iPod Touch 5, iPad 2/3/4 a iPad Mini. Nicméně, kroky se mírně liší a některá zařízení vyžadují dodatečnou desku Raspberry Pi Pico k aplikaci exploitu.
Často Kladené Otázky (FAQ)
- Co když neznám heslo k zámku obrazovky zařízení?
- Pokud heslo není známo nebo je zařízení uzamčeno, je možná pouze omezená extrakce BFU (Before First Unlock). Ta poskytuje jen velmi málo informací, protože většina dat je zašifrována a přístupná pouze po prvním odemknutí. Pro plnou extrakci dat je klíčové mít známé nebo prázdné heslo.
- Mohu použít počítač s Windows nebo Linuxem pro checkm8 extrakci?
- Ne, pro použití iOS Forensic Toolkit 8.0 a aplikaci exploitu checkm8 je nezbytný skutečný počítač Mac. Virtuální stroje nejsou podporovány kvůli složité interakci na úrovni hardwaru, kterou exploit vyžaduje.
- Proč nemohu použít kabel USB-C na Lightning?
- Pro optimální a spolehlivou komunikaci, která je nezbytná pro správné provedení exploitu checkm8, se doporučuje používat kabel USB-A na Lightning. Kabely USB-C na Lightning mohou mít problémy s kompatibilitou nebo stabilitou připojení během procesu DFU a extrakce, což může vést k selhání. Doporučuje se použít USB-A port na Macu nebo kvalitní USB hub s porty USB-A.
- Co je funkce 'autobootFalse' a proč ji mám udržovat aktivní?
- Funkce
autobootFalseje bezpečnostní opatření implementované v iOS Forensic Toolkit. Zabraňuje zařízení v automatickém spuštění do běžného iOS po manipulaci s exploitem. Místo toho se zařízení po zapnutí vždy spustí do režimu zotavení. To je klíčové pro zachování forenzní integrity zařízení, protože minimalizuje riziko neúmyslné změny dat nebo spuštění procesů, které by mohly data pozměnit. Doporučuje se ji udržovat aktivní po celou dobu, kdy je zařízení důkazem, a vrátit ji naautobootTrueaž těsně před vrácením zařízení majiteli. - Co když je na zařízení rozbité tlačítko pro vstup do DFU režimu?
- Vstup do DFU režimu obvykle vyžaduje kombinaci stisků tlačítek. Pokud je tlačítko rozbité, může to ztížit nebo znemožnit standardní postup. V takových případech existují alternativní metody nebo speciální nástroje, které mohou pomoci s přepnutím zařízení do DFU, ale tyto metody jsou pokročilejší a často vyžadují specializovaný hardware nebo software, který není součástí standardního iOS Forensic Toolkit. Vždy se doporučuje konzultovat dokumentaci nástroje nebo podporu výrobce pro takové specifické scénáře.
- Proč je praxe s DFU režimem tak důležitá?
- Vstup do DFU režimu je proces závislý na přesném časování a kombinaci stisků tlačítek, který se liší model od modelu. Neexistuje žádná vizuální zpětná vazba na obrazovce, která by potvrdila úspěšný vstup – obrazovka zůstane černá. Nesprávné časování může vést k restartu zařízení do běžného iOS nebo režimu zotavení, což by mohlo narušit forenzní proces. Praxe s funkčním zařízením před extrakcí skutečného důkazu je proto zásadní pro zvládnutí techniky a minimalizaci rizika selhání nebo poškození důkazů.
Závěr
Extrakce dat pomocí exploitu checkm8 a iOS Forensic Toolkit 8.0 představuje revoluční krok v oblasti digitální forenzní analýzy pro zařízení Apple. Umožňuje forenzním expertům získat cenná data z iPhonů a iPadů, které by jinak byly nepřístupné, a to i v případě uzamčených nebo poškozených zařízení. Důkladná příprava, pečlivé dodržování pokynů pro vstup do režimu DFU a správné použití nástroje EIFT jsou klíčové pro zajištění forenzní integrity získaných dat. Pamatujte, že praxe dělá mistra, zejména pokud jde o citlivé operace, jako je vstup do DFU režimu. S tímto průvodcem byste měli být dobře vybaveni k zahájení vaší forenzní extrakce s důvěrou a přesností.
Chceš-li si přečíst další články podobné jako Extrakce Checkm8 z iPhone: Podrobný Průvodce, navštiv kategorii iPhone.