🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства.

19 марта 2025 г.Social Engineering
🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства. | 🔁 Новости из телеграм - Ghostbase News

🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства.

  • На мобильных устройствах компании Apple после ввода 10 неправильных комбинаций пароля удаляются ключи шифрования, и получить доступ к пользовательским данным становится достаточно проблематично, а иногда и в принципе невозможно. Извлечь информацию из устройства в такой ситуации возможно лишь до загрузки ОС устройства.

  • На устройствах на базе процессоров А5–А11 (iPhone 4S — iPhone X) имеется аппаратная уязвимость, которая позволяет получить доступ к содержимому устройства в режиме BFU (Before First Unlock) с использованием эксплойта checkm8.

  • О возможности извлечения данных из телефонов в состоянии «iPhone отключен. Подключитесь к iTunes» написано достаточно много статей, но нет обобщенной информации о том, какой конкретно набор данных можно извлечь и, что не менее важно, где все это можно увидеть! Как раз об этом и поговорим.

  • Содержание следующее:

  • Что открывается исследователю:

➡Артефакты мобильного устройства;

➡IMEI устройства и номер телефона;

➡Информация о модели и сетевых подключениях;

➡Информация о настройках приложения Find My iPhone;

➡Информация об устройстве и резервных копиях;

➡Информация об обновлениях.

  • Данные, идентифицирующие пользователя:

➡Настройки сетевой конфигурации системы;

➡Идентификаторы сим-карты;

➡Информация о местоположении абонента;

➡Информация о сим-картах, которые использовались в устройстве;

➡Информация об AirDrop ID устройства;

➡Информация с настройками и предпочтениями из приложения «Настройки»;

➡Информация о подключенных Bluetooth-устройствах;

➡Информация о конфигурации приложения «Сообщения»;

➡Информация о точках Wi-Fi;

➡Информация об избранных контактах пользователя;

➡Информация о заблокированных контактах пользователя.

  • Используемые приложения:

➡Информация об особо важных контактах пользователя в приложении «Почта»;

➡Информация о разрешениях для приложений;

➡Информация о приложениях, использующих сервисы геолокации;

➡Каталог со всеми установленными приложениями и многое другое...

  • Как итог, даже после 10 неудачных попыток ввода пароля все же можно извлечь информацию, которая будет полезна не только для личного использования, но и при проведении расследований.

➡️ Читать статью [13 min].

S.E. ▪️ infosec.work ▪️ VT