如何實現訪問iCloud的安全性問題的深入探討

這期內容當中小編將會給大家帶來有關如何實現訪問iCloud的安全性問題的深入探討，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

在iOS取證中，當無法進行物理采集時，云提取將會是一種可行的替代方案。在即將發布的iOS 13版中增添了額外的安全措施，這無疑將使物理訪問變得更加困難。雖然我們可以下載iCloud備份，但需要提供用戶登錄名和密碼以及雙因素身份驗證這對我們來說始終是一個障礙。

令牌不能再用于訪問iCloud備份。令牌不能用于訪問密碼（icloud keychain）、屏幕時間、運行狀況和消息。在去年的某個時候，蘋果將認證令牌固定到了一臺特定的計算機上，使得它們僅能從創建它們的PC或Mac上使用。為此，我們花了一年多的時間才找到解決方案，以允許從用戶的計算機上傳輸身份驗證令牌。 時至今日，這種方法也僅在用戶擁有macOS計算機時才有效。有了這些限制，身份驗證令牌是否仍然可用？使用身份驗證令牌，你可以從用戶的iCloud帳戶獲得什么？使用登錄名和密碼可以訪問到什么？雙因素身份驗證對iCloud帳戶的影響，以及為什么知道鎖屏密碼（或Mac系統密碼）會有所幫助？這些問題你將在下面找到答案。

iCloud 安全

蘋果沒有存儲其用戶數據的服務器（或更確切地說是服務）。iCloud備份，照片，消息甚至密碼都被保存在了亞馬遜，微軟，谷歌，AT&T等第三方服務器上。但是，這并不意味著亞馬遜，谷歌等可以隨時訪問任何這些數據。讓我們來看看蘋果是如何保護iCloud數據免受物理威脅的，我們以iCloud備份為例。

用戶的iCloud備份被分成多個塊，每個單獨的塊被上傳到（以看似隨機的順序）一個或多個服務器。每個塊都使用唯一單獨加密密鑰進行加密。沒有這些密鑰，即使以正確的順序組裝拼湊，塊仍將是加密二進制數據塊。

而密鑰則始終被存儲在Cupertino數據中心的蘋果自己的服務器上。它們永遠不會被傳遞給蘋果的合作伙伴，承包商或中國政府（除非提出法律需求）。

從這種保護方案來看，我們可以得知：

1.蘋果擁有對加密信息的完全訪問權，因為其同時擁有數據和加密密鑰。

2.蘋果可以解密數據并將其傳送給執法部門。

3.具有適當身份驗證憑據的人可以訪問數據和加密密鑰，從而檢索和解密備份。

iCloud 備份安全

說到iCloud備份，重要的是要了解雖然備份的大部分都可以使用憑據進行解密，但iCloud備份的某些內容將使用高度安全的基于硬件的加密密鑰進行額外的加密。加密發生在iOS設備內部（在iPhone或iPad本身）; 所有這些數據都沒有脫離設備，或者已任何未加密的形式保存。因此，只能將此類內容還原到備份該內容的同一硬件設備上。在iOS 12和iOS 13（測試版）中，此內容包括：

keychain。用戶的Safari和第三方應用密碼在iCloud備份中仍然受到安全保護（請記住，我們只討論iCloud備份中的keychain存儲；更多的是關于cloud keychain保護和后續提取）。keychain只能在生成備份的設備上解密。如果沒有原始設備，蘋果和執法部門都無法訪問這部分iCloud備份。

以下數據永遠不會被包含在iCloud備份中：

Health data

Home data

此外，如果用戶為該數據類別啟用iCloud同步，則會從iCloud備份中明確排除某些項目。這些項目包括：

iCloud Photos

Messages (SMS 和 iMessages)

iOS 13還排除了以下兩個數據類別（最新）：

Call logs

Safari history

iCloud 備份和令牌

在我們2014年發表的那篇“進入Cloud：無需密碼”一文中，我們討論了使用身份驗證令牌來訪問iCloud備份。現在，這已經不可能了。

iCloud身份驗證令牌不能用于訪問iCloud備份。

同步數據

自2011年iCloud備份出現以來，蘋果公司正逐漸將一些數據內容從備份中轉移出去。iCloud Photo Library的推出使照片通過iCloud中的專用服務在設備間同步。一旦用戶啟用了他們的iCloud Photo Library，圖片將不再被保存到iCloud備份中。同樣，一旦用戶啟用了iCloud Messages（需要iOS 11.4及更高版本），消息也將不再被保存在iCloud備份中，而是通過用戶的iCloud帳戶進行同步。iOS 13將停止在iCloud備份中包含Call Logs和Safari歷史記錄；這兩個類別將僅作為同步數據提供。

身份驗證令牌適用于提取同步數據（受保護類別除外）。以下總結了iCloud中同步信息的保護：

要訪問同步的iCloud數據，只需要用戶的Apple ID，密碼和2FA碼。

你還可以使用身份驗證令牌來訪問已同步的數據。

Apple具有訪問iCloud中同步數據的技術能力。

在政府請求時同步數據將被提供。

在GDPR請求時同步數據將被提供。

最后，第三方應用程序（如ElcomSoft Phone Breaker）可以提取同步的iCloud數據。

一些 iCloud 數據使用密碼加密

某些數據類別會受到不同的處理。

如果你知道使用相同Apple ID注冊的設備的鎖屏密碼（或Mac系統密碼），則只能解密以下數據類型：

iCloud Keychain。keychain包含包含來自Safari瀏覽器和第三方應用程序的用戶同步登錄名和密碼以及一些身份驗證令牌。最重要的是，iCloud Keychain還存儲保護其他加密數據類型的加密密鑰（例如，如果不首先解密icloud keychain，則無法解密消息）。

iCloud中的消息。包括SMS和iMessages。

自iOS 12起，Health數據。與iOS 11相比，iOS 12中同步健康數據的保護有所改變。

要訪問這些受保護的數據類別，你將需要滿足以下條件：

用戶的Apple ID和密碼

一次性2FA碼（沒有2FA的任何類別都不會有iCloud同步）

已在iCloud Keychain中注冊設備的密碼或系統密碼

訪問限制如下：

身份驗證令牌不能用于訪問任何這些類型的數據。

普通用戶在使用iCloud同步Keychain，Health或Messages時不會遇到任何問題。在初始化新iPhone以接收同步數據時，他們只需要向他們的舊iPhone（或任何啟用了iCloud Keychain的設備，包括Mac計算機）提供他們的鎖屏密碼即可。

Apple無權訪問已同步的密碼，消息或健康數據。即使數據存儲在Apple服務器上，Apple也無法對其進行解密。

在政府或GDPR提出請求時，Apple不會提供屬于受保護類別的任何數據（有一個例外）。

如果知道設備密碼/系統密碼（Elcomsoft Phone Breaker），使用第三方應用程序提取仍然受限。

例外：在 iOS 11 和 iOS 12 中保護和提取健康數據

從iOS 11開始，Apple實現了與iCloud的健康數據同步。在iOS 11中，除CDA記錄之外的所有類型的數據，都將以與其他類型的同步數據（如圖片或聯系人）完全相同的方式與iCloud同步。對活動，睡眠，營養，mindfulness（正念）和類似類型的數據沒有額外的保護。

在 iCloud 中保護健康數據：iOS 1

要訪問同步的健康數據，只需要用戶的Apple ID，密碼和2FA碼。

Apple具有訪問iCloud中的健康數據的技術能力。

在政府請求時提供健康數據。

在GDPR請求時提供健康數據。

最后，第三方應用程序，如Elcomsoft Phone Breaker可以提取健康數據。

在 iCloud 中保護健康數據：iOS 12 和 13 

iOS 12實現了另一種保護iCloud中健康數據的方法，即采用存儲在iCloud Keychain中的密鑰進行安全加密。與iOS 11相比，實際數據現在存儲在不同的（加密）容器中。有趣的是，在用戶將最后一個設備更新到iOS 12之后，舊的（未加密的）容器可以保持一段時間可用。

加密密鑰使用已參與運行狀況同步的設備的用戶密碼（鎖屏密碼或系統密碼）進行保護。這確保了蘋果無法訪問存儲在云中的健康數據（或者iCloud Keychain，如果這很重要的話）。我們認為這種保護機制可以提供足夠的安全性。

要通過運行iOS 12及更高版本的設備訪問與iCloud同步的健康數據，需要滿足以下條件：

用戶的Apple ID和密碼

一次性2FA碼（沒有2FA的任何類別都不會有iCloud同步）

已在Health iCloud同步中注冊設備的密碼或系統密碼

訪問限制如下：

初始化新iPhone時，用戶需要提供舊iPhone（或任何啟用了iCloud Keychain的設備，包括Mac計算機）的鎖屏密碼，以接收同步的健康數據。

Apple無權訪問同步的健康數據。即使數據存儲在Apple服務器上，Apple也無法對其進行解密。

Apple在政府或GDPR提出請求時也不會提供健康數據。

使用第三方應用程序進行提取仍受限制（Elcomsoft Phone Breaker）。

雙因素身份驗證：優勢

如果用戶在其帳戶上啟用了雙因素身份驗證，則會獲得一系列無法在沒有2FA的帳戶中使用的功能。他們只需使用密碼就可以立即從iPhone上重置他們的Apple ID密碼。他們可以在不知道iCloud密碼的情況下禁用“查找我的iPhone”功能。此外，取證專家還發現了一些其他非常有用的功能。只有具有雙因素身份驗證的帳戶才能執行以下操作：

通過iCloud同步密碼（iCloud Keychain）

同步消息（SMS和iMessages）

同步健康數據

同步屏幕時間數據（包括從屬帳戶的屏幕時間數據）

在某種程度上，雙因素身份驗證對于執法來說是一種福氣，因為與未受保護的帳戶相比，具有2FA的帳戶通過iCloud同步更多信息。

你可以使用身份驗證令牌完全跳過2FA提示。這就是我們受到限制的地方。

令牌和雙因素身份驗證：限制

當我們最初研究iCloud身份驗證令牌時，我們可以使用它們從云端獲取幾乎所有內容，包括備份。而如今，Apple限制了使用身份驗證令牌。你無法再使用身份驗證令牌來訪問使用雙因素身份驗證帳戶的iCloud備份。雖然你仍然可以使用令牌從非2FA帳戶下載iCloud備份，但這些令牌的生命周期僅限于創建令牌后的一小時內。

無論雙因素身份驗證狀態如何，你仍然可以使用身份驗證令牌（沒有明顯的時間限制）來訪問以下類別的同步數據：

多個類別的同步數據，包括聯系人、日歷和備忘錄

Safari瀏覽歷史記錄和打開的選項卡

錢包

通訊記錄

iCloud照片

來自iCloud Drive的文件，包括許多第三方應用程序容器（1Password、WhatsApp、Viber等）

FileVailt2加密驅動的恢復令牌

云郵件

啟用雙因素身份驗證：

無法使用令牌訪問iCloud備份

未啟用雙因素身份驗證：

可以使用令牌訪問iCloud備份，但僅在創建令牌后的1小時內

以下類別對身份驗證令牌是不可訪問的：

密碼（iCloud Keychain）

健康

屏幕時間

消息（SMS和iMessage），如果啟用了iCloud中的消息*

*如果未啟用iCloud中的消息，則消息將被存儲在iCloud備份中。

Windows vs. macOS

雖然Apple為Windows和Mac用戶提供相應版本的iCloud軟件，但在這些平臺上創建的身份驗證令牌卻不同。

在Windows計算機上，令牌被深埋在文件系統中。它還使用用戶憑據加密，因此你必須能夠登錄到用戶的帳戶（或至少知道他們的登錄名和密碼）才能解密令牌。ElcomSoft Phone Breaker可以自動完成這一過程；只需啟動該工具，摁幾個按鈕，令牌就會被保存到一個文本（XML）文件中，并隨時可與EPB一起使用。

就這么簡單嗎？雖然你可以從Windows計算機中提取令牌并將其解密與EPB一起使用，以訪問iCloud中的選定數據類別（有關詳細信息，請參閱“限制”部分），但你只能在創建令牌的同一臺計算機上執行所有這些操作。你甚至無法從用戶磁盤映像創建的虛擬機中使用它；它必須是創建令牌的物理計算機才行。

如果用戶擁有Mac，除了受限的令牌外，你還可以提取一個完整的，不受限制的令牌。在其受控的生態系統中，Apple能夠實施更強大的保護（為2FA帳戶使用令牌固定）。我們能夠在Elcomsoft Phone Breaker中繞過這種保護，允許您提取，傳輸和使用這些完整的身份驗證令牌。完整令牌可以在任何計算機，Windows或Mac上使用；你只需安裝了最新版本的Elcomsoft Phone Breaker即可。

提取和使用身份驗證令牌

提取身份驗證令牌有以下幾種支持的方案。

Windows計算機，從當前登錄的帳戶中提取受限令牌；

Windows計算機，從其他帳戶中提取受限令牌；

macOS計算機，從當前用戶中提取受限和不受限令牌（需要keychain password）；

macOS計算機，從keychain數據庫中提取受限和不受限令牌（需要keychain password）；

iOS設備，從密碼保護備份或物理獲取keychain。

Windows，當前用戶

你需要：Elcomsoft Phone Breaker（Forensic Edition）。必須以你要提取其令牌的用戶身份登錄。

從命令行啟動atex.exe。該工具將自動提取身份驗證令牌。你剛剛已提取了固定在當前計算機的受限令牌（保存到文本文件中）。請注意，你只能在從中提取令牌的計算機上使用提取的令牌。

Windows，其他用戶

你需要：Elcomsoft Phone Breaker（Forensic Edition）。必須以你要提取其令牌的用戶身份登錄。

您將使用主GUI從其他用戶的帳戶中提取令牌。有關詳細信息，請參閱用戶手冊

macOS，當前用戶

你需要：Elcomsoft Phone Breaker（Forensic Edition）。必須以你要提取其令牌的用戶身份登錄。必須要知道keychain password（通常但不總是與帳戶密碼相同）。注意：同時提取完整和受限令牌。

或者，使用macOS Keychain實用程序來提取令牌。

macOS，其他用戶

你需要：Elcomsoft Phone Breaker（Forensic Edition）。從你將要獲取令牌的用戶提取keychain數據庫。必須要知道keychain password。

iOS 設備

你需要：Elcomsoft Phone Breaker（Forensic Edition）。解密的keychain數據庫（物理采集）或受密碼保護的備份（必須要知道密碼）。

使用Elcomsoft Phone Breaker手動檢查keychain。

使用身份驗證令牌

你需要：Elcomsoft Phone Breaker（Forensic Edition）。

macOS：如果從macOS中提取完整（不受限的）令牌，則可以復制該文件并在任何計算機，Windows或Mac上使用它。

Windows：受限令牌只能用于從提取它們的同一臺計算機進行身份驗證。

受限令牌：

發現身份驗證憑據

由于身份驗證令牌具有限制性，因此在使用登錄名和密碼（以及對具有2FA的帳戶進行輔助身份驗證）時，從iCloud提取數據成功的可能性更大。可以嘗試以下方法獲取用戶的身份驗證憑據：

Windows：使用Elcomsoft Internet Password Breaker從用戶的Web瀏覽器中提取存儲的密碼。這些通常可以在“apple.com”，“icloud.com”或“appleid.apple.com”的記錄中找到。

macOS：使用Elcomsoft Password Digger提取和分析macOS keychain。登錄名和密碼可以存儲在包含關鍵字“apple”或“icloud”的記錄中。

iOS：如果你能夠從iOS設備中提取keychain（通過使用Elcomsoft iOS Forensic Toolkit進行邏輯或物理采集），則可以使用Elcomsoft Phone Breaker來分析 keychain。注意：用戶的Apple TV也可能包含這些密碼，因此分析它可能是一個不錯的選擇。

注意，你仍然必須通過雙因素身份驗證才能夠訪問受2FA保護的帳戶。

iCloud身份驗證令牌不再像過去一年前那樣易于使用。令牌的加密和保護與訪問限制相結合，使得認證令牌對于訪問選定類型的同步數據非常有用。最有趣的證據類型，如iCloud備份，保存的密碼，運行狀況和消息都將無法使用令牌進行訪問。

上述就是小編為大家分享的如何實現訪問iCloud的安全性問題的深入探討了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。