Apple Watch的数据提取

IoT 1个月前 admin
21 0 0

一、Apple Watch 提取数据的方法

Apple Watch设备有两种提取方法:引导加载器提取和逻辑提取。对iPhone进行逻辑提取是众所周知的。您可以通过 iTunes 或使用自己选择的取证工具(如 Elcomsoft iOS Forensic Toolkit)对iPhone 进行备份。

引导加载器提取基于checkm8漏洞利用,是一种基于漏洞的底层提取,可以获得完整的文件系统映像并提取钥匙串副本。与HomePodApple TV等物联网设备不同,Apple Watch可以使用密码保护,而这正是从配对的iPhone同步钥匙串的一个必要条件。

引导加载器提取只能用于旧型号的Apple Watch设备,包括Apple Watch Series 3 及以下的Apple Watch。对于较新型号的Apple Watch,底层提取无法使用,必须使用逻辑提取。Apple Watch没有备份服务(手表备份是在配对的iPhone 上创建和存储的),因此只能提取有限的数据,包括一些系统和诊断日志以及一些媒体文件。,

底层提取和逻辑提取方法都需要将手表连接到电脑,通常需要借助适配器。从7系列开始的最新Apple Watch不再带有隐藏诊断端口,使得都很难甚至不可能将这些设备连接到电脑上。这反过来意味着逻辑提取只支持Apple Watch Series 4Series 5Series 6 Apple Watch SE(第一代)设备。

在下表中,与底层提取(checkm8)兼容的Apple Watch 型号以绿色标出,而红色所列型号仅支持逻辑提取。未列出的型号完全不支持(例如 Apple Watch Series 7Series 8Ultra)。

Apple Watch的数据提取

二、Apple Watch提取数据的步骤

checkm8Apple Watch S3唯一可用的提取方法,允许完全访问存储在设备中的重要证据。我们将介绍如何将Apple Watch S3连接到电脑、将手表设置为DFU模式、应用checkm8 漏洞并使用iOS Forensic Toolkit 8.0 从设备中提取文件系统。

Apple Watch S3是苹果公司保留时间最长的智能手表,最初于20179月推出,直到2022年才最终停产。该型号是最后一款兼容checkm8漏洞的Apple Watch 设备。

2.1 开始之前

Apple Watch没有内置USB端口。隐藏的诊断针脚可用来将手表连接到电脑,需要使用适配器。请确保在开始之前准备好一切。

1、 一台Mac电脑。用来安装漏洞利用程序并执行提取。使用的iOS Forensic Toolkit通用版支持基于 IntelM1 Mac。目前不支持 Windows

2、 适用于MaciOS取证工具包8.0。目前,EIFT 8.0仅适用于Mac

3、 Apple Watch Series 3。手表功能必须可以进入DFU模式。

4、 Apple Watch密码必须已知或为空。否则可能会进行有限的BFU提取,获取的信息很少。

5、 兼容的USB适配器,用于将手表连接到电脑。

6、 下载与设备上安装的watchOS版本相匹配的Apple官方固件(提取过程中会提供下载链接)。

注意:虽然苹果已经部分修补了iOS 14 15中的漏洞,但基于这些版本iOSwatchOS 78却没有得到同样的处理。因此,无需移除手表屏幕锁密码就可以应用该漏洞。

2.2 USB适配器

有几种类型的Apple Watch适配器可以从供应商买到。目前推荐一款名为S-Dock的适配器。

Apple Watch的数据提取

提取 Apple Watch 时,请按照以下步骤操作:

1、启动iOS Forensic Toolkit 8.0

2、通过USB适配器将Apple Watch 3连接到计算机(处于关机状态)

3、运行 ./EIFT_cmd boot -w

4、将手表置入DFU模式

5iOS取证工具包将检测手表并应用漏洞

6、运行 ./EIFT_cmd ramdisk unlockdata

7、仅当出现Seshat错误时:运行./EIFT_cmd ramdisk loadnfcd,然后运行 ./EIFT_cmd ramdisk unlockdata -s

8、运行 ./EIFT_cmd ramdisk keychain -o {filename} 提取密钥链

9、运行 ./EIFT_cmd ramdisk tar -o {filename} 提取文件系统

10、运行 ./EIFT_cmd ssh halt 关闭 Apple Watch 的电源

三、详细说明

1、启动 iOS Forensic Toolkit,然后使用适配器将Apple Watch连接到电脑。此时,必须关闭手表电源。在计算机上,以等待模式启动EIFT的命令:./EIFT_cmd boot -w

Apple Watch的数据提取

2、然后将手表置入DFU模式。为此,请同时按住数字表冠和侧面按钮10秒钟,然后松开侧面按钮,同时仍按住数字表冠10秒钟。手表上不会有任何指示,显示屏应保持黑色。如果看到苹果徽标,说明时间不对,需要重复上述步骤。

手表进入DFU模式后,工具代码会检测手表上安装的操作系统版本,并提供下载链接。如果有多个潜在匹配,则会显示多个下载链接;因此建议从列表中选取最后一个链接。从链接中下载文件,并将其放入控制台窗口,然后按ENTER键。或者,也可以直接粘贴固件下载链接。如果这样做,工具只会下载应用漏洞和启动手表所需的固件镜像文件。可能需要多次尝试才能将设备置入DFU

值得注意的是,Apple Watch设备的完整IPSW镜像很少。因此为达到应用漏洞的目地,可以借助工具使用OTA更新镜像的方式。应用漏洞后,手表屏幕将显示启动信息。

说明:在许多情况下,EIFT会在漏洞利用的第一阶段自动检测watchOS版本,这个过程基于检测到的iBoot版本和设备硬件。不过在某些情况下,iBoot版本可能对应多个OS版本。如果使用了错误的OS版本,可以选择使用不同版本的固件重复该过程,或者继续使用当前的固件镜像(在很多情况下都可以)。如果过程成功,你会看到一个确认信息。

3、解锁数据分区并将其挂载为只读分区。使用此命令:./EIFT_cmd ramdisk unlockdata

系统可能会提示你输入密码;如果你知道密码,请输入,或按ENTER键跳过(在这种情况下,将执行有限的DFU提取)。如果输入错误的密码,系统将显示错误信息。密码正确后,加密卷将完全解锁,您可以继续进行数据(钥匙串和文件系统提取)。如果不知道密码,请在下面的屏幕上按ENTER键。在这种情况下,将执行非常有限的BFU提取。

注意:如果出现Seshat错误,请运行以下两个命令:./EIFT_cmd ramdisk loadnfcd 以及./EIFT_cmd ramdisk unlockdata -s

Apple Watch的数据提取

4、提取钥匙串。使用命令:./EIFT_cmd ramdisk keychain -o {文件名}

此命令用于提取和解密密钥链。如果未指定路径,则将保存到当前文件夹。

Apple Watch的数据提取

5、镜像文件系统。使用此命令:./EIFT_cmd ramdisk tar -o {文件名}

校验和(哈希值)会即时计算,并在提取完成后显示。Apple WatchSoCUSB控制器速度明显低于iPhone,因此提取速度相对较慢,约为3MB/s


本文提及工具:

iOS Forensic Toolkit

链接:https://pan.baidu.com/s/132d4psRbVbuTp9kW8UCE_Q
提取码:zrak
–来自百度网盘超级会员V4的分享
同时分享一个基于checkem8的越狱工具(在ios中打开)

链接:https://pan.baidu.com/s/1NXAUp3jlUysZX9qMSwqnGQ
提取码:gh68
–来自百度网盘超级会员V4的分享


参考资料:

[1] Forensic Insights into Apple Watch Data Extraction , November 30th, 2023 by Oleg Afonin   Category: «General»

[2] iOS Forensic Toolkit 8 Apple Watch S3 checkm8 Extraction Cheat Sheet, November 29th, 2022 by Oleg Afonin  Category: «General»







原文始发于微信公众号(电子取证及可信应用协创中心):Apple Watch的数据提取

版权声明:admin 发表于 2024年1月16日 下午4:59。
转载请注明:Apple Watch的数据提取 | CTF导航

相关文章