КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА

Elcomsoft Phone Breaker

Извлечение данных из локальных и «облачных» резервных копий мобильных устройств Apple

Elcomsoft Phone Breaker – универсальный инструмент для извлечения данных из резервных копий и «облачного» хранилища iCloud мобильных устройств под управлением всех версий iOS. Инструмент позволяет экспертам правоохранительных органов получить доступ к защищённым паролем резервным копиям либо скачать данные из iCloud. Утилита поддерживает все портативные устройства на платформе Apple iOS, включая iPhone, iPad и iPod Touch всех поколений.

Утилита позволяет восстанавливать пароли для резервных копий устройств Apple с использованием продвинутых атак и аппаратного ускорения посредством видеокарт AMD и NVIDIA. Резервные копии могут содержать адресные книги, журналы звонков, архивы SMS сообщений, календари, списки дел, фотоснимки, голосовую почту и настройки учётных записей электронной почты, сторонние приложения, журнал посещённых веб страниц и содержимое этих страниц, сохранённое в кэш-памяти.

Извлечение данных из «облака» iCloud

Elcomsoft Phone Breaker позволяет извлекать резервные копии и синхронизированные данные непосредственно из «облака» iCloud, даже не имея самого устройства на руках. Данные могут быть доступны без согласия пользователя, что делает Elcomsoft Phone Breaker идеальным решением для правоохранительных и разведывательных организаций.

Из «облачного» хранилища извлекаются как резервные копии данных устройств под управлением iOS, так и информация, которая синхронизируется в iCloud - например, история браузера Safari, календари, заметки и другие данные. Доступны также и другие файлы, хранящиеся в iCloud или iCloud Drive. [1] Поддерживаются учётные записи с двухфакторной аутентификацией.

Облачная связка ключей iCloud Keychain

С помощью Elcomsoft Phone Breaker возможно дистанционное извлечения сохранённых паролей, данных кредитных карт и прочей защищённой информации из «облачного» сервиса Apple для хранения и синхронизации паролей iCloud Keychain («Связка ключей iCloud»). Elcomsoft Phone Breaker - единственный продукт на рынке, предоставляющий доступ к Связке ключей iCloud.

Данные "Здоровья", сообщения и вложения из iCloud

Последние версии iOS синхронизируют данные здоровья пользователя (Apple Health), сообщения SMS и iMessage с "облачным" сервисом iCloud. Elcomsoft Phone Breaker позволяет извлекать синхронизированные данные Apple Health, сообщения и вложения к ним из "облака", включая медиа-файлы и документы. Для доступа к данным помимо логина, пароля и вторичного фактора аутентификации потребуется указать пароль или PIN от одного из зарегистрированных устройств.

Выборочный доступ

Загрузка большого количества данных, которая совершается в первый раз, может занять несколько часов. Последующие обновления происходят гораздо быстрее, т.к. используется инкрементная система хранения обновлений. Если скорость скачивания важнее полноты данных, с помощью Elcomsoft Phone Breaker можно быстро получить необходимую информацию и пропустить менее значимые данные, которые требуют наибольшего времени для загрузки (например, музыка или видео). Сообщения, вложения, настройки телефона, журналы вызовов, адресные книги, заметки и вложения, календарь, настройки почтового аккаунта, фотографии, видео и другие данные могут быть заранее выбраны и скачаны в считанные минуты, что обеспечивает доступ к важной информации в режиме реального времени.

Доступ к синхронизированным данным

Начиная с iOS 9, iPhone автоматически синхронизирует некоторые типы данных с «облаком». Данные попадают в iCloud независимо от основных резервных копий, и могут быть извлечены даже тогда, когда создание резервных копий в iCloud отключено. В отличие от резервных копий, которые создаются раз в сутки, эти данные синхронизируются с учётной записью пользователя автоматически, и попадают в «облако» с минимальной задержкой.

С помощью Elcomsoft Phone Breaker извлекаются как синхронизированные журналы звонков, так и другая информация: контакты, календари, заметки и вложения (в том числе удалённые) и история действий пользователя в браузере Safari (включая удалённые записи). Полный список извлекаемых синхронизированных данных включает:

  • Браузер Safari (история, закладки, открытые вкладки)
  • Календари, заметки, контакты, записи приложения Диктофон
  • Пароли из облачной Связки ключей и пароли Экранного времени
  • Подробная история звонков
  • Карты Apple Maps (маршруты, поисковые запросы, отмеченные объекты)
  • Wi-Fi (информация о точках доступа, MAC-адреса, дата и устройство, с которого были добавлены)
  • Кошелёк Wallet (кроме платёжных карт)
  • Информация о пользователе (адрес, телефоны, имя) и его устройствах (включая серийные номера и версию ОС)
  • iBooks (документы и файлы PDF, добавленные пользователем)

Доступ к удалённым фотографиям из iCloud Photo Library

В новых версиях iOS и Mac OS X появилась возможность хранить фотографии отдельно от резервных копий в сервисе iCloud Photo Library. В iCloud Photo Library используется новый API для доступа к файлам, а сами фотографии больше не сохраняются в «облачных» резервных копиях устройств.

Elcomsoft Phone Breaker извлекает файлы из iCloud Photo Library, включая фотографии, которые были удалены пользователем. С помощью Elcomsoft Phone Breaker можно извлечь фотографии, которые были удалены в течение последних 30 дней. Доступен выборочный доступ по пользовательским альбомам.

Извлечение информации из iCloud без логина и пароля

Если пароль от учётной записи пользователя неизвестен, для доступа к некоторой части облачных данных можно использовать особый маркер аутентификации, извлекаемый из компьютера пользователя. Использование двоичного маркера не требует ни логина с паролем, ни вторичной аутентификации. Извлечь маркер аутентификации можно как непосредственно с компьютера пользователя, так и с жёсткого диска или его двоичного образа посредством встроенного инструмента.

Набор данных, доступный посредством маркера аутентификации, зависит от множества факторов: версии iOS и панели iCloud на компьютере пользователя, наличия или отсутствия в учётной записи двухфакторной аутентификации и других.

Доступно пользователям редакции Forensic

Извлечение файлов из iCloud

Помимо резервных копий, из «облака» iCloud можно извлечь такие файлы, как пользовательские документы и таблицы, данные приложений, резервные копии WhatsApp, данные Passbook и многое другое. В то время как некоторые типы данных (в основном документы) могут быть извлечены с помощью приложения iCloud для Windows/macOS, доступ к основному массиву данных возможен только при помощи Elcomsoft Phone Breaker. Важный момент – отсутствие уведомления пользователя по электронной почте при скачивании файлов из «облака». Поддерживаются учётные записи классического iCloud и нового iCloud Drive.

Доступно пользователям редакции Forensic

Извлечение данных из учётных записей Microsoft

Elcomsoft Phone Breaker предоставляет возможность дистанционного доступа к данным из облачного сервиса Microsoft, в котором содержатся синхронизированные пользователем пароли, история переписки Skype, календари, контакты и многое другое. Извлечение данных из сервиса Microsoft существенно расширяет возможности, доступные криминалистам при исследовании как устройств под управлением Windows, так и устройств других производителей, на которых работают приложения Microsoft. Для получения доступа требуется указать логин и пароль от учётной записи пользователя Microsoft Account.

Извлечение данных из резервных копий Apple iPhone, iPad и iPod Touch

Исторически, Elcomsoft Phone Breaker был разработан в качестве продукта для извлечения пользовательских данных из защищённых паролями резервных копий устройств под управлением iOS. Elcomsoft Phone Breaker является первой на рынке программой такого рода для доступа к защищенным резервным копиям iPhone, iPod и iPad и единственной утилитой, способной считывать и расшифровывать содержимое системного хранилища (keychain), содержащее ключи шифрования, пароли для учетных записей электронной почты, веб-сайтов и сторонних приложений. Эти операции возможны в случае, если пароль известен или восстановлен.

Для расшифровки данных, хранящихся в резервной копии, необходимо восстановить оригинальный текстовый пароль. Для максимально быстрого взлома пароля программистами ElcomSoft был разработан ряд технологий, выделяющих продукт среди конкурентов.

Возможности программы

  • Доступ к информации, хранимой в защищённых паролем резервных копиях iPhone, iPad и iPod Touch
  • Расшифровка резервных копий iOS с помощью известного пароля
  • Извлечение из iCloud Photo Library фотографий, удалённых в течение последних 30 дней
  • Извлечение и просмотр паролей, маркеров аутентификации и прочих данных из Связки ключей iCloud (iCloud Keychain)
  • Извлечение паролей Экранного времени из iCloud
  • Извлечение синхронизированных журналов звонков, контактов, календарей, заметок и истории действий пользователя в браузере Safari из iCloud независимо от резервных копий
  • Извлечение и расшифровка книг Books (iBooks), сообщений SMS и iMessage из iCloud, а также вложений
  • Извлечение и расшифровка данных приложения Здоровье (Apple Health)
  • Извлечение депонированных ключей крипто-контейнера FileVault 2 из iCloud и расшифровка зашифрованных томов
  • Извлечение данных из облачного хранилища Microsoft
  • Чтение и расшифровка данных в системном хранилище (keychain) (пароли к учётным записям электронной почты, пароли для доступа к сетям Wi-Fi и пароли для доступа к веб сайтам и сторонним приложениям)
  • Извлечение резервных копий устройств под управлением iOS из «облачного» хранилища Apple iCloud с использованием Apple ID и пароля пользователя или без них (с использованием маркеров аутентификации)
  • Встроенный инструментарий для извлечения маркеров аутентификации iCloud
  • Извлечение дополнительных данных и файлов из «облачного» хранилища iCloud и iCloud Drive, включая типы данных, недоступные с помощью штатных средств операционной системы
  • Ускорение при помощи нескольких установленных в системе бюджетных графических адаптеров AMD или NVIDIA[2]
  • Атаки по словарю с использованием различных словарных мутаций и комбинаций
  • Восстановление паролей к резервным копиям для всех моделей iPhone, iPad и iPod Touch
  • Расшифровка томов FileVault 2: извлечение депонированных ключей шифрования к зашифрованным томам из учётной записи Apple ID и расшифровка тома FileVault 2 без применения «лобовой» атаки.
  • Поддержка NVIDIA серий 400/500/600/700/800/900/1000 и AMD серий 6000/7000/R7/R9.

Аппаратное ускорение и «умные» атаки

Использование аппаратного ускорения перебора паролей при помощи видеокарт AMD и NVIDIA позволяет увеличить скорость расшифровки в 20-40 раз по сравнению с алгоритмами, располагающими вычислительными ресурсами только центрального процессора. Технология перебора паролей на графических картах позволяет получить вычислительную мощь суперкомпьютера по цене средней графической карты.

Designed for nVidia CUDA Enhanced of Intel Core

Elcomsoft Phone Breaker способен одновременно использовать неограниченное количество видеокарт, даже если устройства принадлежат к разным поколениям, используют разные архитектуры и выпущены разными производителями. Благодаря этой особенности, пользователям Elcomsoft Phone Breaker не обязательно избавляться от старых устройств при обновлении системы.

Применение «умных» атак и проведение атаки по словарю позволяют восстановить пароль значительно быстрее. Elcomsoft Phone Breaker поддерживает мощные атаки по словарю с использованием различных словарных мутаций и комбинаций.

Извлечение и расшифровка хранимых паролей

В устройствах Apple iPhone пароли к учётным записям электронной почты, веб сайтам и различным приложениям хранятся в Связке ключей в зашифрованном виде, причём аппаратные ключи шифрования уникальны для каждого конкретного устройства. В резервных копиях, защищённых паролем, содержимое Связки ключей зашифровано мастер-ключом, зависящем от пароля пользователя. Elcomsoft Phone Breaker позволяет мгновенно считывать (и расшифровывать) все данные из такого хранилища, включая пароли, если пароль от резервной копии известен или восстановлен с помощью упомянутых выше атак.

Совместимость

Pro
(Win/Mac)
Forensic
(Win/Mac)
Системные требования и совместимость
Поддержка iOS 3 - iOS 13.x (включая iPadOS)
Поддержка всех моделей iPhone, iPod и iPad
Восстановление паролей к резервным копиям iTunes ✓/- ✓/-
Аппаратное ускорение на GPU 32/- 32/-
Apple iCloud
Поддержка учётных записей с двухфакторной аутентификацией
Доступ к iCloud через маркеры аутентификации -
Скачивание резервных копий iCloud (iOS<11.2)
Скачивание резервных копий iCloud (11.2-13.4) -
Скачивание синхронизированных данных
Скачивание синхронизированных данных (сквозное шифрование: Связка ключей, Здоровье, Сообщения и т.п.) -
Скачивание iCloud Photo Library
Скачивание и просмотр Облачной связки ключей -
Скачивание дополнительных данных из iCloud Drive -
Доступ к ключам восстановления FileVault2 -
Дополнительные возможности
Расшифровка резервных копий iOS известным паролем
Просмотр и анализ данных Связки ключей iOS
Скачивание данных из учётных записей Microsoft
Расшифровка резервных копий и SD-карт BlackBerry (OS<10)
Расшифровка резервных копий BlackBerry 10 -

Возможность восстановления паролей к резервным копий iOS доступна только в версии для Windows

Elcomsoft Phone Breaker работает на компьютерах под управлением Windows 7, Windows 8/8.1/10 и Windows Server 2008/2012/2016/2019 с архитектурой x32 и x64. Поддерживаются защищённые паролем резервные копии от оригинального Apple iPhone до последних моделей включительно; iPad всех поколений, включая версию Pro, iPad Mini и iPod Touch всех поколений.

Пожалуйста учтите, что Elcomsoft Phone Breaker НЕ МОЖЕТ разблокировать iPhone каким-либо образом, обойти Activation Lock, модифицировать iPhone или удалять/изменять PIN код для SIM карты. Программа предназначена только для восстановления паролей к резервным копиям и для доступа к данным и резервным копиям в iCloud. Для получения подробной информации обратитесь к справочному руководству или Часто задаваемым вопросам по Phone Password Breaker (на английском языке).


  1. При скачивании резервных копий iOS 11.2 и более новых из учётных записей iCloud с двухфакторной аутентификацией возможна временная блокировка учётной записи, требующая сброса пароля. 

  2. Несколько сотен тысяч паролей в секунду в зависимости от мощности компьютера