Lamiyi

Jonathan Zdziarski 氏は、iOS デバイス向けのオープンソースの高度なフォレンジック論理取得ツールである Waterboard をリリースしました。

WaterboardはオープンソースのiOSフォレンジックイメージングツールで、Appleの組み込みロックダウンサービスの拡張サービスとバックドアを利用することで、iOSデバイスの高度な論理取得を実行できます。これらのサービスは、Appleのモバイルバックアップ暗号化やその他の暗号化を回避し、デバイスとペアリング可能な、または過去にペアリングしたことがあるあらゆるマシンに、ファイルシステムの大部分のクリアテキストコピーを送信できます。取得はUSB経由、またはデバイスにアクセスできるあらゆる無線ネットワーク経由で実行できます。さらに、連邦法執行機関であれば、携帯電話会社のファイアウォールを回避し、携帯電話経由でターゲットを捕捉する技術的能力を持つ可能性があります。おそらく、相手に知られることなく。（注：デバイスのペアリングはUSB経由で行う必要があるため、セキュリティリスクは広範囲に及ぶことはありませんが、悪意のあるジュースジャッキングなどによって悪用される可能性があります。）

Waterboardは、OS X用のコマンドラインユーティリティとして、またはOS XまたはiPad用のフルGUIアプリケーションとしてコンパイルできます。Lightning - USBアダプタなどのAppleドングルを介して取得できます。

Waterboard はどのような情報を回復しますか?
- 多くの場合、ジェイルブレイクされたデバイスのファイルシステム全体（afc2経由）
- ジェイルブレイクされていないデバイスの「メディア」ジェイル全体（afc経由）
- 写真、iTunesライブラリ、iBooks、およびその他のメディアファイル
- App Storeアプリケーションのすべてのアプリケーションデータ（ドキュメント、ライブラリ、およびtmp）
- インストールされているすべてのApp Storeアプリケーションとそのプロパティのマニフェスト
- 拡張デバイス識別情報（以下を含む）
- IMEI、UUID、MEID、IMSI、UCID、デバイスおよびベースバンドのシリアル番号など
- 電話番号、SIMステータスなど
- キャリアバンドル名、バージョン、ICCID、MCC、MNC
- 現在設定されているタイムゾーン
- WiFiおよびBTインターフェイスのハードウェアアドレス、チップセットモデル、その他のマーカー
- デバイス名、モデル、ファームウェアバージョン、iBootバージョン、モデルカラー
- PRL（優先ローミングリスト）バージョンおよびキャリアバンドルバージョン
- iCloud競合情報および同期ピア（他のデスクトップおよびモバイルデバイスなど）
- バッテリー診断（サイクルカウント、設計容量など）オン)
- NVRAM フラグ (ブートフラグとその他のデータ)
- 現在のデバイス時間 (1970 年からの秒数)
- アプリごとに 1 日あたりに使用されたデータ量を示すネットワーク診断
- MobileSync データのダンプ メモ、アドレスブック、カレンダー、Safari ブックマーク
- デスクトップと同期されているすべてのアカウントをキャプチャします
- iCloud 同期アカウントはキャプチャしませんが、他の場所でキャプチャされます
- 次のファイルシステムコンポーネントの cpio.gz (OSX バージョンは自動抽出) アーカイブ:
-- Apple サポートデータとシステムクラッシュログ
-- ユーザーの「キャッシュ」フォルダ
-- 一時停止中のアプリケーションのスクリーンショット
-- さまざまなアプリケーションによって保存されたキャッシュされた Web データ
-- ペーストボード (クリップボード) データ
-- アイコンキャッシュ
-- Safari リーディングリストアーカイブ、最近の検索、アクティビティサムネイル
-- ローカル IP + 通話日のビデオ会議キャッシュと思われるもの
-- マップタイルデータベース (保存 / 表示されたマップタイル)
-- 通常のロックダウンで Apple TV を取得した場合の Apple TV 再生ログ
-- ストレージプロキシログ
-- Bluetooth 診断情報
-- アプリケーションインストールログ
-- 一部の PPP および VPN データ
--すべてのアクティベーションおよびペアリング レコードの完全なダンプ
- コア ロケーション キャッシュ
- キーボード (入力) キャッシュ
- システム構成情報 (WiFi AP 参加履歴 / 自動参加情報)
- SMS データベース、SMS 添付ファイル、および SMS ドラフト (未送信 SMS) のダンプ
- さまざまなユーザー データベース (アドレス帳、カレンダーなど) のダンプ
- デバイスに保存されているユーザーのボイスメールのダンプ (未読を含む)
-- ユーザーのフォトアルバム、音楽コレクション、メディア全体
-- アカウントや Wi-Fi ペアリング履歴などのシステム構成データ
-- iCloud のローカル キャッシュとコントロール ファイル
-- iCloud に保存されている成果物のリスト
-- 同じ iCloud と同期されている他のデバイス (およびコンピュータ名) のリスト
-- 多くの場合、役立つデータが含まれる tmp ディレクトリ
-- /var にあるすべてのファイルに関する情報を含むディレクトリ構造
- 最近の syslog バックログ。新しいイベントの syslog キャプチャを実行できます
- ライブ パケット キャプチャ ツールによってキャプチャされたパケット ヘッダー データ
- バックアップの暗号化がアクティブでない場合は、
ファイル システム形式または iTunes バックアップ形式で取得可能なモバイル バックアップ サービスからの完全バックアップ

ジジアルスキー氏は、ウォーターボードは法執行機関にとって非常に有用なツールであり、刑事事件において重要な証拠を提供できると指摘しています。また、企業による内部調査や、社内デバイスから漏洩している可能性のある情報の特定にも活用できると示唆しています。さらに、個人が自分のデバイスからどのようなデータをスクレイピングできるかを判断することで、プライバシー保護を強化することも可能だと指摘しています。

「ロック解除されたデバイス（または、電源がオフになっているが、パスコードがすぐには要求されない、パスコードで保護されたデバイス）を数秒使用すれば、誰でもペアリングを確立して、Waterboard が提供する情報に自由にアクセスできるようになり、いつでも USB またはワイヤレスでその情報を引き出すことができます。」

「NerveGas」としても知られるジョナサン・ズジアルスキーは、『iPhone Open Application Development』と『iPhone Forensics』の著者です。また、法執行機関向けに配布されたiPhoneフォレンジックマニュアルも執筆し、多くのフォレンジック調査官の捜査を支援してきました。

続きを読む