История Safari в «облаке»: удалить нельзя, извлечь — можно

История Safari в «облаке»: удалить нельзя, извлечь — можно
Sorry, bro. It doesn't help

История браузера фактически отображает вашу жизнь. Поиск в Google, просмотры страниц, чтение блогов, общение в форумах и социальных сетях, веб-почта… Возможно, это чуть ли не самая интимная информация в сфере приватности. Мало кто хотел бы, чтобы его история оказалась в публичном доступе. В последние годы даже стало набирать силу течение, последователи которого шутят — «когда я умру, первым делом удалите мою историю браузера».

Как часто бывает, в этой шутке лишь доля шутки. Проблема в том, что, как выяснилось, удалить историю, что называется, «с концами» оказывается очень тяжело, если вообще возможно. Удалили историю Safari? Последние записи больше не мозолят глаза? Но вовсе не факт, что история действительно удалилась. Напротив, данные аккуратно сохраняются в «облаке», а ваш акт «удаления» истории всего лишь скрывает записи. Но всё, что не уничтожено окончательно, может быть извлечено. Так случилось и с историей браузера.

В последние годы Apple активно развивает «облачные» сервисы на основе iCloud. «Облачные» резервные копии, «облачные» фотографии, режим Continuity, синхронизация истории звонков, контактов и множества других данных между устройствами, привязанными к учётной записи пользователя – лишь некоторые вещи, которые делаются через iCloud.

Через «облако» синхронизируется и история посещений пользователя в браузере Safari. Информация о сайтах и страницах, которые открывал пользователь, автоматически передаётся на серверы Apple, с которых она попадает на другие устройства пользователя, привязанные к той же учётной записи.

Историю посещений браузера Safari можно удалить как целиком, так и в виде отдельных записей. Удалённые записи исправно исчезают и с синхронизированных устройств. Если попробовать сбросить устройство, а потом восстановить его из «облака» – на нём окажутся только те записи, которые не были удалены (а из актуальных – только за последние 30 дней).

Исследователям из лаборатории «Элкомсофт» удалось выяснить, что «удалённые» пользователем записи истории браузера Safari на самом деле не удаляются из «облака», и остаются в iCloud в течение длительного времени. На основе этих данных мы обновили продукт Elcomsoft Phone Breaker до версии 6.40. Теперь с помощью Elcomsoft Phone Breaker можно извлечь не только те записи истории посещений Safari, которые видны пользователю на устройствах или в «облаке» iCloud, но и записи, которые пользователь удалил. Нам удалось восстановить записи, которые были удалены более года назад. Извлекаются как сами удалённые записи, так и информация о дате и времени последнего посещения ссылки, а также дате и времени её удаления.

Практическое значение

Практический смысл извлечения синхронизированных данных с точки зрения экспертов-криминалистов в оперативном получении информации о пользователе. В отличие от «облачных» резервных копий, которые обновляются ежесуточно, синхронизированные данные попадают в «облако» с минимальной задержкой – практически в режиме реального времени.

Исследование удалённых записей истории браузера Safari может помочь в расследовании при сборе доказательной базы.

Сторонние инструменты и продукты

Сторонние инструменты для извлечения синхронизированных данных Safari из «облака» существуют, однако их возможности сильно ограничены. Некоторые продукты представляются устройствами под управлением iOS, и получают из «облака» только действительные записи. Другие продукты работают через веб-интерфейс и также получают очень ограниченное количество информации.

В настоящий момент Elcomsoft Phone Breaker 6.40 – единственный продукт, способный извлечь полную историю посещений пользователя из iCloud, включая удалённые записи. Могут быть извлечены и очень старые записи, удалённые более года назад.

Как извлечь историю браузера Safari из «облака» iCloud

Информация из «облака» извлекается через механизм синхронизации данных, работающий в режиме реального времени. Для доступа к iCloud потребуется аутентификация (Apple ID и пароль либо маркер аутентификации, извлечённый из компьютера пользователя). При использовании маркера аутентификации в использовании пароля нет необходимости; кроме того, обходится и дополнительная защита механизмом двухфакторной аутентификации (в результате чего пользователю не поступает предупреждение о том, что к его учётной записи получен доступ с нового устройства).

Для извлечения удалённой истории Safari воспользуйтесь Elcomsoft Phone Breaker 6.40, а для её просмотра — Elcomsoft Phone Viewer 2.25 (или более новыми версиями).

  • Запустите Elcomsoft Phone Breaker 6.40 или более новую версию
  • Нажмите “Download Synced Data from iCloud” и убедитесь, что данные «Safari» отмечены:

  • Авторизуйтесь в учётной записи пользователя с помощью логина и пароля Apple ID либо с помощью двоичного маркера аутентификации (его можно извлечь с компьютера пользователя с помощью Elcomsoft Phone Breaker)
  • Подождите, пока данные скачаются из «облака»

Для просмотра удалённой истории Safari данных воспользуйтесь Elcomsoft Phone Viewer 3.25 или более новой:

  • Запустите Elcomsoft Phone Viewer
  • Откройте скачанные данные и нажмите «Web»

  • Будет показана история сайтов, которые посетил пользователь

  • С помощью фильтра (значок воронки в левой верхней части программы) выберите режим просмотра полной истории браузера, только актуальных или только удалённых записей.

Внимание: Извлекаются как ссылки на веб-узлы, так и информация о дате и времени последнего посещения ссылки, а также дате и времени удаления записи из истории браузера. Для максимально полного исследования всей истории посещений пользователя используйте просмотр всего набора данных.

Где взять пароль

Для извлечения синхронизированных данных и «облачных» резервных копий из iCloud требуется авторизация в учётной записи пользователя. Авторизацию можно осуществить как с помощью логина и пароля, так и посредством двоичного маркера аутентификации. Авторизация с помощью маркера имеет некоторые преимущества:

  • Обходится защита с помощью двухфакторной аутентификации
  • Пользователь не получает предупреждения о входе в его учётную запись

Извлечь маркер аутентификации можно с компьютера пользователя, если на нём было установлено приложение iCloud Control Panel и пользователь включил синхронизацию с «облаком» iCloud. Маркер можно извлечь с помощью инструментария, встроенного в Elcomsoft Phone Breaker.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий