CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund
Jak postupuje zloděj, který ukradl iPhone a chce se dostat k vašim citlivým datům? Pár sekund a telefon může vrátit. Opravdu se smazané SMS z telefonu kompletně smažou? Nejen o tom je dnešní SPECIÁL.
Mobilní bezpečnost je v posledních dnech často diskutované téma. S rozmachem firemních politik typu BYOD (Bring your own device) musíme rizika prostě přijmout a reagovat. Přes chytré telefony uživatelé často přistupují k citlivým firemním datům a do značné míry spoléhají na často nedostatečné zabezpečení ve svých smartphonech. Je proto třeba počítat s velmi běžným nebezpečím, které hrozí uživatelům mobilních zařízení – a to se ztrátou a krádeží.
Kde mám safra ten telefon?
Většinou nejsme schopni krádež od ztráty rozlišit a to nás vystavuje psychologickému tlaku, který nám často brání ohlásit příslušným orgánům prostý fakt, že jsme přišli o telefon. "Přece nejsem neschopný, dokážu ho najít…" "Co si o mně šéf pomyslí, až se doví, že jsem ztratil telefon?" My hledáme, minuty běží a zloděj někde v klidu dostává citlivá data ze zařízení.
Pokud nařízení firmy zní jasně (příkl.: stává se to i těm nejlepším z nás, jakmile máte podezření na krádež svého mobilního zařízení, volejte IT oddělení na tel. 123 456), dilema rázem odpadá a zkracujeme drahocenný čas, který má zloděj k dispozici bez odhalení. IT oddělení může okamžitě zablokovat všechny přístupy daného zařízení do firemních sítí (WiFi, intranet,…), či dokonce zaznamenávat pokusy o připojení pro zajištění dalších důkazů.
Téma dne: krademe data z iPhone
Nemusíte mít nutně placený arzenál softwaru pro vládní účely zisku dat ze zabavených telefonů. Stačí pouze iTunes a možnost celý telefon zálohovat (backup).
Představme si tedy situaci, kdy člověk sedí v restauraci u oběda. Domluvená dvojice zlodějů mu ve správný okamžik ukradne telefon, připojí jej k notebooku s iTunes, zazálohuje jej a telefon následně vrátí nic netušícímu člověku zpět.
Pojďme se nyní podívat, co lze z takové zálohy dostat.
Proces zálohy vezme data z telefonu (včetně kontaktů, poznámek, e-mailů a mnoho dalšího, viz níže) a přenese je do počítače (na Windows do C:\Documents and Settings\%Uživatel%\Data aplikací\Apple Computer\MobileSync\Backup). Pro zobrazení složky musíte povolit zobrazení skrytých položek.
Uvnitř zálohy jsou jednotlivé zálohované soubory pojmenované SHA-1 hashem názvu původního souboru. Mezi těmito soubory můžeme nalézt také tzv. property list files zakončené příponou *.plist.
Property list files (*.plist)
Klasický notepad je neotevře, budeme proto potřebovat externí program – například plist Editor for Windows (ke stažení zde). Po instalaci program spustíme a můžeme otevřít jednotlivé .plist soubory (u mě Manifest, Status a Info). Data jsou v nich uložena ve formátu XML a obsahují zajímavé informace jako jméno a verzi zařízení, telefonní číslo, verzi softwaru, IMEI (Info.plist), nainstalované aplikace (Manifest.plist), datum a čas zálohy (Status.plist) a další informace.
Databáze – bezedná studna informací
Nejvíce informací však dostanete ze zálohovaných databází. Problém je, že je na první pohled nepoznáme kvůli zahashovaným názvům souborů. Použijeme proto nějakou linuxovou distribuci k inspekci zálohy. Linuxový příkaz file nazev_souboru zobrazí jeho typ – v případě databáze bude zobrazený typ SQLite 3.x database.
Většinou však postačí otevřít složku se zálohou v linuxovém průzkumníkovi. Odhalené databáze si pak můžeme pojmenovat podle libosti pro rozlišení, či je zkopírovat do vlastní složky.
SQLiteSpy
Pro práci s databázemi využijeme služeb programu SQLiteSpy (ke stažení zde), který zobrazí informace z databází. Jsou to seznamy telefonátů, e-maily, oblíbené stránky v Safari, poznámky, kalendář a mnohé další informace. Čas jednotlivých akcí je zaznamenán zpravidla v uplynulých sekundách od 1. 1. 1970. Kupříkladu 1340282592 sekund odpovídá 509,7 měsícům (resp. 42,5 rokům).
PIN kód
Zálohu kradeného telefonu tak, jak jsme ji provedli my, lze provézt pouze v případě absence kódu pro uzamčení iPhone (většinou čtyři číslice). Zamčený iPhone s kódem lze prolomit speciálními nástroji, které telefon nejprve dočasně jailbreaknou a pak hrubou silou zkouší heslo. Klasické heslo tvořené čtyřmi číslicemi odolá tak 20-30 minut. Osobně jsem to nezkoušel, ale chystám se na to v brzké době podívat.
V nastavení iOS lze změnit tzv. jednoduchý kód na kód složený z písmen, čísel a speciálních znaků. Takový kód se prolamuje samozřejmě podstatně hůře.
To je pro dnešek vše, zůstaňte s námi a v pondělí u pravidelného CDR SecUpdate nashledanou.
Zdroje:
SANS Webcast Archive - SEC575 Webcast Series: Session 1: A Taste of SANS Security 575 - Invasion of the Mobile Phone Snatchers (od Joshua Wright z WillHackForSushi.com)
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
