本文由小茆同學編譯,陳裕銘、Roe校對,轉載請註明。
在過去幾年中,智慧可穿戴裝置的使用顯著增加。蘋果公司推出Apple Watch後,這款智慧手錶一直廣受使用者歡迎;根據調研機構Above Avalon統計,全球佩戴Apple Watch的使用者人數破億,佔據著該領域的主導地位。
從 2015 年開始,蘋果公司製造了多款不同型號的搭載WatchOS的裝置,WatchOS是專為Apple Watch開發的一款基於 iOS 的可穿戴作業系統。
早在 2015年,Heather Mahalik 和 Sarah Edwards 就在最初的 Apple Watch 上對該裝置進行了一些初步的創新研究。
自那時以來,關於如何從此類裝置中提取資料的研究並不多。在過去的幾個月裡,我一直在研究這個主題,探尋提取和分析儲存在Apple Watch內部儲存器上的資料的方法。
在提取方面我們有三種選擇:
· 獲取配對 iPhone 的備份
· 直接將Apple Watch連線到計算機
· 雲(提取同步健康資料)
分析配對iPhone的備份
iPhone的邏輯提取是眾所周知的。您可以透過 iTunes 或使用您選擇的取證工具備份 iPhone。
提取 iPhone 備份後,您可以對其進行分析以獲取有關配對 Apple Watch 的資訊。在本文中,我將使用iBackupBot工具來進行資料提取,該工具可用於 Windows 和 MacOS,以及Windows 的 SQLite Expert 。
我們可以透過分析裝置規格開始研究Apple Watch。
在 \HomeDomain\Library\DeviceRegistry。state資料夾中, 我們可以找到以下三個檔案:
· historySecureProperties。plist
· stateMachine-。PLIST
· activestatemachine。plist
· history。plist
historySecureProperties。plist檔案包含配對 Apple Watch 的序列號(Serial Number)、唯一裝置識別符(UDID)、Wi-Fi Mac地址和BT Mac地址。
stateMachine-。PLIST檔案包含配對狀態(通常包含PairSuccess值)、配對時安裝在 Apple Watch 上的 WatchOS 版本和配對時間戳(以Apple Cocoa Core Data格式儲存https://www。epochconverter。com/coredata)。
activestatemachine。plist 包含與 stateMachine-。PLIST類似的資訊,增加了在進行備份時安裝在裝置上的 WatchOS 版本。
\HomeDomain\Library\DeviceRegistry 資料夾包含一個以 stateMachine-。plist 檔案的 GUID 值命名的子資料夾:該資料夾包含來自 AppleWatch 的備份資料。
在各種檔案和資料夾中,以下檔案和資料夾最受關注:
NanoAppRegistry資料夾包含有關已安裝應用程式的資訊。
在下圖中,您可以找到有關 Facebook應用的資訊以及程式包版本(Bundle Version), 顯示名稱(Display Name), 程式包識別符號(Bundle Identifier)和程式包名稱(Bundle Name) 。
NanoMail\Registry。sqlite檔案包含有關同步電子郵件帳戶的資訊。
在SYNCED_ACCOUNT表中,您可以找到裝置上設定的每個電子郵件帳戶的顯示名稱(Display Name)和電子郵件地址。
在MAILBOX表中,您可以從裝置上設定的每個電子郵件帳戶的資料夾和子資料夾中查詢電子郵件組織。
NanoPasses\nanopasses。sqlite3資料庫包含Apple Watch錢包中可用的“Pass”(通行證)列表。對於每個通行證,您可以找到Type_ID、組織名稱(Organization Name)、 攝取日期(Ingest Date)(以Apple Cocoa Core Data格式儲存)和描述(Description)。
一些通行證還會有“Encoded Pass”(編碼通行證)欄位,這是一個二進位制 plist 檔案,包含有關通行證的詳細資訊。二進位制 plist 檔案可以從資料庫中提取,儲存為單獨的檔案,並使用 plist 檢視器(例如 plist 編輯器)開啟。在以下截圖中,您可以看到與 Booking。com 酒店預訂相關的編碼通行證。編碼通行證可以使用 SQLiteExpert開啟並儲存為單獨的檔案。
然後可以用plist編輯器開啟該檔案以提取有關預訂的特定資訊,如酒店名稱和地址,客人姓名,支付價格,預定電話以及入住和退房的日期。
NanoPreferencesSync資料夾包含與Apple Watch配置相關的各種檔案。最有趣的子資料夾之一是 \Backup\Files\,其中包含有關錶盤的資訊,所有者可以使用從 iPhone 同步的圖片進行自定義設定。在以下截圖中,您可以找到儲存在那裡的所有檔案的詳細資訊。
每個檔案都是一個zip檔案。
該檔案包含:
· Face。json提供“錶盤”詳細資訊,包括建立日期(以 Apple Cocoa Core Data 格式儲存)
· Resources 資料夾,包含 JPG 格式的錶盤圖片和包含圖片資訊和元資料的plist檔案
從Apple Watch提取資料
有一個選項可以直接從 Apple Watch 中提取資料。需要滿足以下特定要求和限制:
1.您需要一種將計算機連線到 Apple Watch 的方法。
正如有關提取 Apple Watch 和 Apple TV 的文章所述,Apple Watch S1、S2 和 S3 可以使用介面卡。我們對 Apple Watch 4 的介面卡一無所知。
2.連線到計算機時,必須配對 Apple Watch 才能訪問資料。如果 Apple Watch 受到密碼保護且密碼未知,則無法生成配對。
3.WatchOS 上沒有執行備份服務,因此無法直接建立 Apple Watch的備份。
4.近期版本的 WatchOS 沒有公開的越獄方法。
考慮到這些限制,我們可以從連線的 Apple Watch 中獲取三種不同型別的資料:
1. 裝置資訊和安裝應用程式列表
2. 透過 AFC(Apple File Conduit)協議進行檔案提取
3. 裝置日誌
裝置資訊和已安裝的應用列表
透過在連線到配對Apple Watch的 Windows 或 MacOS 計算機上使用 Elcomsoft iOS Forensic Toolkit ,您可以使用“I”(information即資訊)選項來提取裝置資訊。
此命令生成三個檔案:
Ideviceinfo。plist
Applications。txt
Applictions。plist
ideviceinfo。plist檔案包含有關裝置的詳細資訊,包括硬體型號、WatchOS 版本、序列號、UDID、裝置名稱、Wi-Fi 和藍芽地址、時區和實際設定時間。
它還包含有關磁碟總容量、系統總容量、資料總容量、可用總資料和本地語言的資訊。
Applications。txt檔案包含已安裝的應用程式列表,包括程式包識別符號、程式包版本和程式包顯示名稱。
Applications。plist檔案包含有關已安裝應用程式的詳細資訊,包括應用路徑和容器資料夾。在以下截圖中,您可以找到Uber應用的資訊示例。
透過 AFC(Apple File Conduit)協議進行提取
透過在連線到配對Apple Watch的 Windows 或 MacOS 計算機上使用 Elcomsoft iOS Forensic Toolkit包,您可以使用“M”(Media)選項提取透過 AFC 協議可用的媒體檔案。
提取後,您可以使用您最喜愛的取證工具(本示例中為 X-Ways forensics)分析資料。
DCIM資料夾包含從 iPhone 同步的圖片。
與原始圖片相比,圖片大小進行了調整,但它們仍會包含有趣的元資料,如相機型號名稱和原始提取時間戳。
iTunes_Control\iTunes資料夾包含一個名為MediaLibrary。sqlitb的檔案以及相關的共享記憶體(SHM)和預寫日誌(WAL)檔案。此 SQLite 檔案包含有趣的資訊,如使用者的 iCloud 帳戶 ID 以及使用者從 Apple 商店獲得的媒體(歌曲和電影)和電子書列表。此檔案包含與同一 iCloud 帳戶同步的所有使用者裝置進行購買的資訊。
資料庫包含 36 張表格。_MLDatabaseProperties表包含 iCloud 帳戶 ID。
要從資料庫中提取有意義的資料,您可以使用以下 SQL 查詢:
此查詢將提取有關使用者購買的詳細資訊,包括標題、媒體型別、檔案大小、總時長(歌曲和電影)、帳戶 ID、購買資料和購買歷史 ID。對於儲存在 Apple 手錶上的購買記錄,您還會找到檔名。
透過 AFC 協議提取的 Purchase資料夾中可以找到相應的檔案:
PhotoData 資料夾包含與同步照片相關的檔案。您可以在這裡找到的最有趣的資訊Photos。sqlite資料庫和Thumbnails (縮圖)資料夾。
Photos。sqlite檔案包含有關儲存在裝置上的照片的資訊。
此檔案結構的詳細解釋參閱:https://www。forensicmike1。com/2019/05/02/ios-photos-sqlite-forensics/。
解析此檔案的SQL查詢參閱:https://github。com/kacos2000/queries/blob/master/Photos_sqlite。sql。
Thumbnails (縮圖)資料夾包含儲存在 Apple 手錶上的圖片的縮圖。您可以用 iThmb Converter分析 ITHMB檔案,並可能找到已刪除圖片的縮圖。
提取裝置日誌
透過在連線到配對Apple Watch的 Windows 或 MacOS 計算機上使用Elcomsoft iOS Forensic Toolkit,您可以使用“L”(Logs)選項提取此資訊。
在這項研究中,我們強調了使用系統診斷配置檔案從 Apple 裝置中提取資料的重要性。這種方法也在Apple Watch上進行了測試,生成了一個包含大量有用資訊的完整 TAR 檔案。在下面的截圖中,您可以找到從 Apple Watch 中提取的sysdiagnos 日誌。
我們還開發了各種指令碼來解析在 sysdiagnose 獲取期間可用的一些檔案。
這些指令碼可從GitHub https://github。com/cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts獲得。
在sysdiagnose日誌中可以找到的一些最相關的資訊是:
MobileActivation日誌,包含有關隨時間安裝的構建版本、硬體型號和產品型別的資訊。
另外,它還詳細介紹了
作業系統升級。
在以下截圖中,您可以在 Apple Watch 的Mobile Activation日誌上看到該指令碼的執行情況。
MobileContainerManager日誌,包含有關應用程式解除安裝的資訊,
這可能具有歷史意義。在以下截圖中,您可以在 Apple Watch 的MobileContainerManager 日誌上看到指令碼的執行。
MobileInstallation 日誌,包含有關應用程式解除安裝的資訊,
這些資訊可能具有歷史意義。在以下截圖中,您可以在 Apple Watch 的 MobileContainerManager 日誌中看到指令碼的執行情況。
PowerLog日誌,包含有關使用者與裝置互動的資訊。
Sarah Edwards在她的演示(PDF)和她的開源工具包 APOLLO中已經研究和描述了這個資料庫的結構。在下面的截圖中,您可以看到 APOLLO 對從 Apple 手錶中提取的 PowerLog 的執行情況。
WiFi日誌可用於提取裝置連線的網路列表。
最容易分析的檔案是 com。apple。wifi。plist,其中包含每個網路的詳細資訊,包括 SSID、BSSID 和上次加入日期。BSSID也可用於使用像Wigle這樣的服務來反向查詢Wi-Fi網路的位置。
雲採集
從 iCloud 獲取資料是Apple Watch的另一種選擇,對於提取Apple Watch和 iPhone 之間同步的健康資料特別有用。在以下截圖中,您可以從 iCloud 上儲存的 iPhone 備份中提取健康資料。
結論:
Apple Watch的提取和分析是與時俱進的。考慮到全球銷售的可穿戴裝置數量不斷增加,我們需要更多的研究和測試。在本文中,我們展示了一些您可以在提取資料後精簡的有趣資訊。
https://blog。elcomsoft。com/2019/06/apple-watch-forensics-02-analysis/
參考連結:
https://blog。elcomsoft。com/2019/06/apple-tv-and-apple-watch-forensics-01-acquisition/
https://www。icopybot。com/itunes-backup-manager。htm
https://blog。elcomsoft。com/2019/06/apple-tv-and-apple-watch-forensics-01-acquisition/
https://www。forensicmike1。com/2019/05/02/ios-photos-sqlite-forensics/
https://github。com/kacos2000/queries/blob/master/Photos_sqlite。sql
https://web。tresorit。com/l#1CbkccYS0kS51za-xo9YcQ
https://github。com/cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts
