Menú principal

lunes, 4 de noviembre de 2013

Análisis Forense judicial de terminal iPhone con Touch ID

Hasta que Apple introdujo Data Protection para cifrar el contenido del disco, realizar un análisis forense de un dispositivo iPhone original, iPhone 3G o iPhone 3GS era bastante sencillo. Bastaba con capturar los datos y analizarlos manualmente o con herramientas profesionales. Con la llegada de Data Protection, iOS 4.X y y los nuevos iPhone 4 hubo que buscar la manera de romper el cifrado para poder adquirir los datos y de trabajar con los discos cifrados. Por suerte, se descubrió el exploit de BootRom y se generaron las herramientas de iPhone Data Protection para poder gestionar el cifrado, lo que permitía el acceso al disco, la adquisición de evidencias y su posterior análisis de datos.

La cosa se complicó cuando Apple cerró el bug de BootRom y siguió manteniendo un cifrado robusto del terminal. Poder adquirir los datos de un iPhone 4S o un iPhone 5 exigía buscar otras formas menos directas, quedando las alternativas reducidas a:
1) Conseguir el passcode o que el terminal estuviera sin él
2) Conseguir el acceso al backup de iCloud mediante las claves de Apple ID
3) Conseguir acceso al equipo pareado donde estuviera el backup o desde el que conectar la herramienta
Si alguien hubiera sido lo suficiente paranoico como para tener un iPhone 4S o iPhone 5 con un passcode complejo sin jailbreak, al que no hubiera pareado ningún equipo para hacer backup, y que tuviera desactivada la opción de usar backup en Apple iCloud, lo único que queda es averiguar el passcode, o desistir. En el caso de los iPad apareció un curioso bug en el uso de teclados externos que abría una posibilidad para conseguirlo - siempre que el usuario no tuviera la opción de borrado de datos tras varios intentos fallidos -, pero para los iPhone 4S o iPhone 5 solo quedan trucos para saltarse el passcode y acceder parcialmente a los datos.

Figura 1: Desbloqueo de un iPhone5S por medio de una hella dactilar falsa y Apple Touch ID

Ahora, con iPhone 5S, si la persona tiene activada la opción de Touch ID, la fase de adquisición de datos en un proceso de análisis forense vuelve a ser una labor donde se abre la puerta a utilizar las huellas dactilares para crear una huella que desbloquee el terminal. Una tarea policial que puede ser realizada tomando las huellas al dueño del terminal y que no va a generar nunca un borrado de los datos, lo que deja una puerta más al analista forense.

4 comentarios:

  1. Hola:

    Aunque el sistema de protección por huella dactilar fuera infranqueable, cosa que dudo, ahí está la historia para demostrarnos que no existen nada infalible :b... Hay dos puntos que creo que se deben tener en cuenta.

    - De todos es conocido que existe la posibilidad de crear una huella de "plástico" a partir de una huella dactilar y de esta forma saltarse la protección. ¿De donde sacamos la huella dactilar? Seguro que en la pantalla del dispositivo encontramos unas cuantas ;). Y si esto es posible, acceder a todo aquello protegido por este sistema. Seguro que no es poco ;)
    Desde luego no es una tarea sencilla, pero si una opción válida para los cuerpos de seguridad ;)

    - Para poder comprometer el dispositivo y poder tener acceso a la información sensible no es necesario tener que romper el eslabón más robusto. Como siempre, existen alternativas más débiles mediante las cuales podremos obtener acceso... Y como ocurre en muchas ocasiones y, hasta donde yo se, el dispositivo utiliza la protección por huella dactilar y protección por 'passcode' al mismo tiempo, por si las mocas... Esto seguro que no es muy conocido por la mayoría de usuarios, provocando que el 'passcode' sea débil y crackeable...

    Hablar de contraseñas robustas y largas en un terminal que se bloquea a intervalos muy reducidos no es de uso común... ¡Lógico! Los usuarios no están concienciados en cuanto a seguridad y priman la comodidad de introducir una contraseña corta y sencilla de recordar para desbloquear el dispositivo por cada mensaje que reciben por Whatsapp! ;)

    Un saludo!

    ResponderEliminar
  2. @NeTTinG, crackear un passcode en iPhone 4S o iPhone 5 sin poder usar el exploit de BootROM de iPhone 4 y sin tener pareado un equipo o un backup de Apple iCloud, junto con la protección de borrado tras ene intentos es... cuasi imposible. Gracias a que se ha añadido Touch ID ahora siempre es posible sin contar con Apple. De eso trata este post. Touch ID no es el eslabón más fuerte...es el más débil en este caso.

    Saludos!

    ResponderEliminar
  3. Hola:

    Pues si. Se me ha colado...
    Cuando he estado jugando con el UFED de Cellebrite me había parecido leer en las especificaciones técnicas que si era posible acceder al dispositivo.
    Lo que no estoy seguro es si las herramientas privadas guardan bajo la manga algún exploit no publicado... Creo recordar que en versiones anteriores si que los tenían.
    De todas maneras, gracias por corregirme ;)
    Un saludo!

    ResponderEliminar
  4. @NeTTinG, no hay exploits a partir de iPhone 4S, se necesita passcode o equipo pareado para iPhone 4S o iPhone 5. Comprobado }:)

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares