Журналист Forbes Томас Брюстер выяснил, что операционная система iOS продолжает хранить удалённую информацию пользователей в течение длительного времени. Кроме того, позволяет провести процедуру её восстановления.
Совместно с IT-специалистами Брюстер выяснил, что в памяти iPhone остаются удалённые видео- и фотоматериалы, история браузера, контакты, настройки и так далее.
ОБНОВЛЕНИЕ: однако в разговоре с Генеральным директором компании Elcomsoft Владимиром Каталовым, «Код Дурова» выяснил, что ситуация с Брюстером неверно описана. CEO Elcomsoft отметил, что конкретные файлы восстановить нельзя:
Отдельные файлы после удаления в iOS не восстанавливаются. Все данные зашифрованы и когда файл удаляется, то фактически стираются ключи шифрования. Можно восстановить лишь отдельные записи из баз данных, — говорит Каталов.
Действительно, возможную часть данных можно восстановить, но речи о конкретных файлах не идёт. Например, все сообщения из iMessages скапливаются в одну базу данных и чтобы их восстановить — не нужно извлекать данные с помощью такого продукта, как GreyKey, так как можно сделать отдельную резервную копию в iTunes. В целом, помимо базы сообщений существуют и другие БД, посвящённые другим категориям:
• звонки; • контакты; • история сопряжений по Bluetooth; • данные календаря; • история браузера; • куки; • настройки конфигурации.
Отчёт комплекса Celloebrite по количеству удалённых данных из приложений.
Чтобы извлекать те или иные данные используются различные программно-аппаратные комплексы. Одним из таких является комплекс Celloebrite или же GrayKey, который на выход свежих обновлений iOS устарел. GrayKey позволял взламывать iPhone и iPad вне зависимости от версии iOS с помощью перебора защитных комбинаций.
Начиная с версии iOS 11.4.1 «яблочная компания» специально ограничила эту возможность. Позже выяснилось, что встроенный защитный механизм, требующий ввести пароль после подключения Lightning-коннектора, спустя час бездействия устройства, можно было очень легко взломать.
Метод работал следующим образом: до момента, когда устройство перейдёт в защищённый режим и сможет лишь только заряжаться, к нему нужно подключить фирменный или сертифицированный аксессуар Apple, — в таком случае таймер активации защиты USB Restricted Mode будет сброшен.
Владимир Каталов отметил, что уже сейчас метод не является рабочим, — по этому поводу компания Elcomsoft написала отдельный материал. Компания с 1990 года работает над программами компьютерной безопасности, уделяя основное внимание программному обеспечению для восстановления пароля и системного восстановления.
