iOS продолжает хранить удалённые данные и даже позволяет их восстановить

Журналист Forbes Томас Брюстер выяснил, что операционная система iOS продолжает хранить удалённую информацию пользователей в течение длительного времени. Кроме того, позволяет провести процедуру её восстановления.

Совместно с IT-специалистами Брюстер выяснил, что в памяти iPhone остаются удалённые видео- и фотоматериалы, история браузера, контакты, настройки и так далее.  

ОБНОВЛЕНИЕ: однако в разговоре с Генеральным директором компании Elcomsoft Владимиром Каталовым, «Код Дурова» выяснил, что ситуация с Брюстером неверно описана. CEO Elcomsoft отметил, что конкретные файлы восстановить нельзя:

Отдельные файлы после удаления в iOS не восстанавливаются. Все данные зашифрованы и когда файл удаляется, то фактически стираются ключи шифрования. Можно восстановить лишь отдельные записи из баз данных, — говорит Каталов.

Действительно, возможную часть данных можно восстановить, но речи о конкретных файлах не идёт. Например, все сообщения из iMessages скапливаются в одну базу данных и чтобы их восстановить — не нужно извлекать данные с помощью такого продукта, как GreyKey, так как можно сделать отдельную резервную копию в iTunes. В целом, помимо базы сообщений существуют и другие БД, посвящённые другим категориям:

•  звонки;
•  контакты;
•  история сопряжений по Bluetooth;
•  данные календаря;
•  история браузера;
•  куки;
•  настройки конфигурации.

Чтобы извлекать те или иные данные используются различные программно-аппаратные комплексы. Одним из таких является комплекс Celloebrite или же GrayKey, который на выход свежих обновлений iOS устарел. GrayKey позволял взламывать iPhone и iPad вне зависимости от версии iOS с помощью перебора защитных комбинаций.

Начиная с версии iOS 11.4.1 «яблочная компания» специально ограничила эту возможность. Позже выяснилось, что встроенный защитный механизм, требующий ввести пароль после подключения Lightning-коннектора, спустя час бездействия устройства, можно было очень легко взломать.

Метод работал следующим образом: до момента, когда устройство перейдёт в защищённый режим и сможет лишь только заряжаться, к нему нужно подключить фирменный или сертифицированный аксессуар Apple, — в таком случае таймер активации защиты USB Restricted Mode будет сброшен.

Владимир Каталов отметил, что уже сейчас метод не является рабочим, — по этому поводу компания Elcomsoft написала отдельный материал. Компания с 1990 года работает над программами компьютерной безопасности, уделяя основное внимание программному обеспечению для восстановления пароля и системного восстановления.