Извлечение паролей из iCloud Keychain inverno

С выходом iOS 11 разработчики Apple уничтожили многоуровневую систему безопасности, ранее существовавшую в экосистеме iOS. Теперь абсолютно вся безопасность зависит исключительно от надежности пасскода — пароля блокировки устройства.

Стоит злоумышленнику получить доступ к устройству и узнать пасскод (а для многих устройств предыдущих поколений это — дело техники, не очень больших денег и не слишком долгого перебора), как владелец устройства и учетной записи моментально становится бывшим. В этой статье я расскажу как зная пасскод извлечь пароли из iCloud Keychain.

Облачная связка ключей — iCloud Keychain
Связка ключей iCloud — облачный сервис для синхронизации логинов и паролей к веб-сайтам из браузера Safari, данных платежных карт и информации о сетях Wi-Fi. Акцент здесь именно на синхронизации паролей: существует по крайней мере один способ настроить облачную связку ключей таким образом, что сами пароли, хоть и будут синхронизироваться через облако, в iCloud храниться не будут.

Вкратце опишем возможные сценарии работы связки ключей iCloud.

Учетная запись без двухфакторной аутентификации.
Если пользователь включит связку ключей iCloud, но не задаст так называемый код безопасности iCloud (это отдельный код, который служит для защиты именно облачной связки ключей и ничего более), то пароли в облако не сохраняются; синхронизация ведется исключительно между доверенными устройствами. Нас этот сценарий не интересует.

Учетная запись без двухфакторной аутентификации.
Если пользователь выбрал код безопасности iCloud, то пароли уже хранятся в облаке, но для доступа к ним нужно будет ввести тот самый код безопасности — по условиям задачи мы его не знаем. Что делать? Можно попробовать активировать двухфакторную аутентификацию в учетной записи пользователя; зная пароль от Apple ID и сменив доверенный номер телефона, сделать это будет очень просто. Таким образом, теоретически задача сводится к сценарию 3 (проверить на практике возможности не было).

Учетная запись с включенной двухфакторной аутентификацией.
Пароли хранятся в iCloud, а для доступа к ним вам потребуется ввести пароль от Apple ID и дополнительно указать пароль блокировки устройства — любого устройства (iPhone, iPad, macOS), которое уже зарегистрировано в облачной связке ключей, включая тот iPhone, который у вас в руках. Задача решена, пароли извлечены.

Извлечение паролей из iCloud Keychain
Рассмотрим извлечение облачной связки ключей подробнее.

В Elcomsoft Phone Breaker выбираем Tools — Apple — Download from iCloud — Keychain.
Авторизуемся в iCloud (логин, пароль, одноразовый код 2FA).
Выбираем из списка устройство Trusted device (тот самый iPhone, который у вас в руках) и вводим пароль от него в поле Device passcode.
Возвращаемся на главный экран и открываем Keychain Explorer.
вытащить пароль icloud keychain

Вам доступны пароли и маркеры аутентификации от Apple ID (кстати, здесь, возможно найти и оригинальный пароль пользователя от его Apple ID — развлечения ради можно будет вернуть его на место), пароли от сетей Wi-Fi, пароли от почтовых аккаунтов, кредитные карты, а также все пароли, сохраненные в браузере Safari.

Не знаю, как вам, а лично мне выходить из дома с iPhone просто страшно.

Как защититься?

Пока непонятно. Единственное, что можно (и точно нужно) сделать, — это установить на iPhone пароль блокировки хотя бы из шести цифр. Собственно, начиная с iOS 10 Apple рекомендует именно такие пасскоды. Их перебор в настоящее время технически неосуществим. Впрочем, если злоумышленник подсмотрит пароль или заставит вас его сообщить, тогда у вас проблема.