Блог «МКО Системы»

Агенты на задании: расширенные возможности извлечения данных из мобильных устройств

#Android-Агент #iOS-Агент
Мобильные устройства уже давно стали основным хранилищем информации современного пользователя, содержащим его контакты, переписки, историю звонков, данные о местоположении, медиафайлы и другие важные цифровые следы. В расследованиях доступ к этим данным играет важнейшую роль. Однако устройства постоянно совершенствуются, уровень защиты растет, а новые ограничения усложняют процесс извлечения информации. В таких условиях важно иметь инструменты, позволяющие оперативно и эффективно получать данные из смартфонов и планшетов.
Два специализированных решения от компании «МКО Системы» — «Android-Агент» и «iOS-Агент» в составе программы «Мобильный Криминалист» — позволяют получить доступ к информации даже в сложных случаях, когда стандартные методы оказываются неэффективными. «Android-Агент» и «iOS-Агент» предоставляют расширенные возможности, которые позволяют извлекать данные из цифровых устройств и при этом минимизировать вмешательство в их работу.
Извлеченные с помощью этих инструментов данные могут быть переданы для дальнейшей обработки в специализированные программы, такие как «Мобильный Криминалист», где они могут быть проанализированы и использованы в рамках криминалистических расследований. Какие данные доступны и в чем особенности разных подходов? Давайте разберемся.
«Android-Агент» — доступ к широкому спектру данных
«Android-Агент» — инструмент, позволяющий эффективно извлекать данные из устройств под управлением Android. Для этого предусмотрены три основных метода: логическое извлечение данных устройства, создание скриншотов и запись экрана, а также сбор информации из сторонних приложений.
Логическое извлечение данных из устройства с помощью «Android-Агента» охватывает широкий спектр информации, включая текстовые сообщения, SMS, MMS и RCS, вместе с метаданными о времени отправки и получении, статусе доставки и прикрепленных файлах. Приложению доступны данные о Wi-Fi-сетях, к которым подключалось устройство, а также о сопряженных Bluetooth-устройствах. Извлекаемые мультимедийные файлы, включая фотографии, видео и аудио, сопровождаются метаданными, содержащими информацию о времени и месте съемки, разрешении и ориентации изображения. Также возможно извлечение документов различных форматов, установочных файлов .APK и других данных.
Помимо логического извлечения, «Android-Агент» поддерживает создание скриншотов и запись экрана, что позволяет фиксировать визуальные данные автоматически или вручную.
Приложение также позволяет получать данные из популярных мессенджеров и социальных сетей.
Из мессенджера Discord извлекается информация о владельце учетной записи, список контактов, а также содержимое приватных и групповых чатов, включая каналы. В Kik доступны учетные данные, список контактов и переписка. Line предоставляет данные учетной записи, список друзей, текстовые чаты (без вложений), а также файлы, сохраненные на устройстве без привязки к конкретным сообщениям.
Signal поддерживает создание резервных копий, которые включают данные учетной записи, контакты, историю звонков, приватные и групповые чаты, а также сохраненные стикеры. Silent Phone позволяет извлекать учетную запись, список контактов, переписки и историю звонков. В Slack доступны данные из нескольких авторизованных на устройстве учетных записей, в том числе список контактов, приватные и групповые чаты, каналы, черновики, отправленные сообщения и задачи в разделе Later.
Из Telegram и Telegram Web также извлекаются данные из нескольких учетных записей, авторизованных на устройстве, включая информацию об учетной записи, авторизованные сессии, контакты, приватные и групповые чаты, каналы, сохраненные сообщения и звонки (только из чатов). В X (Twitter) доступны данные об учетной записи, подписчиках, подписках, публикациях владельца, а также личные и групповые сообщения.
Viber позволяет получить информацию об учетной записи, список контактов, историю звонков и содержимое приватных и групповых чатов. WhatsApp и WhatsApp Business поддерживают извлечение данных учетной записи (включая возможность выбора одной или обеих учетных записей), списка связанных устройств, контактов, чатов с вложениями, информации о сообществах и чатов в них, истории звонков, а также рабочих часов и каталогов в WhatsApp Business.
Wickr Me и AWS Wickr предоставляют данные учетной записи, список контактов, приватные чаты, групповые комнаты с вложенными файлами и ссылками, а также историю звонков (которая извлекается вместе с чатами). В Zoom можно получить информацию об учетной записи, список контактов, приватные и групповые чаты, каналы, историю встреч и звонков.
«Android-Агент» также позволяет исследовать историю интернет-серфинга владельца устройства благодаря получению данных из популярных браузеров. Из Chrome извлекаются данные об авторизованной учетной записи, сохраненные логины и пароли, история посещений, сведения о банковских картах, а также контактные данные, включая адреса электронной почты и номера телефонов. Доступна информация о вкладках, закладках и скачанных файлах. Аналогичный набор данных актуален для Firefox с дополнительной возможностью извлечения коллекций сохраненных ссылок, приватных и синхронизированных вкладок.
Из Opera, помимо истории браузера, закладок и паролей (если не установлена блокировка экрана устройства), извлекаются контактные данные для автозаполнения, сохраненные страницы, данные Crypto Wallet, а также информация Flow, включающая ссылки, текстовые сообщения и вложения. Samsung Browser позволяет получить логины и пароли (если они хранятся в Samsung Pass), историю просмотров, открытые вкладки, данные банковских карт, сохраненные страницы и загруженные файлы. Для Yandex Browser доступны сведения об авторизованной учетной записи, логинах, паролях, банковских картах, истории посещений, закладках и скачанных файлах.
«iOS-Агент» — извлечение из Apple-устройств без джейлбрейка
Что касается работы с экосистемой Apple, в условиях более строгой защиты информации, «МКО Системы» предлагает «iOS-Агент» — решение, которое позволяет получать данные из iPhone и iPad без модификации операционной системы. Для его установки на устройства, требующие подписи, необходимо авторизоваться в Apple ID и получить сертификат в модуле «МК Извлечение устройств». (Для устройств iPhone Xs – iPhone 13 на iOS 15.0 – 15.4.1, при использовании уязвимости CVE-2022-26765, это не требуется.)
В нем предусмотрено два метода извлечения данных.
Первый метод — низкоуровневое извлечение, предназначенное для работы с определенными моделями iPhone и iPad. Этот способ позволяет получить полный доступ к файловой системе устройства, а также извлечь данные из Keychain, где хранятся учетные записи, пароли и токены аутентификации. «iOS-Агент» поддерживает работу с устройствами на iOS 13.0 – 16.6.1, таким образом охватывая широкий спектр как современных, так и устаревших моделей.
Второй метод — извлечение общедоступных данных, которое доступно для всех устройств Apple, начиная с iOS 12. В отличие от низкоуровневого извлечения, этот метод не требует доступа к файловой системе и предоставляет такую информацию, как основные сведения об устройстве, данные контактов, записи и сохраненные события в календаре. Кроме того, возможно извлечение мультимедийных файлов, включая фотографии, видео- и аудиозаписи.
Дополнительным преимуществом «iOS-Агента» является возможность его использования в качестве вспомогательного инструмента для извлечения данных из облачных сервисов Apple. Он работает в связке с модулем «МК Облачные сервисы» в программе «Мобильный Криминалист», обеспечивая доступ к данным из iCloud. «iOS-Агент (режим iCloud)» поддерживает извлечение информации из более десяти облачных сервисов Apple. Среди них iCloud Backup, содержащий резервные копии устройств iPhone и iPad. Также доступны данные Apple Maps, которые включают историю поисковых запросов, сохраненные закладки и маршруты, что позволяет восстановить перемещения пользователя.
Еще одним важным источником данных является Apple Health — сервис, фиксирующий сведения о физической активности пользователя, его здоровье и образе жизни. Получаемые данные включают сведения о владельце учетной записи, список сопряженных устройств, показатели активности, данные о питании, медицинских измерениях и другие параметры, которые помогают составить представление о его образе жизни.
Возможность извлечения файлов и документов из iCloud Drive, синхронизированных фотографий из iCloud Photo Stream и других облачных сервисов Apple дополняет функционал «iOS-Агента (режим iCloud)», позволяющего получать максимально полный объем информации о пользователе.
Рост уровня защиты мобильных устройств усложняет доступ к данным, но цифровая криминалистика не стоит на месте. «Android-Агент» и «iOS-Агент» позволяют извлекать информацию в рамках доступных возможностей, предоставляя экспертам эффективные инструменты для решения практических задач.