«iOS-Агент» — приложение для iOS, которое устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение без применения обходных технических решений. Использование «iOS-Агента» позволяет извлекать данные из Apple-устройства без джейлбрейка. Для работы метода необходима учетная запись Apple для подписи устанавливаемого приложения.
Для низкоуровневого извлечения данных методом «iOS-Агент» необходимо выполнить следующие действия:
Запустить модуль «МК Извлечение устройств».
Выбрать метод «iOS-Агент».
Проверить, что низкоуровневое извлечение методом поддерживается для вашего устройства.
Зарядить, включить, разблокировать и подключить iOS-устройство к ПК по USB, на экране телефона подтвердить доверие устройства к ПК.
Убедиться, что установлена последняя версия iTunes (можно скачать и установить по кликабельной ссылке в инструкции к методу).
Убедиться, что установлен iCloud для Windows и выполнен вход в учетную запись Apple ID (можно скачать и установить по кликабельной ссылке в инструкции к методу).
Выбрать путь для сохранения извлечения или оставить его по умолчанию, после чего нажать на кнопку «iOS-Агент низкоуровневое извлечение».
После открытия вкладки с процессом извлечения дождаться поиска iOS-устройства, подключенного к ПК по USB (должна отобразится информация о подключении устройства).
Для установки и подписи приложения «iOS-Агент» войти в бесплатную учетную запись Apple или в платную учетную запись разработчика Apple Developer Program. При использовании бесплатной учетной записи Apple для подписи приложения «iOS-Агент» устройство должно быть подключено к сети Интернет. После установки приложения необходимо перейти в «Настройки», далее в пункт «Основные», выбрать «Управление устройством» и сделать разработчика доверенным, кликнув «Доверять». Для минимизации рисков при использовании бесплатной учетной записи Apple рекомендуется настроить точку доступа сети Wi-Fi, к которой будет подключаться телефон, для того чтобы ограничить выход устройства в сеть Интернет. При использовании платной учетной записи Apple Developer Program устройство может оставаться без подключения к сети Интернет или в режиме полета (с подробным мануалом по работе с приложением «iOS-Агент» можно ознакомиться по кликабельной ссылке в инструкции к методу).
Открыть приложение «iOS-Агент» на устройстве.
Дождаться применения уязвимости на устройстве, после чего на ПК выбрать тип данных для извлечения *.
Дождаться извлечения данных Keychain, файловой структуры устройства, подсчета хеша.
По окончании извлечения во вкладке «Результат извлечения» можно открыть папку с извлеченными данными или импортировать их в программу для дальнейшего анализа.
* После запуска установленное приложение исполняет соответствующий версии iOS код эксплойта. Для устройств iPhone Xs - iPhone 13 на версиях iOS 15.0 - 15.4.1 при использовании уязвимости CVE-2022-26765 подпись для устанавливаемого приложения и авторизация в учетную запись Apple не требуются.
Извлечение общедоступных данных реализовано для устройств, на которых невозможно применить эксплоит для получения полной файловой системы и данных Keychain. Поддерживаются все iOS-устройства на версии iOS 12 и выше.
Данные, доступные для извлечения «iOS-Агентом» без применения уязвимости: