Mobile AppSec World
Попадают ли данные из KeyChain с отметкой "ThisDeviceOnly" в бекап?
Попробуем разобраться с этим интересным флагом "ThisDeviceOnly".
При создании зашифрованного бэкапа в него попадают также и значения из Keychain. Эти значения зашифрованы на производной от пароля, который задаётся во время создания бэкапа. То есть, если подобрать пароль, можно получить всё содержимое не только файловой системы, но и Keychain (в котором любят хранить всякие пароли и ключи 😍).
Но что же, всё-таки, означает этот флаг? Значит ли он, что при создании бекапа данные в него не попадут? Он же так интересно называется - "Только для этого устройства" 🤔
На самом деле, это работает немного не так. Значения с этим флагом также попадают в бекап! Но есть одно существенное отличие - помимо производной от пароля, они также защищены уникальным ключём данного устройства (UID) и могут быть восстановлены из бекапа только на том же устройстве, откуда были скопированы. То есть, просто так их не вытащить, но шансы есть всегда :)
Именно поэтому мы рекомендуем дополнительно шифровать данные, которые вы храните на устройстве, даже если они находятся в Keychain.
Об этих и других особенностях защиты данных на устройстве буду периодически писать :)
#iOS #Keychain #Backup #Forensic
При создании зашифрованного бэкапа в него попадают также и значения из Keychain. Эти значения зашифрованы на производной от пароля, который задаётся во время создания бэкапа. То есть, если подобрать пароль, можно получить всё содержимое не только файловой системы, но и Keychain (в котором любят хранить всякие пароли и ключи 😍).
Но что же, всё-таки, означает этот флаг? Значит ли он, что при создании бекапа данные в него не попадут? Он же так интересно называется - "Только для этого устройства" 🤔
На самом деле, это работает немного не так. Значения с этим флагом также попадают в бекап! Но есть одно существенное отличие - помимо производной от пароля, они также защищены уникальным ключём данного устройства (UID) и могут быть восстановлены из бекапа только на том же устройстве, откуда были скопированы. То есть, просто так их не вытащить, но шансы есть всегда :)
Именно поэтому мы рекомендуем дополнительно шифровать данные, которые вы храните на устройстве, даже если они находятся в Keychain.
Об этих и других особенностях защиты данных на устройстве буду периодически писать :)
#iOS #Keychain #Backup #Forensic
Вчера писал про бэкапы и что в них попадают данные из keychain (если бэкап с паролем, конечно).
Сегодня вышла шикарная статья про данные из keychain в бекапах.
Статья интересна тем, что в ней рассматриваются все основные флаги и способы хранения элементов в keychain, условия их попадания в локальные и облачные копии, а так же разные способы, как их оттуда достать 😏
#iOS #Keychain #Backup
Сегодня вышла шикарная статья про данные из keychain в бекапах.
Статья интересна тем, что в ней рассматриваются все основные флаги и способы хранения элементов в keychain, условия их попадания в локальные и облачные копии, а так же разные способы, как их оттуда достать 😏
#iOS #Keychain #Backup
ElcomSoft blog
Extracting and Decrypting iOS Keychain: Physical, Logical and Cloud Options Explored
The keychain is one of the hallmarks of the Apple ecosystem. Containing a plethora of sensitive information, the keychain is one of the best guarded parts of the walled garden. At the same time, the keychain is relatively underexplored by the forensic community.…
Отчет по локальному бэкапу iOS
Весьма занятный скрипт, который позволяет получить отчет по содержимому локального бэкапа iOS устройства.
Выглядит симпотично, умеет вытаскивать различную информацию вроде WhatsUp переписок, адресной книги, кукизов, смс и так далее.
Не факт, конечно, что это сильно поможет при анализе содержимого бэкапа именно приложения, но мы же знаем, что скрипт всегда можно немного расширить)))
На мой взгляд интересная штука, особенно когда тебе говорят, что пароль в открытом виде в бэкапе это норм и так и было задумано :D
Я, кстати понимаю, что в Android можно рулить настройками того, что попадет в бэкап, да и вообще его отключить. А вот можно ли доя приложения на iOS сделать аналогично? Можно при создании файла указать, что он не попадет в бэкап, но на каждый файл неудобно и можно забыть. А вот опции, чтобы вообще исключить все данные приложения из бэкапа, такого я не нашел. Может вы знаете?
#iOS #backup
Весьма занятный скрипт, который позволяет получить отчет по содержимому локального бэкапа iOS устройства.
Выглядит симпотично, умеет вытаскивать различную информацию вроде WhatsUp переписок, адресной книги, кукизов, смс и так далее.
Не факт, конечно, что это сильно поможет при анализе содержимого бэкапа именно приложения, но мы же знаем, что скрипт всегда можно немного расширить)))
На мой взгляд интересная штука, особенно когда тебе говорят, что пароль в открытом виде в бэкапе это норм и так и было задумано :D
Я, кстати понимаю, что в Android можно рулить настройками того, что попадет в бэкап, да и вообще его отключить. А вот можно ли доя приложения на iOS сделать аналогично? Можно при создании файла указать, что он не попадет в бэкап, но на каждый файл неудобно и можно забыть. А вот опции, чтобы вообще исключить все данные приложения из бэкапа, такого я не нашел. Может вы знаете?
#iOS #backup
GitHub
GitHub - piotrbania/ios_forensics_suite: A tool for generating detailed, locally-processed reports from iOS backups, supporting…
A tool for generating detailed, locally-processed reports from iOS backups, supporting encrypted and unencrypted data. - piotrbania/ios_forensics_suite