¿Qué certificados y / o archivos son necesarios para omitir el bloqueo del código de acceso de iOS?

3

Algunas herramientas forenses como Lantern 2.0 permiten el uso de un archivo de omisión de código de acceso para moverse El código de acceso de bloqueo en iOS 4.2 y versiones posteriores. Esto significa que si alguien tiene su dispositivo, puede sortear la restricción normal para no sincronizarse hasta que el dispositivo se desbloquee.

Me pregunto qué archivo o archivos crea iTunes y almacena para convencer a un dispositivo iOS bloqueado de sincronizar a través de USB. Aún mejor sería un análisis de los elementos de llavero específicos que se necesitan para omitir el bloqueo del código de acceso para iOS.

    
pregunta bmike 27.04.2011 - 20:38

3 respuestas

2

Después de varias horas de buscar y usar fs_usage para rastrear archivos, llegué a la conclusión de que los certificados se almacenan en el llavero. (que en retrospectiva es un momento DUH).

Aquí están los archivos que iTunes lee al iniciar y durante una sincronización en mi mac.

18:38:16.776  stat64                                 /Library/Keychains/System.keychain                                                      0.000010   iTunes              
18:38:16.776  open              F=5        (R_____)  /Users/me/Library/Keychains/login.keychain                                            0.000007   iTunes              
18:38:16.801  open              F=5        (R_____)  /Library/Keychains/System.keychain                                                      0.000016   iTunes              
18:38:26.013  open              F=48       (R_____)  /System/Library/Keychains/SystemRootCertificates.keychain                               0.000024   iTunes              

No he podido descubrir qué claves específicas o cadena de claves se necesitan. El llavero en mi carpeta de inicio parece no ser necesario ya que otras cuentas de usuario en mi mac ven el contenido de mi iPhone bloqueado incluso antes de que se inicie iTunes. No está claro si usbmuxd u otro daemon de bajo nivel está leyendo un certificado de nivel de sistema o la API para acceder a los datos de iOS se basa en una biblioteca común para el acceso al omisión del bloqueo del código de acceso en iOS 4.

Está claro que el código de acceso de iOS no se protegerá de alguien que pueda acceder a los archivos en su disco duro (y tiene el conocimiento detallado que aún no está claro qué certificado o archivo tiene las claves almacenadas)

FileVault no lo protegerá, ya que el certificado parece estar almacenado fuera de la carpeta del usuario.

    
respondido por el bmike 03.05.2011 - 01:42
3

La descripción completa de la función en el sitio de Lantern es "Pasar por alto el código con el archivo de certificado de la computadora sincronizada " por lo que no creo que "hasta que se desbloquee el dispositivo" sea la forma correcta la frase Parece que Lantern reutiliza las credenciales preexistentes establecidas entre la computadora y el teléfono.

edit: Y al volver a leer tu pregunta, parece que puedes estar al tanto de esto. Un rápido examen de la documentación del desarrollador de iOS no me ofrece nada, pero es probable que pueda determinarlo por sí mismo si tiene un Mac con el que sincronice su teléfono.

desde una ventana de terminal, ejecuta el comando sudo fs_usage -wf filesys | grep -i itunes y deberías poder ver qué archivos consulta iTunes cuando conectas tu teléfono bloqueado con contraseña.

    
respondido por el Don 27.04.2011 - 23:00
1

Creo que estás hablando de la bolsa de claves de custodia, almacenada en% ALLUSERSPROFILE% \ Apple \ Lockdown: esta es la bolsa de certificados requerida para que iTunes se conecte y sincronice con dispositivos iOS previamente emparejados sin que el usuario vuelva a ingresar las credenciales. Si sincroniza su iPhone con su Mac y luego copia los contenidos de la carpeta anterior a otra Mac, puede acceder al dispositivo en la 2da Mac sin volver a ingresar los credenciales.

Si está interesado en una inmersión profunda de los detalles técnicos detrás de esto, eche un vistazo a esta presentación - enlace

    
respondido por el Sorcerer13 18.07.2011 - 02:02

Lea otras preguntas en las etiquetas