Як часто буває, в цьому жарті лише доля жарту. Проблема в тому, що, як з'ясувалося, видалити історію, що називається, «з кінцями» виявляється дуже важко, якщо взагалі можливо. Видалили історію Safari? Останні записи більше не муляють очі? Але зовсім не факт, що історія дійсно пішла. Навпаки, дані акуратно зберігаються в «хмарі», а ваш акт «видалення» історії всього лише приховує записи. Але все, що не знищене остаточно, може бути вилучено. Так сталося і з історією браузера.
В останні роки Apple активно розвиває «хмарні» сервіси на основі iCloud. «Хмарні» резервні копії, «хмарні» фотографії, режим Continuity, синхронізація історії дзвінків, контактів і безлічі інших даних між пристроями, прив'язаними до профілю користувача - лише деякі речі, які робляться через iCloud.
Через «хмара» синхронізується і історія відвідувань користувача в браузері Safari. Інформація про сайтах і сторінках, які відкривав користувач, автоматично передається на сервери Apple, з яких вона потрапляє на інші пристрої користувача, прив'язані до тієї ж облікового запису.
Історію відвідувань браузера Safari можна видалити як цілком, так і у вигляді окремих записів. Віддалені записи справно зникають і з синхронізованих пристроїв. Якщо спробувати скинути пристрій, а потім відновити його з «хмари» - на ньому виявляться тільки ті записи, які не були видалені (а з актуальних - тільки за останні 30 днів).
Дослідникам з лабораторії «Елкомсофт» вдалося з'ясувати, що «віддалені» користувачем записи історії браузера Safari насправді не видаляються з «хмари», і залишаються в iCloud протягом тривалого часу. На основі цих даних ми оновили продукт Elcomsoft Phone Breaker до версії 6.40. Тепер за допомогою Elcomsoft Phone Breaker можна витягти не тільки ті записи історії відвідувань Safari, які видно користувачеві на пристроях або в «хмарі» iCloud, але і записи, які користувач видалив. Нам вдалося відновити записи, які були видалені більше року тому. Витягуються як самі віддалені записи, так і інформація про дату і час останнього відвідування посилання, а також дату і час її видалення.
практичне значення
Практичний сенс вилучення синхронізованих даних з точки зору експертів-криміналістів в оперативному отриманні інформації про користувача. На відміну від «хмарних» резервних копій, які оновлюються щодоби, синхронізовані дані потрапляють в «хмару» з мінімальною затримкою - практично в режимі реального часу.
Дослідження віддалених записів історії браузера Safari може допомогти в розслідуванні при зборі доказової бази.
Сторонні інструменти і продукти
Сторонні інструменти для вилучення синхронізованих даних Safari з «хмари» існують, проте їх можливості сильно обмежені. Деякі продукти представляються пристроями під керуванням iOS, і отримують з «хмари» тільки дійсні записи. Інші продукти працюють через веб-інтерфейс і також отримують дуже обмежена кількість інформації.
На даний момент Elcomsoft Phone Breaker 6.40 - єдиний продукт, здатний витягти повну історію відвідувань користувача з iCloud, включаючи віддалені записи. Можуть бути вилучені і дуже старі записи, розташовані на відстані більше року тому.
Як витягти історію браузера Safari з «хмари» iCloud
Інформація з «хмари» витягується через механізм синхронізації даних, що працює в режимі реального часу. Для доступу до iCloud буде потрібно аутентифікація (Apple ID і пароль або маркер аутентифікації, витягнутий з комп'ютера користувача). При використанні маркера аутентифікації в використанні пароля немає необхідності; крім того, обходиться і додатковий захист механізмом двофакторної аутентифікації (в результаті чого користувачеві не надходить попередження про те, що до його облікового запису отриманий доступ з нового пристрою).
- Запустіть Elcomsoft Phone Breaker 6.40 або новішу версію
- Натисніть "Download Synced Data from iCloud" і переконайтеся, що дані «Safari» відзначені:
- Запустіть Elcomsoft Phone Viewer
- Відкрийте викачані дані і натисніть «Web»
- Буде показана історія сайтів, які відвідав користувач
Де взяти пароль
- Обходиться захист за допомогою двофакторної аутентифікації
- Користувач не отримує попередження про вхід в його обліковий запис
Витягти маркер аутентифікації можна з комп'ютера користувача, якщо на ньому було встановлено додаток iCloud Control Panel і користувач включив синхронізацію з «хмарою» iCloud. Маркер можна витягти за допомогою інструментарію, вбудованого в Elcomsoft Phone Breaker.