[手機取證] Apple Watch取證初探

轉載文章請註明出處數據庫

1. 關於Apple Watch

蘋果公司在2015年3月正式發佈了智能手錶Apple Watch,包括Apple Watch、Apple Watch Sport以及Apple Watch Edition三種版本。服務器

 

圖 1 Apple Watch的三個版本微信

 

Apple Watch採用Apple S1處理器,內置512MB RAM和8GB Flash存儲,經過Wi-Fi和藍牙與iPhone進行同步,與其同步的iPhone必須使用iOS 8.2及以上版本。網絡

 

2. Apple Watch取證思路

目前,Apple Watch使用Watch OS 1.0系統,手錶中全部App均來源於與之配對的iPhone手機,開發者可將本身的App進行Apple Watch適配併發布在App Store,在iOS安裝後,可在iPhone手機上的Apple Watch應用中選擇推送安裝至Apple Watch,這是目前Apple Watch惟一的應用安裝方式;Apple Watch系統的升級和還原也僅能經過配對的iPhone手機進行,如今市面發售的Apple Watch僅有的一個物理接口是未公開的調試接口,沒法進行利用。併發

 

另外一方面,Apple Watch應用程序的數據多數來源於iPhone手機上對應的程序,且這些程序的通訊和數據存儲都依賴於配對的iPhone手機(iMessage例外,Apple Watch上的iMessage服務可脫離iPhone獨立鏈接Wi-Fi進行通訊),Apple Watch內部存儲主要用於保存手機同步的數據。測試

 

結合上述特色,咱們能夠初步肯定對Apple Watch的取證思路:與多數智能可穿戴設備取證相似,對Apple Watch的取證工做實際上仍是要基於對應的iPhone手機,而目前iPhone手機的取證依賴於iTunes備份進行,故這次研究也將主要利用iPhone的備份進行分析。ui

 

3. 取證方式

a)       將Apple Watch與iPhone手機進行配對,並安裝支持的應用程序,本次測試選取的是Apple Watch 標準版42mm,使用運行iOS 8.3的iPhone 6進行配對。加密

b)       使用iTunes爲配對的iPhone進行備份,將備份文件導出。3d

c)       使用取證軟件對備份文件進行解析。須要注意的是,若是備份進行了加密,還應先進行解密操做。調試

 

4. 結論

Apple Watch的基本信息:

  • Apple Watch信息:全部人,版本,區域和語言信息:

 

圖 2 Apple Watch的基本信息

 

  • 配對時間:使用NSDate存儲,轉換後需按照時區增長8小時,即2015年6月30日16:20:12。

 

 

圖 3 Apple Watch與iPhone的配對時間

  • Apple Watch的配對手機的版本,此處8.2.1指iOS 8.3.

 

圖 4 Apple Watch配對iPhone的版本信息

 

  • Apple Watch數據在iPhone備份中的存儲位置

 

圖 5 Apple Watch備份數據的存儲位置

 

  • Apple Watch序列號、UDID、Wi-Fi適配器MAC地址、藍牙MAC地址及存儲容量信息

圖 6 Apple Watch序列號等信息

 

Apple Watch所同步的手機數據

  • 通信錄和我的收藏聯繫人

Apple Watch數據文件夾中映射手機AddressBook數據庫中的guid字段,但並不直接存儲通信錄信息;Apple Watch按下按鈕調出的我的收藏聯繫人也被同步到了手錶之中

 

圖 7 Apple Watch中存儲的聯繫人對應guid

 

圖 8 Apple Watch中的「我的收藏」聯繫人

 

  • iPhone中全部App列表

 

圖 9 Apple Watch所配對iPhone的應用程序列表

 

  • Apple Watch中已安裝的App列表

 

圖 10 Apple Watch已安裝應用程序列表

 

  •  Apple Watch中同步的Passbook信息

 

圖 11 Apple Watch上的Passbook信息,圖像等數據採用BLOB存儲

 

  • Apple Watch中同步的郵件帳戶和郵件id

 

圖 12 郵件帳戶及對應ID

 

 

圖 13 Apple Watch上所保存的郵件ID

 

Apple Watch App數據

目前市面上使用WatchKit開發的程序,在Apple Watch上安裝後,配對的iPhone手機中均會生成獨立的文件夾,並單獨保存數據,除非程序額外定義存儲位置。

以微信爲例,使用Apple Watch的用戶在收到微信消息後,iPhone端保存數據並推送給Apple Watch,在Apple Watch對應的數據文件夾下也會保存全部Apple Watch上使用過的表情、語音信息和文本聊天記錄,乃至所發送的位置信息。

 

圖 14 Apple Watch版微信好友列表

 

 

 

圖 15 Apple Watch版微信聊天記錄

5. 後續研究

  1. 因爲Apple Watch上的iMessage可脫離所配對的iPhone手機使用,說明iPhone中已認證的Wi-Fi網絡鑑權信息也存儲在Apple Watch上,猜想甚至部分keychain信息也被同步到Apple Watch,在有條件的狀況下,能夠經過Apple Watch提取Wi-Fi鑑權信息。
  2. Apple Watch上的「信息」應用與iPhone手機上的「信息」進行同步,但就目前的研究來看並不是實時同步,iPhone手機刪除的部分信息仍存在於Apple Watch中,同時,存儲在服務器的iMessage信息即便在iPhone刪除後仍然保留在Apple Watch上或由蘋果服務器推送至Apple Watch;如能實現針對Apple Watch的完整提取將能夠找到較多手機中已被刪除的有價值數據。
  3. 部分Apple Watch上安裝的第三方App所保存的數據,在iPhone端刪除後並不會在Apple Watch上同步刪除,能夠做爲iPhone App數據刪除恢復的來源。

(完)

相關文章
相關標籤/搜索