[手機取證] Apple Watch取證初探

轉載文章請註明出處

1. 關於Apple Watch

蘋果公司在2015年3月正式發佈了智能手錶Apple Watch，包括Apple Watch、Apple Watch Sport以及Apple Watch Edition三種版本。

 

圖 1 Apple Watch的三個版本

 

Apple Watch採用Apple S1處理器，內置512MB RAM和8GB Flash存儲，經過Wi-Fi和藍牙與iPhone進行同步，與其同步的iPhone必須使用iOS 8.2及以上版本。

 

2. Apple Watch取證思路

目前，Apple Watch使用Watch OS 1.0系統，手錶中全部App均來源於與之配對的iPhone手機，開發者可將本身的App進行Apple Watch適配併發布在App Store，在iOS安裝後，可在iPhone手機上的Apple Watch應用中選擇推送安裝至Apple Watch，這是目前Apple Watch惟一的應用安裝方式；Apple Watch系統的升級和還原也僅能經過配對的iPhone手機進行，如今市面發售的Apple Watch僅有的一個物理接口是未公開的調試接口，沒法進行利用。

 

另外一方面，Apple Watch應用程序的數據多數來源於iPhone手機上對應的程序，且這些程序的通訊和數據存儲都依賴於配對的iPhone手機（iMessage例外，Apple Watch上的iMessage服務可脫離iPhone獨立鏈接Wi-Fi進行通訊），Apple Watch內部存儲主要用於保存手機同步的數據。

 

結合上述特色，咱們能夠初步肯定對Apple Watch的取證思路：與多數智能可穿戴設備取證相似，對Apple Watch的取證工做實際上仍是要基於對應的iPhone手機，而目前iPhone手機的取證依賴於iTunes備份進行，故這次研究也將主要利用iPhone的備份進行分析。

 

3. 取證方式

a)       將Apple Watch與iPhone手機進行配對，並安裝支持的應用程序，本次測試選取的是Apple Watch 標準版42mm，使用運行iOS 8.3的iPhone 6進行配對。

b)       使用iTunes爲配對的iPhone進行備份，將備份文件導出。

c)       使用取證軟件對備份文件進行解析。須要注意的是，若是備份進行了加密，還應先進行解密操做。

 

4. 結論

Apple Watch的基本信息：

• Apple Watch信息：全部人，版本，區域和語言信息：

 

圖 2 Apple Watch的基本信息

 

• 配對時間：使用NSDate存儲，轉換後需按照時區增長8小時，即2015年6月30日16:20:12。

 

 

圖 3 Apple Watch與iPhone的配對時間

• Apple Watch的配對手機的版本，此處8.2.1指iOS 8.3.

 

圖 4 Apple Watch配對iPhone的版本信息

 

• Apple Watch數據在iPhone備份中的存儲位置

 

圖 5 Apple Watch備份數據的存儲位置

 

• Apple Watch序列號、UDID、Wi-Fi適配器MAC地址、藍牙MAC地址及存儲容量信息

圖 6 Apple Watch序列號等信息

 

Apple Watch所同步的手機數據

• 通信錄和我的收藏聯繫人

Apple Watch數據文件夾中映射手機AddressBook數據庫中的guid字段，但並不直接存儲通信錄信息；Apple Watch按下按鈕調出的我的收藏聯繫人也被同步到了手錶之中

 

圖 7 Apple Watch中存儲的聯繫人對應guid

 

圖 8 Apple Watch中的「我的收藏」聯繫人

 

• iPhone中全部App列表

 

圖 9 Apple Watch所配對iPhone的應用程序列表

 

• Apple Watch中已安裝的App列表

 

圖 10 Apple Watch已安裝應用程序列表

 

•  Apple Watch中同步的Passbook信息

 

圖 11 Apple Watch上的Passbook信息，圖像等數據採用BLOB存儲

 

• Apple Watch中同步的郵件帳戶和郵件id

 

圖 12 郵件帳戶及對應ID

 

 

圖 13 Apple Watch上所保存的郵件ID

 

Apple Watch App數據

目前市面上使用WatchKit開發的程序，在Apple Watch上安裝後，配對的iPhone手機中均會生成獨立的文件夾，並單獨保存數據，除非程序額外定義存儲位置。

以微信爲例，使用Apple Watch的用戶在收到微信消息後，iPhone端保存數據並推送給Apple Watch，在Apple Watch對應的數據文件夾下也會保存全部Apple Watch上使用過的表情、語音信息和文本聊天記錄，乃至所發送的位置信息。

 

圖 14 Apple Watch版微信好友列表

 

 

 

圖 15 Apple Watch版微信聊天記錄

5. 後續研究

1. 因爲Apple Watch上的iMessage可脫離所配對的iPhone手機使用，說明iPhone中已認證的Wi-Fi網絡鑑權信息也存儲在Apple Watch上，猜想甚至部分keychain信息也被同步到Apple Watch，在有條件的狀況下，能夠經過Apple Watch提取Wi-Fi鑑權信息。
2. Apple Watch上的「信息」應用與iPhone手機上的「信息」進行同步，但就目前的研究來看並不是實時同步，iPhone手機刪除的部分信息仍存在於Apple Watch中，同時，存儲在服務器的iMessage信息即便在iPhone刪除後仍然保留在Apple Watch上或由蘋果服務器推送至Apple Watch；如能實現針對Apple Watch的完整提取將能夠找到較多手機中已被刪除的有價值數據。
3. 部分Apple Watch上安裝的第三方App所保存的數據，在iPhone端刪除後並不會在Apple Watch上同步刪除，能夠做爲iPhone App數據刪除恢復的來源。

（完）