轉載文章請註明出處數據庫
蘋果公司在2015年3月正式發佈了智能手錶Apple Watch,包括Apple Watch、Apple Watch Sport以及Apple Watch Edition三種版本。服務器
圖 1 Apple Watch的三個版本微信
Apple Watch採用Apple S1處理器,內置512MB RAM和8GB Flash存儲,經過Wi-Fi和藍牙與iPhone進行同步,與其同步的iPhone必須使用iOS 8.2及以上版本。網絡
目前,Apple Watch使用Watch OS 1.0系統,手錶中全部App均來源於與之配對的iPhone手機,開發者可將本身的App進行Apple Watch適配併發布在App Store,在iOS安裝後,可在iPhone手機上的Apple Watch應用中選擇推送安裝至Apple Watch,這是目前Apple Watch惟一的應用安裝方式;Apple Watch系統的升級和還原也僅能經過配對的iPhone手機進行,如今市面發售的Apple Watch僅有的一個物理接口是未公開的調試接口,沒法進行利用。併發
另外一方面,Apple Watch應用程序的數據多數來源於iPhone手機上對應的程序,且這些程序的通訊和數據存儲都依賴於配對的iPhone手機(iMessage例外,Apple Watch上的iMessage服務可脫離iPhone獨立鏈接Wi-Fi進行通訊),Apple Watch內部存儲主要用於保存手機同步的數據。測試
結合上述特色,咱們能夠初步肯定對Apple Watch的取證思路:與多數智能可穿戴設備取證相似,對Apple Watch的取證工做實際上仍是要基於對應的iPhone手機,而目前iPhone手機的取證依賴於iTunes備份進行,故這次研究也將主要利用iPhone的備份進行分析。ui
a) 將Apple Watch與iPhone手機進行配對,並安裝支持的應用程序,本次測試選取的是Apple Watch 標準版42mm,使用運行iOS 8.3的iPhone 6進行配對。加密
b) 使用iTunes爲配對的iPhone進行備份,將備份文件導出。3d
c) 使用取證軟件對備份文件進行解析。須要注意的是,若是備份進行了加密,還應先進行解密操做。調試
圖 2 Apple Watch的基本信息
圖 3 Apple Watch與iPhone的配對時間
圖 4 Apple Watch配對iPhone的版本信息
圖 5 Apple Watch備份數據的存儲位置
圖 6 Apple Watch序列號等信息
Apple Watch數據文件夾中映射手機AddressBook數據庫中的guid字段,但並不直接存儲通信錄信息;Apple Watch按下按鈕調出的我的收藏聯繫人也被同步到了手錶之中
圖 7 Apple Watch中存儲的聯繫人對應guid
圖 8 Apple Watch中的「我的收藏」聯繫人
圖 9 Apple Watch所配對iPhone的應用程序列表
圖 10 Apple Watch已安裝應用程序列表
圖 11 Apple Watch上的Passbook信息,圖像等數據採用BLOB存儲
圖 12 郵件帳戶及對應ID
圖 13 Apple Watch上所保存的郵件ID
目前市面上使用WatchKit開發的程序,在Apple Watch上安裝後,配對的iPhone手機中均會生成獨立的文件夾,並單獨保存數據,除非程序額外定義存儲位置。
以微信爲例,使用Apple Watch的用戶在收到微信消息後,iPhone端保存數據並推送給Apple Watch,在Apple Watch對應的數據文件夾下也會保存全部Apple Watch上使用過的表情、語音信息和文本聊天記錄,乃至所發送的位置信息。
圖 14 Apple Watch版微信好友列表
圖 15 Apple Watch版微信聊天記錄
(完)