歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

如何從iPhone中提取和解密Signal的會話歷史

來源:本站整理 作者:佚名 時間:2019-10-08 TAG: 我要投稿

Signal是一款Open Whisper Systems公司開發的應用軟件,Signal的優勢在于信息加密,用戶發送的任何文字、視頻和圖片都會進行端對端加密。Signal的早期版本只有移動端應用,如果你想在電腦上使用Signal,只能通過Chrome瀏覽器中的應用才能使用。不過現在,Signal發布了獨立的桌面端應用程序,只需要下載客戶端,你就能在電腦上使用Signal了。電腦配置要求至少運行64位系統的Windows 7,MacOS 10.9Mavericks或支持APT(高級軟件包工具)的Linux發行版,它作為一款很受歡迎的私密聊天軟件,律師、記者以及機要人士都將其作為主要的通訊工具(斯諾登也曾夸過的),目前Signal已經擁有超過50萬的用戶。由于強調安全性,Signal經常被那些想要隱藏某些內容的人當作通訊工具。 Elcomsoft Phone Viewer現在可以通過物理(文件系統)采集來解密從iPhone提取的Signal數據庫,不過要想實現該目標,過程確實有點復雜。
究竟是什么使得Signal如此難以破解? 首先,讓我們看一下人們如何訪問其他即時通訊程序中發生的用戶通信。
攔截:MITM攻擊
第一種方法是攔截,攻擊者可以嘗試攔截傳輸中的會話。不過在Signal中,這是非常困難的,因為每個人都使用的是端對端加密。雖然從技術上講,流量是可以被攔截的,但解密它需要在終端用戶設備上安裝一個惡意應用程序(例如臭名昭著的NSO Group間諜軟件)。如果沒有政府的直接干預或提議的加密后門,人們幾乎不可能通過MITM攻擊來攔截消息傳遞。最重要的是,即使你的iPhone是安全的,運行iOS、Android或桌面應用程序的另一端設備也可能受到攻擊。如果對方設備受到攻擊,你與對方的所有通信也將毫無隱私可言。
Signal針對MITM攻擊實施了特殊的保護措施,使得證書欺騙變得無用,并使基于惡意軟件的攻擊復雜化。
采用云提取
幸運的是,對于取證者而言,大多數即時通訊工具都是使用自己的云服務來同步和存儲通信內容。比如,Apple通過iCloud同步iMessage,Microsoft將Skype會話保留在用戶的Microsoft帳戶中,Telegram擁有自己的云服務以同步除私人聊天之外的所有會話。雖然這些公司都告訴用戶,他們的數據是安全加密存儲的,但除了蘋果以外,所有公司都愿意在接到法律請求時向執法部門提供數據。蘋果之所以沒有,是他們無法獲得加密密鑰,不過這并沒有阻止我們采用云提取。
借助隨時可用的云存儲,用戶可以通過提供合法請求或使用用戶的帳戶憑證登錄來訪問用戶的會話歷史。這意味著取證者也可以以類似的方法獲得imessage(蘋果公司推出的即時通信軟件,可以發送短信、視頻等,其擁有非常高的安全性)中的內容。
注意,Signal不存儲消息、會話歷史或加密密鑰。除了請求中的某些元數據外,沒有什么可請求的,即使使用用戶的憑據登錄也沒有任何可訪問的。
利用備份進行提取
有些通信程序確實會保留會話歷史記錄,而有些則沒有。例如,如果在設備設置中未啟用“ iCloud中的消息”選項,才可以從受密碼保護的備份中提取iMessage。目前,我們還沒有看到Telegram上的會話備份,但是WhatsApp允許其數據庫存儲在iCloud備份中,也可以存儲在iOS的iCloud Drive或Android的Google Drive中的獨立備份中。對獨立備份進行加密后,可以使用Elcomsoft eXplorer for WhatsApp將其解密。
Signa可能與其他通信程序發生發生沖突,因為它不允許在本地備份中使用其會話歷史記錄或加密密鑰,即使是受密碼保護的會話歷史記錄或加密密鑰也是如此。
通過設備進行提取
提取正常工作的數據庫始終有效。 WhatsApp,Skype,Telegram和iMessage數據庫以純SQLite格式存儲;它們永遠不會被加密(除了使用系統的全磁盤加密特性)。
與所有其他Messenger不同,Signal對其工作數據庫進行加密,加密密鑰是在用戶第一次登錄設備時生成的。然后,密鑰存儲在鑰匙串中,并由高保護級別進行保護。如果沒有這個密鑰,用戶只能提取附件(圖片、文檔、語音信息等)。
為什么Signal是安全的?
就像Telegram,Skype和WhatsApp一樣,Signal通過安全的端對端加密來保護通信。與市場上其他即時通訊應用程序不同的是,Signal從未將會話與云同步。此外,Android和iOS平臺的應用程序會注意永遠不會將會話歷史備份到相應的云服務中(分別是Google Drive和iCloud)。因此,在云計算中什么也得不到,而且執法部門實際上也無法要求蘋果、谷歌或Signal本身提供有關用戶通信的相關信息。錦上添花的是,Signal不允許本地(通過iTunes或第三方工具)備份其工作數據庫,甚至沒有加密的備份。
根據Signal開發人員的說法:
Signal消息和呼叫總是端到端加密的,并經過精心設計以確保通信安全。我們無法讀取你的信息或查看你的電話,其他人也無法讀取。
然而,應用程序必須仍然能夠訪問會話,這意味著它們必須存儲在設備的某個地方
問題是,在三種攻擊媒介(邏輯、物理和云)中,云和邏輯提取均不可用,所以提取包含用戶通信的Signal數據的唯一方法是物理提取。
加密問題
從iPhone的文件系統圖像中提取出Signal數據庫后,由于Signal采用的是自定義加密方案,使得數據的訪問極其困難。沒有密碼保護數據庫,加密密鑰在初始化過程中由隨機種子生成,然后存儲在具有高防護類的iOS鑰匙串中。高保護級別意味著密鑰不會被導出到iCloud(實際上,它是導出的,但是必須使用設備唯一的硬件密鑰加密),并且在分析受密碼保護的備份時無法解密。
破解Signal加密
為了解密通過文件系統提取從iPhone中提取的Signal會話數據庫,你還需要從鑰匙串中提取加密密鑰。如果你使用的是Elcomsoft iOS Forensic Toolkit,請確保捕獲鑰匙串以及文件系統映像。
要解密和分析Signal會話歷史,請在Elcomsoft Phone Viewer中打開文件系統映像,并使用提取的鑰匙串文件解密Signal數據庫。然后,Elcomsoft Phone Viewer將解密數據庫,并很快顯示其內容。
請按照以下步驟解密Signal數據庫:
1.準備好以下解密的必備內容:文件系統映像(.tar或.zip)和使用Elcomsoft iOS Forensic Toolkit提取的解密鑰匙串(默認情況下為keychaindump.xml)。
2.啟動Elcomsoft Phone Viewer,然后打開文件系統映像。
3.一旦文件系統映像完全加載完畢,就可以查看Signal圖標,請注意圖標上的紅色“加密”標識。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任