प्रस्तावना
Apple चे iOS हे जगातील दुसरे सर्वात लोकप्रिय मोबाईल ऑपरेटिंग सिस्टम आहे. त्याची क्लोज्ड इकोसिस्टम, मजबूत एन्क्रिप्शन आणि हार्डवेअर-सॉफ्टवेअर एकत्रीकरण iOS फोरेन्सिक्स Android पेक्षा वेगळे आणि अधिक आव्हानात्मक बनवते. भारतात ~५% बाजार हिस्सा असला तरी, उच्च-मूल्य प्रकरणांमध्ये iOS डिव्हाइसेस अनेकदा आढळतात.
हा भाग पूर्ण केल्यावर, तुम्ही iOS संरचना आणि सुरक्षा मॉडेल समजून घ्याल, iTunes बॅकअप विश्लेषण कराल, iCloud डेटा निष्कर्षण शिकाल, जेलब्रोकन डिव्हाइसेस हाताळाल आणि Keychain विश्लेषण कराल.
iOS संरचना
iOS हे Unix-आधारित ऑपरेटिंग सिस्टम आहे जे Darwin कर्नलवर बनवले आहे. Apple ने सुरक्षा-प्रथम दृष्टीकोन अवलंबला आहे.
iOS सुरक्षा वैशिष्ट्ये
Secure Enclave
स्वतंत्र सुरक्षा प्रोसेसर जो Touch ID/Face ID डेटा, एन्क्रिप्शन की आणि पासकोड संग्रहित करतो.
Data Protection
प्रत्येक फाइल वेगळ्या की ने एन्क्रिप्ट - हार्डवेअर UID + पासकोड-आधारित.
Secure Boot
Boot chain सत्यापन - केवळ Apple-साइन केलेले सॉफ्टवेअर चालते.
App Sandbox
प्रत्येक ॲप वेगळ्या सँडबॉक्समध्ये - इतर ॲप्सचा डेटा ऍक्सेस करू शकत नाही.
iOS फाइल सिस्टम
| विभाजन | वर्णन | फोरेन्सिक महत्त्व |
|---|---|---|
| / | System Partition (APFS, read-only) | OS फाइल्स, ॲप बायनरीज |
| /private/var | Data Partition (वापरकर्ता डेटा) | सर्वात महत्त्वाचे - ॲप डेटा, सेटिंग्ज |
| /private/var/mobile | Mobile युजर होम | ॲप कंटेनर्स, मीडिया |
| /private/var/wireless | वायरलेस सेटिंग्ज | WiFi, Bluetooth इतिहास |
महत्त्वाची iOS डेटा स्थाने
/private/var/mobile/Library/
├── SMS/ # SMS डेटाबेस (sms.db)
├── CallHistoryDB/ # कॉल लॉग्स
├── AddressBook/ # संपर्क
├── Calendar/ # कॅलेंडर इव्हेंट्स
├── Notes/ # नोट्स ॲप डेटा
├── Safari/ # ब्राउझर इतिहास, बुकमार्क्स
├── Voicemail/ # व्हॉइसमेल रेकॉर्डिंग्स
└── Preferences/ # ॲप सेटिंग्ज (.plist फाइल्स)
/private/var/mobile/Containers/Data/Application/
# थर्ड-पार्टी ॲप डेटा (UUID-आधारित फोल्डर्स)
/private/var/mobile/Media/
# फोटो, व्हिडिओ, स्क्रीनशॉट्स
iOS 8 पासून संपूर्ण डेटा पार्टिशन एन्क्रिप्टेड आहे. पासकोड किंवा बायोमेट्रिक्सशिवाय डेटा ऍक्सेस करणे जवळजवळ अशक्य आहे. Apple कडे "बॅकडोअर" नाही आणि ते कायद्याच्या अंमलबजावणीला देखील डिक्रिप्शन की प्रदान करू शकत नाहीत.
iTunes बॅकअप
iTunes (किंवा macOS Catalina+ मध्ये Finder) बॅकअप हे iOS फोरेन्सिकसाठी सर्वात सामान्य डेटा स्रोत आहे. हे लॉजिकल निष्कर्षण प्रकार आहे.
iTunes बॅकअप स्थान
# Windows
C:\Users\[username]\Apple\MobileSync\Backup\
C:\Users\[username]\AppData\Roaming\Apple Computer\MobileSync\Backup\
# macOS
~/Library/Application Support/MobileSync/Backup/
बॅकअप प्रकार
| प्रकार | वर्णन | फोरेन्सिक मूल्य |
|---|---|---|
| Unencrypted | मूलभूत बॅकअप | Keychain, Health, Safari इतिहास नसतो |
| Encrypted | पासवर्ड-संरक्षित | पूर्ण डेटा - Keychain, Health डेटा समाविष्ट |
महत्त्वाच्या बॅकअप फाइल्स
| फाइल | सामग्री |
|---|---|
| Info.plist | डिव्हाइस माहिती - UDID, नाव, फोन नंबर, iOS आवृत्ती |
| Manifest.plist | बॅकअप मेटाडेटा - तारीख, एन्क्रिप्शन स्थिती |
| Manifest.db | फाइल इंडेक्स डेटाबेस - SHA1 हॅश ते मूळ पथ मॅपिंग |
| Status.plist | बॅकअप स्थिती माहिती |
बॅकअप विश्लेषण साधने
- iBackup Viewer: मोफत, GUI-आधारित बॅकअप ब्राउझर
- iExplorer: व्यावसायिक, संपूर्ण बॅकअप ऍक्सेस
- iLEAPP: ओपन-सोर्स iOS Logs, Events And Properties Parser
- libimobiledevice: ओपन-सोर्स iOS डिव्हाइस लायब्ररी
- Elcomsoft Phone Breaker: एन्क्रिप्टेड बॅकअप अनलॉक (पासवर्ड आवश्यक)
iTunes बॅकअप पासवर्ड विसरला गेल्यास, Hashcat किंवा John the Ripper वापरून brute-force प्रयत्न करता येतो. iOS 10.2 पूर्वी PBKDF2 (१०,००० iterations), iOS 10.2+ मध्ये PBKDF2 (१०,००,०००+ iterations) - खूप धीमे आणि कठीण.
iCloud डेटा
Apple iCloud ही क्लाउड स्टोरेज सेवा आहे जी iOS डिव्हाइसेसचा बॅकअप आणि सिंक करते. फोरेन्सिक तपासासाठी iCloud महत्त्वाचे कारण डिव्हाइस नसले तरी क्लाउड डेटा उपलब्ध असू शकतो.
iCloud सेवा प्रकार
iCloud Backup
संपूर्ण डिव्हाइस बॅकअप - ॲप डेटा, सेटिंग्ज, फोटो (जर iCloud Photos बंद असल्यास).
iCloud Photos
फोटो आणि व्हिडिओ लायब्ररी सिंक - सर्व डिव्हाइसेसवर समान.
iCloud Drive
दस्तऐवज आणि फाइल स्टोरेज - Pages, Numbers, Keynote फाइल्स.
Messages in iCloud
iMessage आणि SMS सिंक (iOS 11.4+).
iCloud डेटा ऍक्सेस पद्धती
- Apple ID क्रेडेंशियल्स: वापरकर्त्याचे Apple ID आणि पासवर्ड (+ 2FA कोड)
- पेअर केलेले डिव्हाइस: विश्वसनीय डिव्हाइसवरून ऍक्सेस
- iCloud.com: वेब इंटरफेसद्वारे मर्यादित ऍक्सेस
- कायदेशीर विनंती: Apple ला सरकारी विनंती (MLAT)
iCloud फोरेन्सिक साधने
- Elcomsoft Phone Breaker: iCloud बॅकअप डाउनलोड (क्रेडेंशियल्स आवश्यक)
- Oxygen Forensic Cloud Extractor: विविध क्लाउड सेवांसाठी
- Magnet AXIOM Cloud: iCloud आणि इतर सेवा
- Cellebrite Cloud Analyzer: व्यापक क्लाउड विश्लेषण
iOS 16.2+ मध्ये Apple ने "Advanced Data Protection" आणले - एंड-टू-एंड एन्क्रिप्शन जे iCloud बॅकअप, Photos, Notes आणि इतर डेटा एन्क्रिप्ट करते. सक्षम असल्यास, Apple कडेही डेटा ऍक्सेस नाही आणि कायदेशीर विनंतीवर देखील प्रदान करू शकत नाहीत.
जेलब्रोकन डिव्हाइस
जेलब्रेकिंग म्हणजे iOS च्या सुरक्षा निर्बंधांना बायपास करणे, रूट ऍक्सेस मिळवणे आणि अनधिकृत सॉफ्टवेअर इंस्टॉल करण्याची क्षमता.
जेलब्रेक प्रकार
| प्रकार | वर्णन |
|---|---|
| Untethered | रिबूटनंतर जेलब्रेक कायम राहतो |
| Tethered | प्रत्येक रिबूटनंतर संगणकाशी कनेक्ट करणे आवश्यक |
| Semi-tethered | रिबूट होते पण जेलब्रेक वैशिष्ट्ये नसतात - ॲप पुन्हा चालवणे आवश्यक |
| Semi-untethered | रिबूटनंतर ॲप द्वारे जेलब्रेक पुन्हा सक्रिय करणे (Unc0ver, Checkra1n) |
जेलब्रेक शोधणे
- Cydia/Sileo ॲप: जेलब्रेक पॅकेज मॅनेजर
- /Applications/Cydia.app: फाइल सिस्टममध्ये तपासा
- /private/var/stash/: जेलब्रेक-संबंधित फोल्डर
- /usr/bin/ssh: OpenSSH इंस्टॉल
- /bin/bash: Bash शेल उपस्थिती
- checkra1n, Unc0ver: विशिष्ट जेलब्रेक ॲप्स
जेलब्रोकन डिव्हाइस फोरेन्सिक ऍक्सेस
# SSH द्वारे कनेक्ट (जर OpenSSH इंस्टॉल असल्यास)
ssh root@[device_ip]
# डीफॉल्ट पासवर्ड: alpine
# संपूर्ण फाइल सिस्टम ऍक्सेस
ls -la /private/var/mobile/
# ॲप डेटा कॉपी
scp -r root@[device_ip]:/private/var/mobile/Library/SMS/ ./
# Keychain डंप (keychain-dumper वापरून)
./keychain-dumper
जेलब्रोकन डिव्हाइस पुरावा अखंडता प्रश्न निर्माण करू शकते - संशयिताने डेटा लपवला किंवा बदलला असू शकतो. आधीपासून जेलब्रोकन डिव्हाइस तपासताना हे दस्तऐवजीकृत करा. फोरेन्सिक हेतूने जेलब्रेक करणे (checkm8-आधारित) कधीकधी स्वीकार्य असते परंतु कायदेशीर सल्ला घ्या.
Keychain
iOS Keychain हे सुरक्षित क्रेडेंशियल स्टोरेज सिस्टम आहे जे पासवर्ड्स, प्रमाणपत्रे, एन्क्रिप्शन की आणि इतर संवेदनशील डेटा साठवते.
Keychain मध्ये साठवलेला डेटा
- Safari सेव्ड पासवर्ड्स
- WiFi नेटवर्क पासवर्ड्स
- ईमेल अकाउंट क्रेडेंशियल्स
- ॲप-विशिष्ट पासवर्ड्स आणि टोकन्स
- VPN कॉन्फिगरेशन
- क्रिप्टोग्राफिक की
- प्रमाणपत्रे
Keychain ऍक्सेस पद्धती
| पद्धत | आवश्यकता | Keychain ऍक्सेस |
|---|---|---|
| Unencrypted iTunes बॅकअप | अनलॉक डिव्हाइस | नाही |
| Encrypted iTunes बॅकअप | बॅकअप पासवर्ड | होय (पूर्ण) |
| iCloud बॅकअप | Apple ID क्रेडेंशियल्स | मर्यादित (iCloud Keychain वेगळा) |
| जेलब्रोकन डिव्हाइस | Root ऍक्सेस | होय (keychain-dumper) |
Keychain विश्लेषण साधने
- Elcomsoft Phone Breaker: एन्क्रिप्टेड बॅकअपमधून Keychain निष्कर्षण
- keychain-dumper: जेलब्रोकन डिव्हाइससाठी ओपन-सोर्स साधन
- Oxygen Forensic Detective: Keychain विश्लेषण समाविष्ट
- iLEAPP: Keychain-*.plist पार्सिंग
प्रत्येक Keychain आयटमला संरक्षण वर्ग असतो:
kSecAttrAccessibleWhenUnlocked: डिव्हाइस अनलॉक असताना ऍक्सेसिबल
kSecAttrAccessibleAfterFirstUnlock: पहिल्या अनलॉकनंतर ऍक्सेसिबल (बहुतेक ॲप्स)
kSecAttrAccessibleAlways: नेहमी ऍक्सेसिबल (depreciated)
iOS निष्कर्षण पद्धती सारांश
| पद्धत | आवश्यकता | डेटा प्रवेश |
|---|---|---|
| iTunes बॅकअप (Unencrypted) | अनलॉक डिव्हाइस, पेअरिंग | ॲप डेटा, संपर्क, संदेश (Keychain नाही) |
| iTunes बॅकअप (Encrypted) | बॅकअप पासवर्ड | पूर्ण डेटा + Keychain + Health |
| iCloud बॅकअप | Apple ID + पासवर्ड + 2FA | iCloud वर साठवलेला डेटा |
| जेलब्रेक (checkm8) | A5-A11 चिप, BFU स्थिती | पूर्ण फाइल सिस्टम + Keychain |
| GrayKey/Cellebrite | व्यावसायिक साधन, पासकोड | AFU/BFU निष्कर्षण |
| Apple कायदेशीर विनंती | वैध न्यायालयीन आदेश | iCloud डेटा (ADP नसल्यास) |
- iOS ची क्लोज्ड इकोसिस्टम आणि Secure Enclave मुळे फोरेन्सिक निष्कर्षण Android पेक्षा कठीण
- iTunes बॅकअप हे सर्वात सामान्य iOS डेटा स्रोत - एन्क्रिप्टेड बॅकअपमध्ये Keychain समाविष्ट
- iCloud बॅकअप आणि सिंक सेवा महत्त्वाचे - Advanced Data Protection सक्षम असल्यास E2E एन्क्रिप्शन
- जेलब्रोकन डिव्हाइसेस संपूर्ण फाइल सिस्टम ऍक्सेस देतात - SSH द्वारे कनेक्ट करता येते
- Keychain मध्ये पासवर्ड्स, WiFi क्रेडेंशियल्स, ॲप टोकन्स साठवले जातात - एन्क्रिप्टेड बॅकअपमधून ऍक्सेसिबल
- checkm8 एक्सप्लॉइट (A5-A11 चिप) BFU निष्कर्षण सक्षम करते
- GrayKey, Cellebrite UFED सारखी व्यावसायिक साधने प्रगत निष्कर्षण क्षमता प्रदान करतात