La Lettre du CERT-Solucom

Transcription

1 n 3 - octobre 2014 La Lettre du CERT-Solucom Dossier : ios Forensics 101 et cas concret d utilisation Depuis plusieurs années, l usage des terminaux mobiles dans le cadre de l entreprise suscite un intérêt croissant. iphone et ipad, plus particulièrement, sont devenus les terminaux préférés des VIP et commerciaux : simples, beaux, «à la mode», ces terminaux n en sont pas moins un canal d accès aux données, souvent sensibles, du système d information d une entreprise. Avec des usages parfois éloignés des bonnes pratiques de sécurité, iphone et ipad deviennent la proie d attaquants, en particulier à des fins d espionnage : activation du microphone pour écoute ambiante, vol de photos (comme l a démontré l actualité récente), vol du calendrier, accès aux SMS/MMS échangés Face à cette tendance, les équipes d investigation sont de plus en plus confrontées à cette question : «mon téléphone est-il compromis?». Cet article a donc pour objectif de dresser un panorama des différents moyens d investigation à la disposition d un analyste, et ce depuis la phase de collecte des preuves, jusqu à la réalisation de l analyse technique en tant que telle. Introduction ios et sécurité Le développement rapide du marché des smartphones ces dernières années a profondément transformé la vie des utilisateurs, tant dans leur utilisation personnelle que professionnelle. Véritables ordinateurs de poche, ces appareils n en restent pas moins une cible pour des attaquants ou des utilisateurs mal intentionnés, d autant plus que l aspect sécurité est encore assez méconnu sur ces terminaux. L actualité de la sécurité ios a été mouvementée ces dernières semaines. Tout le monde a en tête le désormais célèbre «Goto fail; Goto fail;» qui offrait la possibilité d une attaque de type «Man in the Middle» [1]. De plus, diverses vulnérabilités (41 exactement) ont récemment été mises en évidence [2] et corrigées par Apple, ce qui aura valu deux mises à jour de son système ios en quelques semaines (7.0.6 et 7.1) [3]. Une étude récente de la société FireEye nous rappelle aussi que, même si un terminal ios n est pas jailbreaké, certaines applications en apparence totalement inoffensives sont tout de même en mesure de faire de la surveillance de fond [4]. A lire également P14 Dossier : Délégation Kerberos et transition de protocole P19 Retour sur l actualité

2 L objectif de cet article est de présenter une méthodologie de détection simple de la présence d un malware sur un terminal ios à l aide d outils open-source. Dans un premier temps, les différentes techniques d acquisition des données seront présentées puis, dans un second temps, les méthodes d analyse des données ainsi collectées seront détaillées. Mener une investigation sur un iphone, dans quel intérêt? De plus en plus d investigations numériques sont réalisées sur des iphones, en particulier afin d enquêter dans le cadre de : Une suspicion d un possible espionnage : dans certaines situations sensibles, la défaillance technique d un terminal peut représenter un signal faible d incident de sécurité. Par exemple, si l iphone d un membre du COMEX a un comportement étrange (perte de synchronisation à la messagerie, lenteurs excessives ) au moment même où par exemple un appel d offre important est à l étude, il se peut que l entreprise ait à faire face à un cas d espionnage. À noter que ce scénario tend à se généraliser étant donné que les cadres/vip, cibles privilégiées pour un attaquant, utilisent presque uniquement des terminaux ios (iphone/ipad). Une infection : un mobile peut se retrouver infecté par un programme malveillant qui va effectuer des actions non désirées par son propriétaire. Cela va provoquer par exemple l envoi de sms ou l émission d appels surtaxés à l insu de l utilisateur. Le site «viruslist.com» a conduit une étude particulièrement intéressante dans ce domaine pour l année 2013 [5]. Une perte de données : un utilisateur peut avoir malencontreusement supprimé un ou plusieurs fichiers sur son téléphone qu il souhaite récupérer. Dans le contexte de cet article, il sera admis comme hypothèse que toute donnée utilisateur nécessaire au bon fonctionnement de l investigation (code PIN, mot de passe, etc.) pourra être directement obtenue auprès de l utilisateur. Connaître l environnement Pour mener à bien une investigation, il est nécessaire de connaître l environnement dans lequel l investigateur travaille. En ce qui concerne Apple et ios, il est important de se familiariser avec les mécanismes de sécurité implémentés sur les terminaux ios. Apple propose un éventail de fonctionnalités pour garantir à ses utilisateurs un environnement sécurisé [6] : Sécurité des appareils : méthodes empêchant toute utilisation non autorisée de l appareil (verrouillage par mot de passe ou TouchID, MDM, restrictions d utilisation, etc.). Sécurité des données : protection des données grâce aux mécanismes de chiffrement de disque de Data Protection (chiffrement de certaines données grâce au mot de passe utilisateur). Sécurité des échanges : protocoles de chiffrement (SSL, TLS). Sécurité des applications : signature par Apple, Data Protection. Il existe cependant certaines failles qui permettent encore de contourner ces mécanismes de sécurité. Ainsi Jonathan ZDZIARSKI, expert en sécurité ios, nuance la sécurité du mécanisme de chiffrement des appareils ios [7]. D autres experts ou groupes de pirates [8] avancent également des techniques permettant le contournement de TouchID. La sécurité des applications est elle aussi remise en cause. Une équipe de recherche du Georgia Institute of Technology a en effet réussi à publier une application «Jekyll» en passant entre les mailles de l Apple Store. Cette application, bien que signée par Apple, avait la possibilité d exécuter des actions malveillantes (vol d informations, publication d informations contre le gré de l utilisateur, etc.) une fois installée [9]. Lors de la sortie de l iphone en 2008, ce dernier était très peu sécurisé [10]. Cependant, de nombreuses améliorations ont été apportées depuis et l iphone est l un des systèmes les plus sécurisés. La sécurité était même au cœur des annonces dans la keynote d Apple début juin. 1. Méthodologie d investigation sur iphone La méthodologie d investigation sur iphone est de manière générale assez similaire à une investigation classique, à savoir documenter chaque action et prendre garde à préserver l intégrité des preuves. Comme toute investigation, les actions réalisées peuvent entraîner l accès à des données à caractère personnel : les différentes contraintes légales et réglementaires doivent être respectées. Les deux principales actions qu un investigateur aura à effectuer sont l acquisition d une image et l analyse de celle-ci. Figure 1 : processus d acquisition et d analyse d une image 2. Acquisition L acquisition est l étape visant à acquérir une image de l appareil. En termes d investigation forensic, il existe deux types d acquisitions possibles : logique ou physique. Chaque acquisition présentant des avantages et inconvénients, il convient pour l investigateur de bien choisir au préalable la méthode qu il souhaite utiliser. La première partie est consacrée à l étude du jailbreak, mécanisme requis dans le cadre de certaines acquisitions mais pouvant présenter des risques de perte d intégrité des données sur le terminal à analyser. La seconde partie est centrée sur le principe d acquisition logique alors que la dernière partie décrit le processus d acquisition physique Jailbreak Le jailbreak est un prérequis de certains types d acquisition. L usage de cette technique peut poser d importants problèmes (en particulier de validité des preuves selon les juridictions cibles), car elle altère potentiellement l intégrité des fichiers présents sur le terminal mobile. 2 La Lettre CERT-Solucom N 3 octobre 2014

3 L une des principales restrictions de l iphone pour un investigateur est l incapacité d exploiter toutes les fonctionnalités que peut offrir le terminal mobile et de devoir se limiter, par exemple, à une interprétation non exhaustive du système de fichiers par ios. Pour exploiter ces fonctionnalités, il faudrait pouvoir se placer en parallèle d ios. Cependant, le démarrage de l iphone se fait par «bootstrapping», c est-à-dire le chargement successif de programmes de complexité croissante : boot ROM, low-level bootloader (LLB), iboot et enfin le kernel ios. Apple ajoute en surcouche une vérification du programme exécuté par le programme précédent empêchant alors de remplacer l un d eux. Le jailbreak passe par la compromission au moment de l exécution du kernel ios afin d exécuter du code arbitraire et permettre notamment aux utilisateurs d utiliser une version «libérée» d ios autorisant, entre autres : l installation d applications non signées Apple, l exécution d applications en utilisateur root, etc. Il est important de noter que le jailbreak d un iphone peut sérieusement compromettre l intégrité des données présentes sur le téléphone et rendre caduque toute preuve obtenue à la suite de cette étape. Pour un investigateur, il ne s agit donc pas d une technique d acquisition «standard» et elle ne doit pas être retenue dès lors que des preuves formelles sont requises. En revanche, s il s avère que le téléphone de l utilisateur est déjà jailbreaké avant l analyse, il est envisageable d avoir recours à cette méthode. D un point de vue utilisateur, le jailbreak se traduit en particulier par l apparition de l application Cydia, AppStore alternatif de l iphone. L étape suivante pour l investigateur est d installer l application OpenSSH. Une fois installée, il est possible d ouvrir une connexion SSH vers l iphone de la manière suivante, en utilisant le compte par défaut «root/alpine» : Si l iphone est connecté en Wi-Fi, la connexion se fait sur le port 22 et l IP du terminal mobile. Sinon, en utilisant le script Python tcprelay.py fourni par usbmuxd (choisir une version contenant le dossier python-client), un tunnel SSH est établi entre un port local et le port 22 de l iphone. limité, cet espace n est pas accessible par le biais d une acquisition logique. Il existe deux types d acquisition logique qui sont présentés dans les parties suivantes : par les sauvegardes itunes, par une extraction logique exhaustive. Figure 3 : visualisation de l espace résiduel Acquisition d une sauvegarde itunes itunes est le logiciel permettant la synchronisation d un appareil ios avec un ordinateur. L utilisateur peut alors transférer du contenu depuis son ordinateur vers son appareil mobile. Mais l inverse est aussi possible, et c est cette fonctionnalité qui va nous intéresser lors d une investigation. En effet, Apple a créé une fonctionnalité permettant de restaurer facilement un iphone depuis une sauvegarde. En plus de pouvoir transférer tous types de fichiers sur son ordinateur personnel depuis son iphone, l utilisateur a aussi la possibilité de stocker des images logiques de son appareil à chaque connexion, pour avoir à sa disposition une sauvegarde de son système en cas de problème. Par défaut, l option «sauvegarder automatiquement» est activée sur itunes, ce qui autorise la création automatique d une sauvegarde lors de la synchronisation de l iphone à l ordinateur. De plus il est intéressant de noter que l option «chiffrer la sauvegarde de l iphone» est désactivée par défaut. Cela permet de récupérer facilement les sauvegardes pour un attaquant qui aurait compromis l ordinateur d une victime. Figure 2 : connexion à l iphone Utiliser un jailbreak non persistant pour iphone serait moins intrusif et permettrait d arriver aux mêmes fins. Cependant cette méthode n est pas fournie par les outils à la disposition d un investigateur hormis via certaines suites logicielles payantes ou la méthode de Jonathan ZDZIARSKI [11] réservée aux forces de l ordre Acquisition logique L acquisition logique permet à l investigateur de récupérer une copie du système de fichiers actifs de l appareil. Contrairement à une acquisition physique, seule la compréhension de l unité de stockage par le système d exploitation est accessible. Par exemple, lors de la création d un fichier, si la taille de ce fichier n est pas un multiple de l unité minimale d allocation («cluster»), alors l espace restant non utilisé est susceptible de contenir un extrait d un fichier plus gros qui aurait occupé ces blocs auparavant. Comme l accès physique au disque est Figure 4 : sauvegarde de l iphone via itunes Sur Windows7 (itunes 11.1), les sauvegardes sont stockées dans le dossier : «C:\Utilisateurs\<utilisateur>\AppData\Roaming\AppleComputer\ MobileSync\Backup». Elles se présentent sous la forme d un dossier dont le nom est le numéro d identifiant unique de l iphone correspondant (UDID). Figure 5 : visualisation d une sauvegarde générée par itunes sur Windows La Lettre CERT-Solucom N 3 octobre

4 Lorsque l appareil physique n est pas disponible, il est possible d utiliser la dernière sauvegarde du smartphone stockée sur ordinateur pour l analyser. La sauvegarde fournit des informations sur un smartphone qui ne sont pas à jour (seules les données disponibles à la date de la sauvegarde sont accessibles) et potentiellement compromises, mais permet d obtenir déjà beaucoup d informations sur un utilisateur. Pour confirmer que l investigateur utilise une sauvegarde du bon iphone avant toute analyse, le fichier info.plist doit être analysé. Figure 6 : fichier info.plist (PList Editor) Si la sauvegarde est chiffrée, il est nécessaire de récupérer le mot de passe auprès de l utilisateur (ou de bruteforcer le mot de passe de la sauvegarde) et d utiliser des outils spécifiques tels que backup_tool. py fourni par iphone-dataprotection [12] permettant d obtenir une sauvegarde en clair. Figure 7 : résultat d une tentative de visualisation d une sauvegarde chiffrée L analyste peut également réaliser une nouvelle sauvegarde itunes s il est en possession du terminal. Le principe d acquisition est le même que précédemment décrit. L avantage de cette méthode est qu elle garantit d une part le caractère «à jour» des données obtenues, et d autre part certifie que la sauvegarde obtenue n a pas été compromise depuis son extraction Extraction logique exhaustive L acquisition logique via une sauvegarde itunes ne permet pas d obtenir l exhaustivité du système de fichiers, mais seulement un extrait sélectionné par l ios. De nombreuses applications peuvent présenter dans leur fichier de configuration (.plist) des chemins vers d autres fichiers (configuration plus précise, logs, etc.) qui ne feront pas partie de la sauvegarde. L accès complet au système de fichiers permet donc d obtenir plus d informations que l exploitation de la sauvegarde itunes. Les fichiers présents sur l iphone sont regroupés en deux partitions : /dev/disk0s1s1 montée en read-only sur / : c est la partition «System». /dev/disk0s1s2 montée en read-write sur /private/var : c est la partition «Media». À travers les sauvegardes itunes, l utilisateur accède à une partie des fichiers de la partition «Media», qui est en fait une sélection de sous-dossiers qu il est possible de retrouver sur le système de fichiers : /private/var/mobile/library : contient des données utilisateurs tel que l historique des appels, les sms, les contacts, etc. /private/var/mobile/documents : contient des documents utilisés par des applications qui ne sont pas interprétées en tant que préférences (logs par exemple). /private/var/mobile/media : contient les données media utilisateur (photos, vidéo, etc.). /private/var/db/lsd : contient les données relatives aux services. /private/var/mobiledevice/provisioningprofiles : contient les données relatives aux différents profils (configuration et provisionnement) stockés sur le smartphone. /private/var/managedpreferences/mobile : contient certains fichiers de paramètres. /private/var/preferences/systemconfiguration : contient des fichiers de paramètres du système. /private/var/keychains (pour les fichiers TrustStore.sqlite3 et ocspcache.sqlite3) : contient les données relatives aux certificats et aux mots de passe de l utilisateur. Une acquisition exhaustive se fait alors par le biais de la connexion SSH en copiant un à un les fichiers (SCP, sftp, etc.). Il faut cependant prendre garde : À la copie sur un système de fichiers type NTFS qui ne recopiera pas correctement les liens symboliques qui peuvent être présents. Il faut donc préférer un système de type UNIX. À la copie du dossier /dev qui contient les disques physiques sous les formats «block special» et «character special». Ce répertoire est donc à exclure de la copie Acquisition physique L acquisition physique permet à l utilisateur de récupérer une copie bit à bit du disque de l appareil. Cependant, contrairement à un ordinateur, il n est pas possible de retirer aisément le disque et d en faire une copie, ce qui complique la tâche pour les investigateurs. Malgré cela, l acquisition physique reste la méthode la plus complète puisqu elle donne accès à l ensemble du disque, et notamment aux données supprimées Utilisation de suites logicielles Certaines suites logicielles peuvent permettre l acquisition d une image bit à bit sans jailbreak. Elles procèdent en injectant un firmware alternatif en mémoire, de manière à conserver l intégrité de la partition média. Aujourd hui, les outils existants sont développés et réservés aux forces de l ordre. Cependant, certains éditeurs proposent des suites logicielles permettant d acquérir des images physiques d un iphone. Les plus reconnus en matière d investigation iphone incluent : ixam (environ $3000). 4 La Lettre CERT-Solucom N 3 octobre 2014

5 .XRY (nécessite un iphone jailbreaké). Elcomsoft (environ $1500) Acquisition par l investigateur via dd dans le cas d une méthode par jailbreak Cette méthode d acquisition nécessite que l iphone soit jailbreaké pour établir une connexion SSH. Le but est de lancer la commande dd à distance et de récupérer les données sur un poste de travail. Lors de la copie de données bit à bit, il est possible de copier le Figure 8 : copie bit à bit du disque complet via USB disque complet (/dev/rdisk0), ou une partition précise (System sur / dev/rdisk0s1s1 ; Media sur /dev/rdisk0s1s2). Il est important de noter que la partition Media est chiffrée à l aide de la clé «EMF». Actuellement, il n existe pas d outils publics permettant de récupérer cette clef au-delà d ios 5. Par conséquent, pour les terminaux ios 6/7, les données récupérées sur la partition Media par le biais de cette méthode ne sont pas exploitables : seuls les noms de fichiers sont accessibles. Pour parcourir la partition, il est possible d utiliser The Sleuth Kit [13] ou hfsplus [14] Conclusion sur les méthodes d acquisition Le tableau suivant récapitule les avantages et inconvénients des différentes méthodes d acquisition possibles pour un investigateur. D un point de vue analyse forensics, il est donc recommandé d utiliser soit l analyse d une sauvegarde itunes à jour qui privilégie l intégrité des fichiers aux dépens de l exhaustivité de la recherche, soit l utilisation d une suite logicielle dédiée, qui se révèle être bien souvent assez onéreuse. Cependant, une acquisition logique complète voire physique peut être effectuée si le téléphone est déjà jailbreaké. Il faut bien sûr toujours considérer le cadre légal avant tout et prendre des dispositions si nécessaire (appel à un huissier, création de copies supplémentaires, etc.). La Lettre CERT-Solucom N 3 octobre

6 3. Analyse Une fois l image acquise, il est possible de procéder à l analyse. Cette seconde partie de l article sera centrée sur l analyse d une sauvegarde acquise via itunes grâce à l utilisation de logiciels gratuits ou opensource. Ces logiciels permettent de visualiser le contenu des fichiers stockés dans une sauvegarde itunes et offrent à un investigateur une bonne vision logique de la partie «media» stockée sur l iphone. Cette section a pour but de présenter les différents fichiers «clés» à analyser pour détecter la possible présence d un malware sur l iphone Système Certains fichiers de configuration du système peuvent fournir des informations à l investigateur sur la présence d éléments suspects. Les trois premiers fichiers importants à vérifier lors de l analyse d une sauvegarde de l iphone sont les fichiers manifest.plist, info.plist et status.plist : Manifest.plist : ce fichier fournit des informations sur les applications et sur la sauvegarde (activation du chiffrement, présence d un mot de passe, etc.) Bases de données La plupart des fichiers présents sur le terminal mobile peuvent être répartis en deux catégories : Les fichiers de configuration, dont l extension est.plist. Les fichiers de stockage de données, dont les extensions sont.db,.sqlite,.dbsqlite,.sqlite3, etc. Ces bases de données sont au format SQLite3, format où la suppression de données dans une table n entraîne pas immédiatement l effacement de ces données dans le fichier de base données. Il est donc possible de retrouver d anciens enregistrements en observant les chaînes de caractères présentes dans le fichier Journaux d exécution système Les journaux d exécution système de l iphone correspondent aux journaux Syslog des systèmes Unix, référençant alors les événements systèmes qui se sont déroulés sur le terminal mobile (applications lancées et arrêtées de manière brutale, connexions aux bornes Wi-Fi, etc.), auxquels sont rajoutés des événements générés par les applications tels que les URLs visitées et cookies associés, mais également les messages renvoyés par un appel à console.debug. Les événements retracés dans ce journal peuvent donc permettre de suivre le déroulement d une application malveillante. Figure 9 : contenu du fichier Manifest.plist L acquisition de ces journaux requiert l utilisation du logiciel Apple Configuration Utility, disponible au téléchargement gratuitement sur le site d Apple. Info.plist : ce fichier fournit les informations sur le smartphone (nom, IMEI, applications installées, etc.) Profils Un profil de configuration est un fichier XML qui permet de définir des informations de configuration. Il est particulièrement utilisé par les MDM pour configurer un large nombre de terminaux ou pour définir des réglages personnalisés en termes d , de réseau ou de chiffrement par exemple. Figure 10 : contenu du fichier Info.plist Status.plist : ce fichier fournit des informations sur la sauvegarde (version, date, etc.). Figure 11 : contenu du fichier Status.plist Les profils de configuration sont très importants à vérifier et à valider. En effet ils représentent un vecteur d attaque particulièrement attractif pour un attaquant [15]. Par exemple, un attaquant pourrait forger un profil malicieux lui permettant de déchiffrer les flux HTTPS émanant d un iphone en : Installant un profil malveillant contenant un certificat généré au préalable. Détournant le trafic réseau vers son serveur malveillant. Présentant son propre certificat à l iphone lors de l initialisation d une communication chiffrée. Ces profils sont situés dans le dossier «HomeDomain\Library\ ConfigurationProfiles». Identifier des profils qui ne devraient pas être installés sur un mobile permet d abonder dans le sens d une compromission. Les champs «InstallDate» et «InstallOptions» peuvent aider l investigateur à déterminer le rôle du profil. Ces différents fichiers permettent de valider l état du téléphone au moment de la réalisation de la sauvegarde. 6 La Lettre CERT-Solucom N 3 octobre 2014

7 Sur l iphone : dans le dossier /root/library/lockdown/pair_ records. L accès à ce dossier peut nécessiter un jailbreak. Sur l ordinateur cible : dans le dossier %APPDATA%/Apple Computer/Lockdown. Les conventions de nommage de ces fichiers sont telles qu un identifiant unique pour chaque terminal est utilisé comme nom de fichier. Par exemple, l identification de l iphone sur l ordinateur se fait grâce à l UDID attribué à l iphone (qui peut être récupéré dans itunes). Par conséquent, si le périmètre de l analyse forensicsinclut un ordinateur suspect, la simple vérification du nom de fichier présent sur cet ordinateur peut prouver l existence d une connexion passée avec l iphone. Figure 12 : exemple de profil de configuration De même, les profils d approvisionnement se présentent sous la forme de fichiers de type PLIST. Ils permettent de faire le lien entre un certificat, un identifiant d application et des périphériques. Cela permet de sécuriser la diffusion d applications. Par défaut, il ne doit donc pas y en avoir sur le téléphone. La présence d un de ces profils serait donc fortement indicatrice de la présence d un malware (ou d une utilisation non standard du terminal). Dans le cadre d un système de Mobile Device Management, un profil de configuration peut cependant être déployé sur le smartphone sans pour autant apporter des suspicions sur la présence d un malware. Ces profils sont situés dans le dossier «MobileDeviceDomain/ ProvisioningProfiles» Autres ressources D autres ressources permettent d évaluer le niveau de confiance qu il est possible d avoir dans le terminal : La base de données «itunesstored.sqlite.db» contenue dans le dossier «HomeDomain/Library/com.apple.itunesstored/» fournit des informations sur les applications ayant accès aux micro-paiements. La table ZMICROPAYMENTCLIENT recense les applications pouvant accéder à cette fonctionnalité. Le champ ZIDENTIFIER est à analyser. Figure 14 : applications ayant accès aux micro-paiments L application «candycrushsaga» est ainsi en mesure de réaliser des micro-paiements. Les données d utilisation relatives aux réseaux Wi-Fi et aux réseaux mobiles sont à analyser : Le fichier «com.apple.wifi.plist» situé dans «SystemPreferencesDomain» renseigne sur les réseaux connus par l appareil. Il est intéressant de les relever, notamment les réseaux publics, sur lesquels les vecteurs d attaque sont plus importants (Man in the Middle par exemple). Figure 13 : visualisation d une partie d un profil d approvisionnement Certificats d appairage Lors de la première connexion entre un terminal mobile et un terminal de bureau, l utilisateur doit déverrouiller le terminal mobile afin d autoriser le transfert de données. Pour faciliter les futurs échanges, chaque terminal reçoit un certificat qui permet de connecter un iphone à son ordinateur sans devoir le déverrouiller. Au-delà de la simplification des acquisitions que requiert l analyse forensic, ces certificats sont également une preuve qu une connexion a un jour été établie entre les deux terminaux. Ces certificats sont présents : Figure 15 : visualisation du fichier «com.apple.wifi.plist» La Lettre CERT-Solucom N 3 octobre

8 Les fichiers contenus dans le dossier «WirelessDomain» contiennent les informations liées à l utilisation des connexions réseaux Wi-Fi ou mobiles (GPRS, EDGE, UMTS, etc.). Ces fichiers permettent d identifier les applications ayant généré des flux réseaux Sandboxes Figure 16 : visualisation de la table ZPROCESS du fichier «DataUsage.sqlite» De manière générale, les fichiers de base de données peuvent fournir des informations qui ne sont pas triviales à première vue. En prenant l exemple des appels téléphoniques, il est possible de visualiser la base de données «call_history.db», qui se présente sous la forme suivante : Figure 18 : explication du mécanisme Sandbox [16] Les applications sont organisées sous forme de Sandboxes. L intérêt est de limiter l accès aux ressources pour ne pas être en mesure de modifier des réglages au niveau système. Il est alors possible de visualiser les différents fichiers associés à une application pour vérifier si certains paramètres peuvent être suspects ou non. Figure 17 : base de données «call_history.db» Figure 19 : visualisation des différentes Sandboxes des applications Par exemple, l application «RealFlashlight» ci-dessus utilise un document «com-facebook-sdk-appeventspersistedevents.json». Il peut être intéressant de comprendre pourquoi une application lampe torche aurait besoin d avoir accès au SDK de Facebook. Il est cependant compliqué d exploiter ce fichier, il nécessite de coupler les informations de la table «call» à celles des «triggers». Il est ainsi possible de déterminer précisément d où (pays/réseau) un appel téléphonique a pu être réalisé. Ces différentes bases de données listent les actions effectuées sur le téléphone. Leur analyse peut donc aider un investigateur à obtenir des pistes sur une action qui serait effectuée contre le gré d un utilisateur. Dans le cas où les appels seraient mis sur écoute par lancement automatique d une conference call dès réception d un appel, le fichier call_history.db montrerait que chaque appel entrant est suivi de près par un appel sortant et que les deux appels se déroulent au même moment. Cette méthode étant particulièrement peu discrète, la probabilité d usage par un attaquant est relativement faible Applications Une fois les fichiers systèmes analysés, l étape suivante est l analyse des fichiers relatifs aux applications. La plupart des malwares sous ios prennent la forme d applications totalement légitimes en apparence. Dans ce cas il s avère que l application utilise simplement la fonctionnalité «App Events» [17] du SDK Facebook pour optimiser son système de publicité Préférences Chaque application utilise ses propres fichiers de préférences. Il est important de parcourir ces fichiers pour essayer d identifier les options activées pouvant indiquer la présence d un malware. Chaque application a recours à des fichiers de préférences différents, il faut donc prendre le temps de parcourir ceux-ci car ils seront toujours différents d une application à une autre. Figure 20 : fichier de préférences de l application RealFlashLight 8 La Lettre CERT-Solucom N 3 octobre 2014

9 Droits d accès Le fichier «TCC.db» fournit des informations sur les applications qui ont recours à des services ne leur étant pas propres. Il est donc possible de repérer certaines applications qui auraient des droits d accès trop intrusifs dans le smartphone d un utilisateur Données d utilisation Les dernières données à utiliser sont les données d utilisation. La présence d un malware sur un smartphone a souvent pour but d accéder à des informations confidentielles stockées sur ce dernier. Les données privilégiées vont être les messages, les mails, le répertoire des contacts, les calendriers, les photos, etc. Figure 21 : liste des clients requêtant les services d accès Il faut donc dans un premier temps analyser les différents fichiers de configuration régissant les comportement des différentes applications pour voir s il est possible de repérer des réglages qui pourraient être suspects ou modifiés. Ici, on peut voir que l application «RealFlashlight» a requêté l utilisation du service «ktccservicemicrophone», mais le système ne l a pas autorisé. Cela signifie que l application a demandé de pouvoir acquérir les droits sur le microphone, mais que l utilisateur lui a refusé. Ces différents fichiers sont présents dans le dossier «HomeDomain/ Library» : L historique des recherches effectuées sur Safari ainsi que les pages Caches Les caches des applications sont des éléments importants à analyser. Ils peuvent notamment contenir les requêtes HTTP initiées par l application (par défaut, la classe NSURLRequest met en cache chaque requête émise). Les caches sont stockés dans le dossier «RootDomain/Library/Caches». Figure 23 : extrait du dossier «HomeDomain/Library» Certificats signataires d application Pour chaque application, un fichier embedded.mobileprovision situé dans le package IPA est présent et est en mesure de fournir des informations sur l application telles que l ID de l application, la date de création, mais également un certificat identifiant le développeur de l application Services Daemons Chaque application utilise des fichiers qui lui sont propres pour pouvoir fonctionner correctement. Un bundle va assurer la gestion du code et des ressources associées aux processus qui peuvent être démarrés pour une application. Le fichier «lsdidentifiers.plist» va lister ces informations. Un investigateur peut analyser les différents IDs des bundles et déterminer ceux qui peuvent être suspects (ID étrange, correspondance des applications, etc.). visitées peuvent fournir à l investigateur des informations sur des potentiels sites malveillants qu un utilisateur aurait pu visualiser. Ces fichiers se trouvent dans la SandBox «AppDomain-com.apple. mobilesafari» : History.plist et SuspendState.plist : historique des pages affichées par l utilisateur. RecentSearches.plist : historique des recherches effectuées par l utilisateur par le biais de la barre de recherche Safari. De plus, chaque application utilise un fichier «cookies.binarycookies» Figure 24 : affichage du fichier «RecentSearches. plist» qui stocke les cookies utilisés. Il est très intéressant de les visualiser, notamment ceux générés par le navigateur Safari, puisqu on peut obtenir des informations sur les sites potentiellement malveillants visités par l utilisateur. Figure 22 : visualisation d une partie du fichier «lsdidentifiers.plist» Figure 25 : extrait du fichier «cookies.binarycookies» La Lettre CERT-Solucom N 3 octobre