DFRWS USA 2019 - 탈옥한 iOS 기기의 디지털포렌식

<DFRWS USA 2019> - 2일차

 

【 2019. 7. 15. 】

□ Presentations: Access & Accessibility

  ◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)

  ◦ 발표 2

     - 주제 : 탈옥*한 iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)

       * iOS의 탈옥(Jailbreaking)은 Android의 Rooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것

     - 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)

     - 발표내용

       △ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨

       △ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함

       △ Elcomsoft社는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함

         · iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
               Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone

         · iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
                       Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra

       △ 포렌식 도구 XRY 및 Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음

탈옥 前後 추출 방법	탈옥 前	탈옥 後
XRY	사진, 동영상 등 일부 파일들 추출됨	시스템 이미지, 문서, 항목별 로그, 통화기록, 이메일 기록 등 탈옥 前보다 많은 정보 추출됨
iTunes 백업	사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨	사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨

 

       △ iOS 탈옥은 ① 이전 탈옥버전과 충돌할 우려가 있고, ②이전 탈옥버전의 흔적을 덮어씌울 수 있고, ③‘FindMyiPhone’ 기능을 활성화시킬 수 있고, ④ OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, ⑤ 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음

       △ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함

         · /Applications/Cydia.app

         · /bin and /usr/bin

         · /var/stash & /var/lib/cydia

         · /var/mobile/Library/Preferences

         · /var/MobileDevice/Provisioning profiles

         · /usr/libexec/cydia/*

  - 시사점

     △ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음

     △ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능