[手机取证] Apple Watch取证初探

转载文章请注明出处

1. 关于Apple Watch

苹果公司在2015年3月正式发布了智能手表Apple Watch，包括Apple Watch、Apple Watch Sport以及Apple Watch Edition三种版本。

 

图 1 Apple Watch的三个版本

 

Apple Watch采用Apple S1处理器，内置512MB RAM和8GB Flash存储，经过Wi-Fi和蓝牙与iPhone进行同步，与其同步的iPhone必须使用iOS 8.2及以上版本。

 

2. Apple Watch取证思路

目前，Apple Watch使用Watch OS 1.0系统，手表中全部App均来源于与之配对的iPhone手机，开发者可将本身的App进行Apple Watch适配并发布在App Store，在iOS安装后，可在iPhone手机上的Apple Watch应用中选择推送安装至Apple Watch，这是目前Apple Watch惟一的应用安装方式；Apple Watch系统的升级和还原也仅能经过配对的iPhone手机进行，如今市面发售的Apple Watch仅有的一个物理接口是未公开的调试接口，没法进行利用。

 

另外一方面，Apple Watch应用程序的数据多数来源于iPhone手机上对应的程序，且这些程序的通讯和数据存储都依赖于配对的iPhone手机（iMessage例外，Apple Watch上的iMessage服务可脱离iPhone独立链接Wi-Fi进行通讯），Apple Watch内部存储主要用于保存手机同步的数据。

 

结合上述特色，咱们能够初步肯定对Apple Watch的取证思路：与多数智能可穿戴设备取证相似，对Apple Watch的取证工做实际上仍是要基于对应的iPhone手机，而目前iPhone手机的取证依赖于iTunes备份进行，故这次研究也将主要利用iPhone的备份进行分析。

 

3. 取证方式

a)       将Apple Watch与iPhone手机进行配对，并安装支持的应用程序，本次测试选取的是Apple Watch 标准版42mm，使用运行iOS 8.3的iPhone 6进行配对。

b)       使用iTunes为配对的iPhone进行备份，将备份文件导出。

c)       使用取证软件对备份文件进行解析。须要注意的是，若是备份进行了加密，还应先进行解密操做。

 

4. 结论

Apple Watch的基本信息：

• Apple Watch信息：全部人，版本，区域和语言信息：

 

图 2 Apple Watch的基本信息

 

• 配对时间：使用NSDate存储，转换后需按照时区增长8小时，即2015年6月30日16:20:12。

 

 

图 3 Apple Watch与iPhone的配对时间

• Apple Watch的配对手机的版本，此处8.2.1指iOS 8.3.

 

图 4 Apple Watch配对iPhone的版本信息

 

• Apple Watch数据在iPhone备份中的存储位置

 

图 5 Apple Watch备份数据的存储位置

 

• Apple Watch序列号、UDID、Wi-Fi适配器MAC地址、蓝牙MAC地址及存储容量信息

图 6 Apple Watch序列号等信息

 

Apple Watch所同步的手机数据

• 通信录和我的收藏联系人

Apple Watch数据文件夹中映射手机AddressBook数据库中的guid字段，但并不直接存储通信录信息；Apple Watch按下按钮调出的我的收藏联系人也被同步到了手表之中

 

图 7 Apple Watch中存储的联系人对应guid

 

图 8 Apple Watch中的“我的收藏”联系人

 

• iPhone中全部App列表

 

图 9 Apple Watch所配对iPhone的应用程序列表

 

• Apple Watch中已安装的App列表

 

图 10 Apple Watch已安装应用程序列表

 

•  Apple Watch中同步的Passbook信息

 

图 11 Apple Watch上的Passbook信息，图像等数据采用BLOB存储

 

• Apple Watch中同步的邮件帐户和邮件id

 

图 12 邮件帐户及对应ID

 

 

图 13 Apple Watch上所保存的邮件ID

 

Apple Watch App数据

目前市面上使用WatchKit开发的程序，在Apple Watch上安装后，配对的iPhone手机中均会生成独立的文件夹，并单独保存数据，除非程序额外定义存储位置。

以微信为例，使用Apple Watch的用户在收到微信消息后，iPhone端保存数据并推送给Apple Watch，在Apple Watch对应的数据文件夹下也会保存全部Apple Watch上使用过的表情、语音信息和文本聊天记录，乃至所发送的位置信息。

 

图 14 Apple Watch版微信好友列表

 

 

 

图 15 Apple Watch版微信聊天记录

5. 后续研究

1. 因为Apple Watch上的iMessage可脱离所配对的iPhone手机使用，说明iPhone中已认证的Wi-Fi网络鉴权信息也存储在Apple Watch上，猜想甚至部分keychain信息也被同步到Apple Watch，在有条件的状况下，能够经过Apple Watch提取Wi-Fi鉴权信息。
2. Apple Watch上的“信息”应用与iPhone手机上的“信息”进行同步，但就目前的研究来看并不是实时同步，iPhone手机删除的部分信息仍存在于Apple Watch中，同时，存储在服务器的iMessage信息即便在iPhone删除后仍然保留在Apple Watch上或由苹果服务器推送至Apple Watch；如能实现针对Apple Watch的完整提取将能够找到较多手机中已被删除的有价值数据。
3. 部分Apple Watch上安装的第三方App所保存的数据，在iPhone端删除后并不会在Apple Watch上同步删除，能够做为iPhone App数据删除恢复的来源。

（完）