Phân tích pháp y và trích xuất dữ liệu từ Apple Watch

Mặc dù nhiều người có thể dễ dàng bỏ qua các thiết bị cũ, nhưng chúng tôi nhận thấy tầm quan trọng của chúng, vì chúng vẫn thường xuyên xuất hiện trong phòng thí nghiệm của các chuyên gia pháp y kỹ thuật số. Bản cập nhật mới nhất của iOS Forensic Toolkit đã mở rộng hỗ trợ trích xuất dữ liệu cho các mẫu Apple Watch đời cũ, giới thiệu khả năng trích xuất cấp thấp cho Apple Watch Series 0, Series 1 và Series 2. Cải tiến này cho phép người dùng macOS và Linux tiếp cận sâu hơn với các thiết bị này, trích xuất thông tin quan trọng như mật khẩu và toàn bộ hệ thống tệp.

Vai trò của thiết bị đeo trong pháp y di động

Các thiết bị đeo như Fitbit, Apple Watch và vô số mẫu đồng hồ thông minh, thiết bị theo dõi sức khỏe từ nhiều nhà sản xuất khác nhau đang trở thành yếu tố quan trọng trong các cuộc điều tra kỹ thuật số. Dữ liệu trích xuất từ các thiết bị này cung cấp thông tin quan trọng, hỗ trợ cả bên công tố lẫn bên bào chữa.

Những thiết bị này đã đóng vai trò then chốt trong nhiều vụ án, chẳng hạn như dữ liệu bước chân từ Fitbit không khớp với lời khai của bị cáo hoặc dữ liệu hoạt động từ Apple Watch giúp xác định dòng thời gian quan trọng trong các cuộc điều tra hình sự. Các công tố viên đã sử dụng dữ liệu sức khỏe và vị trí từ Apple Watch của nghi phạm để củng cố cáo buộc và bác bỏ bằng chứng ngoại phạm, cho thấy tầm quan trọng của chúng trong các thủ tục tố tụng.

Đối với các chuyên gia pháp y di động, việc hiểu rõ giá trị, tiềm năng cũng như những hạn chế kỹ thuật của dữ liệu này là rất quan trọng để cung cấp những phân tích chính xác, hỗ trợ hiệu quả trong điều tra và xét xử tại tòa án.

Thông tin có sẵn trên Apple Watch

Apple Watch là một thiết bị đeo thông minh được trang bị cơ chế bảo mật mạnh mẽ cùng với dung lượng lưu trữ lớn. Thiết bị này chạy trên watchOS, một hệ điều hành được phát triển từ iOS. Với khả năng xử lý mạnh, không có gì ngạc nhiên khi Apple Watch có thể lưu trữ một lượng lớn dữ liệu quan trọng.

Kỹ thuật trích xuất dữ liệu cấp thấp cho phép truy cập toàn bộ dữ liệu có trên Apple Watch. Dữ liệu trích xuất bao gồm:

• Ảnh hệ thống tệp (file system image)
• Bản sao Keychain, chứa mật khẩu của người dùng

Việc phân tích hệ thống tệp giúp tiếp cận nhiều loại dữ liệu quan trọng, bao gồm:

✅ Dữ liệu sức khỏe và hoạt động toàn diện
✅ Lịch sử vị trí chi tiết
✅ Keychain (chứa thông tin đăng nhập, mật khẩu, chứng chỉ mã hóa, v.v.)
✅ Sự kiện hệ thống: dữ liệu sử dụng mạng, hoạt động ứng dụng, mở khóa đồng hồ, truy cập danh bạ, kết nối Bluetooth…
✅ Tin nhắn: SMS và iMessage

✅ Danh bạ
✅ Ví Wallet: vé điện tử, thẻ lên máy bay, thẻ giảm giá, v.v.

Phương pháp trích xuất dữ liệu trên Apple Watch

Có hai phương pháp trích xuất dữ liệu dành cho thiết bị Apple Watch: trích xuất cấp thấp dựa trên lỗ hổng bootloader và trích xuất logic.

Phương pháp trích xuất cấp thấp ở cấp độ bootloader được thực hiện dựa trên lỗ hổng checkm8, có thể áp dụng cho bốn thế hệ đầu tiên của Apple Watch, bao gồm Apple Watch Series 0, Series 1, Series 2 và Series 3. Trích xuất bằng checkm8 cho phép lấy được toàn bộ ảnh hệ thống tệp và trích xuất bản sao Keychain. Không giống như các thiết bị IoT khác của Apple như HomePod hoặc Apple TV, Apple Watch có thể được bảo vệ bằng mật mã, đây là một trong những điều kiện cần để đồng bộ hóa Keychain từ iPhone đã ghép nối. Chi tiết hơn về phương pháp này có thể được tìm thấy trong tài liệu checkm8 Extraction của Apple Watch Series 3.

Trích xuất cấp thấp thông qua lỗ hổng bootloader chỉ có thể thực hiện trên các mẫu Apple Watch đời cũ, bao gồm Apple Watch S0, S1, S2 và S3. Đối với các mẫu mới hơn, phương pháp này không khả dụng và buộc phải sử dụng trích xuất logic. Do Apple Watch không có dịch vụ sao lưu riêng (các bản sao lưu của Apple Watch được tạo và lưu trữ trên iPhone đã ghép nối), nên phương pháp trích xuất logic chỉ có thể lấy được một lượng dữ liệu hạn chế, bao gồm nhật ký hệ thống, nhật ký chẩn đoán và một số tệp đa phương tiện.

Cả hai phương pháp trích xuất logic và trích xuất cấp thấp đều yêu cầu kết nối Apple Watch với máy tính, thường được thực hiện bằng bộ chuyển đổi chuyên dụng. Các mẫu Apple Watch từ Series 7 trở đi không còn được trang bị cổng chẩn đoán ẩn, điều này khiến việc kết nối với máy tính trở nên khó khăn, thậm chí gần như không thể đối với bất kỳ ai ngoài Apple. Điều này đồng nghĩa với việc trích xuất logic chỉ khả dụng cho Apple Watch Series 4, Series 5, Series 6 và Apple Watch SE (thế hệ 1).

Trong bảng phân loại, các mẫu Apple Watch hỗ trợ trích xuất cấp thấp bằng checkm8 sẽ được đánh dấu màu xanh lá, trong khi các mẫu chỉ hỗ trợ trích xuất logic sẽ được đánh dấu màu đỏ. Những mẫu không có trong danh sách (ví dụ: Apple Watch Series 7, Series 8, Ultra) thì không được hỗ trợ.

Trích xuất và phân tích dữ liệu Apple Watch

Khi làm việc với các thiết bị rất cũ, chẳng hạn như Apple Watch thế hệ đầu tiên (Series 0), cần phải có sự kiên nhẫn. Series 0 mất khoảng 5 phút để khởi động ramdisk và rất kén chọn về bộ chuyển đổi và cáp kết nối. Cần có một kết nối ổn định để có thể áp dụng khai thác thành công. Ngay cả việc đưa thiết bị vào chế độ DFU cũng có thể cần nhiều lần thử và mỗi lần đều mất rất nhiều thời gian. Chúng tôi khuyến nghị nên thử vào Recovery Mode trước, sau đó mới vào DFU Mode.

Cách đưa Apple Watch vào chế độ DFU:

•  Chạy EIFT ở chế độ chờ (-w).
• Kết nối Apple Watch với PC bằng bộ chuyển đổi chuyên dụng (không cần ghép đôi với iPhone).
• Nhấn giữ cả hai nút trên Apple Watch.
• Khi màn hình tắt, tiếp tục giữ trong 2 giây
• Giữ Digital Crown, đồng thời thả nút còn lại.
• EIFT sẽ tự động phát hiện thiết bị trong chế độ DFU.

Xem thêm: Các bài viết khác về Điều tra pháp y kỹ thuật số