Сегодня мы наконец-то завершили разработку нового сервиса OpenGsm Pro-X iCloud для контроля iOS устройства через iCloud (сервис от Apple для хранения данных)! Используя сервис Pro-X iCloud, вам не нужно ничего устанавливать на ваш iPhone, iPad, iPod или Mac и не нужно делать джейлбрейк! Сервис работает напрямую с iCloud и имеет доступ к данным, которые могут храниться в iCloud.
Все, что вам нужно — это знать логин и пароль от учетной записи Айклауд , используемой на устройстве, и чтобы iCloud был активирован и настроено резервное копирование информации!
Что такое iCloud?
Вот краткий видеоролик, рассказывающий о том, что такое iCloud и как им пользоваться.
В чем преимущество сервиса?
Во-первых, если вы зайдете на icloud.com или через настройки на другом «яблочном» устройстве и введете данные учетной записи, то на email придет сообщение-оповещение о входе в систему. В случае с сервисом Pro-X iCloud оповещения не приходят, все взаимодействие идет напрямую через API.
Во-вторых, даже если вы знаете данные учетной записи Айклауда, то в web версии iCloud.com вы можете только просмотреть список контактов, фото, местоположение и заметки, а остальная информация вам будет недоступна. Если вы решите восстановить копию на другом iOS устройстве, то историю звонков и смс вы увидите, но вам не будет доступна переписка ватсапп, вайбер и скайп. В случае работы с сервисом Pro-X iCloud вы получите доступ ко всей информации!
Что вы сможете отслеживать, используя Pro-X iCloud?
В отличие от полноценной версии программы Pro-X, которая требует джейлбрейк, сервис Pro-X iCloud имеет несколько ограниченный список возможностей: текстовые сообщения, сообщения iMessage, история звонков, координаты GPS посещаемых мест, фотографии, контакты, история web серфинга Safari, email, некоторые мессенджеры и события календаря.
- Журнал звонков — список вызовов, включая номера, время и дату.
- Текстовые сообщения SMS и iMessage — все отправленные и полученные сообщения с текстами, временем и номерами телефонов.
- Переписка WhatsApp, Viber и Skype!
- Фотографии — все фотографии и изображения, которые есть в iCloud хранилище.
- Телефонная книга — список всех сохраненных контактов на устройстве.
- GPS местоположение — определение местонахождения устройства с заданным временным интервалом.
- Safari — история web посещений сайтов.
- Календарь — список всех событий и запланированных встреч.
- Email — email переписка, хранящаяся в iCloud хранилище.
Со временем мы будем расширять список возможностей сервиса и добавлять новые «фишки». Просмотр данных происходит все также через стандартную web панель. Рекомендуем ознакомиться с вопросами-ответами по сервису Pro-X iCloud и инструкцией по активации и настройке сервиса!
В чем проблема
Для того чтобы проникнуть в устройство, нужно обратиться к голосовому помощнику Siri и задать нужный вопрос. Siri осуществляет поиск по запросу в Twitter, контактах и фотографиях, после чего система предоставляет доступ к этим самым контактам и фотографиям. Если же на смартфоне установлена кодовая блокировка, голосовой помощник ее просто игнорирует.
Кроме того, благодаря функции 3D-Touch у ищущего есть возможность вызывать контекстное меню и, например, отправить сообщение контакту.
То же самое происходит с поиском по фотографиям.
Как защититься
В качестве возможного решения проблемы обнаруживший баг пользователь предложил отключить интеграцию Siri с Twitter и фотографиями. Это можно сделать, перейдя в основное меню настроек:
- Настройки > Twitter > Отключить Siri
- Настройки > Приватность > Фото > Отключить Siri
Проблема актуальна для пользователей iOS 9.3.1.
В последнее время практически каждый день появляется информация о проблемах безопасности актуальной версии iOS. При этом ранее американское Федеральное бюро расследований заявило, что нашло способ и вовсе полностью взломать iPhone.
mnxa_oxide
Про то как управлять чужим iPhone/iPad
Данный материал предназначен ТОЛЬКО для ознакомления, а так же с целью обезопасить свое оборудование.
Схема аутентификации APNS и IOS-устройства
Для начала давай разберемся, о какой это технологии для удаленного управления сразу всеми устройствами на базе iOS идет речь. Называется она Apple’s Push Notification Service (APNs), но дальше я часто буду называть ее просто Push. Технически это завернутый в SSL легкий (максимальный размер payload — 256 байт] бинарный протокол, предназначенный для передачи сигналов на устройство серверов Apple в режиме реального времени. Любое устройство на iOS в момент первого запуска выполняет процедуру активации — это необходимо, чтобы только что вытащенный из коробки свежий iPhone или iPad начал полноценно работать. В процессе активации происходит генерация пары ключей, публичная часть которой удостоверяется корневым сертификатом [СА] Apple и сохраняется на устройстве (кстати, это одна из причин, почему для активации нужен интернет). Далее iOS каждый раз, когда обнаруживает, что сервер Apple доступен, пытается установить SSL-соединение на 5223-м порту. При этом происходит двухсторонняя аутентификация: iOS аутентифицирует сервер, используя имеющиеся у нее СА, а сервер аутентифицирует клиента по сертификату, полученному при активации устройства.
6. На шлюзе поднимается утилита stunnel со следующим конфигом:
Получив это АСК-сообщение (0d 00 00 00 00), IOS начинает ждать команды
Вот так пользователь, в погоне за бесплатным интернетом устанавливает себе левый сертификат
ВНЕДРЕНИЕ СА В IOS
3. Далее весьинтересный SSL-трафик необходимо направить на специальный прокси-сервер. С этим идеальносправляетсяуста-новленная на шлюзеутилита redsocks (darkk.net.ru/redsocks) с вот таким конфигом:
Из него уже можно почерпнуть много интересной информации. Цель этого запроса — узнать команды, которые были адресованы устройству через систему удаленного управления. И тут мы подходим к самому интересному: а что можно послать? Базовый набор обнаруживает себя, если посылать запросы устройству через iCIoud. Например, если притвориться сервером, то можно послать команду, которую использует iCIoud для определения координат устройства:
Перехваченные пароль и логин для доступа к Арр Store
Через некоторое время (если оно нужно для установки координат) устройство отдаст весьма подробный ответ:
Кроме этого, в статье обозначен новый социальный вектор нападения на мобильные устройства — внедрение самозваного корневого сертификата, который неплохо бы изучить на всех популярных платформах. И в 1001-й раз было доказано: даже хорошая криптография в руках того, кто не знает, что это, подчас теряет всякий смысл. A Apple’y, несмотря на колоссальную и, в общем, хорошо проделанную работу над безопасностью, остается порекомендовать пересмотреть политику равноправия всех корневых сертификатов и как-то научиться доносить до своей аудитории, что не все корневые сертификаты одинаково полезны. Только вот реально ли это?
