Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Safari history in the cloud: you can't delete, you can check it out

Демитрий

Private Zugriffsebene
Mitglied seit
12.12.2017
Beiträge
422
Punkte für Reaktionen
451
Punkte
193
Ort
г.Ейск, ул.Коммунистическая, 12/1, офис 308
Safari story in the “cloud”: cannot be deleted, extracted - possible.

Browser history actually displays your life. Search on Google, page views, reading blogs, chatting in forums and social networks, web mail ... Perhaps this is almost the most intimate information in the field of privacy. Few would want his story to be publicly available. In recent years, even the current has begun to gain strength, the followers of which joke - "when I die, first delete my browser history."

delete_bracelet.jpg


As often happens, there is only a fraction of the joke in this joke. The problem is that, as it turned out, deleting the story, as they say, “meet” is very difficult, if at all possible. Delete Safari story? Recent entries no longer callous? But it’s not at all a fact that the story really went away. On the contrary, the data is neatly stored in the “cloud”, and your act of “deleting” the story just hides the records. But everything that is not completely destroyed can be extracted. This happened with the history of the browser.

In recent years, Apple has been actively developing "cloud" services based on iCloud. “Cloud” backups, “cloud” photos, Continuity mode, synchronization of call history, contacts and many other data between devices tied to a user account are just some of the things that are done through iCloud.

Through the "cloud" is synchronized and the history of user visits in the Safari browser. Information about sites and pages that a user has opened is automatically transferred to Apple servers, from which it gets to other user devices that are tied to the same account.

The history of visits to the Safari browser can be deleted as a whole, or as separate entries. Deleted records regularly disappear from synchronized devices. If you try to reset the device and then restore it from the "cloud" - it will only contain those records that have not been deleted (and from the current ones - only in the last 30 days).

Researchers from the Elcomsoft lab managed to find out that the Safari browser history records “deleted” by the user are not actually deleted from the “cloud” and remain in iCloud for a long time. Based on this data, we have updated the Elcomsoft Phone Breaker product to version 6.40. Now, using Elcomsoft Phone Breaker, you can extract not only the records of the history of visits to Safari that are visible to the user on devices or in the iCloud “cloud”, but also the records that the user deleted. We were able to recover records that were deleted more than a year ago. The deleted records themselves are retrieved, as well as information about the date and time of the last visit to the link, as well as the date and time of its removal.

Practical value
The practical sense of extracting synchronized data from the point of view of forensic experts is the prompt receipt of user information. Unlike cloud-based backups, which are updated daily, synchronized data falls into the cloud with minimal delay - almost in real time.

Investigating deleted Safari browser history records may help in investigating evidence collection.

Third Party Tools and Products
Third-party tools for extracting synchronized Safari data from the cloud exist, but their capabilities are very limited. Some products are represented by devices running iOS, and receive only valid entries from the cloud. Other products work through a web interface and also receive a very limited amount of information.

At the moment, Elcomsoft Phone Breaker 6.40 is the only product that can retrieve the full history of user visits from iCloud, including deleted recordings. Very old records deleted more than a year ago can be retrieved.

How to extract Safari browser history from iCloud "cloud"
Information from the “cloud” is extracted through a real-time data synchronization mechanism. Access to iCloud will require authentication (Apple ID and password or authentication token extracted from the user's computer). When using an authentication token, there is no need to use a password; in addition, additional protection by the two-factor authentication mechanism is bypassed (as a result of which the user does not receive a warning that his account has been accessed from a new device).

Use Elcomsoft Phone Breaker 6.40 to retrieve deleted Safari history, and Elcomsoft Phone Viewer 2.25 (or newer versions) to view it.

  • Launch Elcomsoft Phone Breaker 6.40 or later
  • Click “Download Synced Data from iCloud” and make sure that the Safari data is checked:
epb_synced-300x186.png


  • Log in to your user account using your Apple ID login and password or using a binary authentication token (you can extract it from the user's computer using Elcomsoft Phone Breaker)
  • Wait for data to download from the cloud.
To view the remote history of Safari data, use Elcomsoft Phone Viewer 3.25 or newer:

  • Launch Elcomsoft Phone Viewer
  • Open the downloaded data and click "Web"
epv1-300x249.png


  • The history of sites visited by the user will be shown.
epv2-300x249.png


  • Using the filter (funnel icon in the upper left of the program) select the mode for viewing the full browser history, only current or only deleted entries.
Attention : Web links are retrieved as well as information about the date and time of the last visit to the link, as well as the date and time the record was deleted from the browser history. For the most complete study of the entire history of user visits, use the viewing of the entire data set.

Where to get the password
Retrieving synchronized data and cloud backups from iCloud requires authorization in the user account. Authorization can be done using a username and password, or through a binary authentication token. Token authorization has several advantages:

  • Two-factor authentication is bypassed
  • The user does not receive a warning about logging into his account
You can retrieve the authentication token from the user's computer if the iCloud Control Panel application was installed on it and the user turned on synchronization with the iCloud cloud. The marker can be retrieved using the tools built into Elcomsoft Phone Breaker.
*****
Source:
Safari story in the “cloud”: can’t be deleted, can be removed - can be
 
Original message
История Safari в «облаке»: удалить нельзя, извлечь — можно.

История браузера фактически отображает вашу жизнь. Поиск в Google, просмотры страниц, чтение блогов, общение в форумах и социальных сетях, веб-почта… Возможно, это чуть ли не самая интимная информация в сфере приватности. Мало кто хотел бы, чтобы его история оказалась в публичном доступе. В последние годы даже стало набирать силу течение, последователи которого шутят — «когда я умру, первым делом удалите мою историю браузера».

delete_bracelet.jpg


Как часто бывает, в этой шутке лишь доля шутки. Проблема в том, что, как выяснилось, удалить историю, что называется, «с концами» оказывается очень тяжело, если вообще возможно. Удалили историю Safari? Последние записи больше не мозолят глаза? Но вовсе не факт, что история действительно удалилась. Напротив, данные аккуратно сохраняются в «облаке», а ваш акт «удаления» истории всего лишь скрывает записи. Но всё, что не уничтожено окончательно, может быть извлечено. Так случилось и с историей браузера.

В последние годы Apple активно развивает «облачные» сервисы на основе iCloud. «Облачные» резервные копии, «облачные» фотографии, режим Continuity, синхронизация истории звонков, контактов и множества других данных между устройствами, привязанными к учётной записи пользователя – лишь некоторые вещи, которые делаются через iCloud.

Через «облако» синхронизируется и история посещений пользователя в браузере Safari. Информация о сайтах и страницах, которые открывал пользователь, автоматически передаётся на серверы Apple, с которых она попадает на другие устройства пользователя, привязанные к той же учётной записи.

Историю посещений браузера Safari можно удалить как целиком, так и в виде отдельных записей. Удалённые записи исправно исчезают и с синхронизированных устройств. Если попробовать сбросить устройство, а потом восстановить его из «облака» – на нём окажутся только те записи, которые не были удалены (а из актуальных – только за последние 30 дней).

Исследователям из лаборатории «Элкомсофт» удалось выяснить, что «удалённые» пользователем записи истории браузера Safari на самом деле не удаляются из «облака», и остаются в iCloud в течение длительного времени. На основе этих данных мы обновили продукт Elcomsoft Phone Breaker до версии 6.40. Теперь с помощью Elcomsoft Phone Breaker можно извлечь не только те записи истории посещений Safari, которые видны пользователю на устройствах или в «облаке» iCloud, но и записи, которые пользователь удалил. Нам удалось восстановить записи, которые были удалены более года назад. Извлекаются как сами удалённые записи, так и информация о дате и времени последнего посещения ссылки, а также дате и времени её удаления.

Практическое значение
Практический смысл извлечения синхронизированных данных с точки зрения экспертов-криминалистов в оперативном получении информации о пользователе. В отличие от «облачных» резервных копий, которые обновляются ежесуточно, синхронизированные данные попадают в «облако» с минимальной задержкой – практически в режиме реального времени.

Исследование удалённых записей истории браузера Safari может помочь в расследовании при сборе доказательной базы.

Сторонние инструменты и продукты
Сторонние инструменты для извлечения синхронизированных данных Safari из «облака» существуют, однако их возможности сильно ограничены. Некоторые продукты представляются устройствами под управлением iOS, и получают из «облака» только действительные записи. Другие продукты работают через веб-интерфейс и также получают очень ограниченное количество информации.

В настоящий момент Elcomsoft Phone Breaker 6.40 – единственный продукт, способный извлечь полную историю посещений пользователя из iCloud, включая удалённые записи. Могут быть извлечены и очень старые записи, удалённые более года назад.

Как извлечь историю браузера Safari из «облака» iCloud
Информация из «облака» извлекается через механизм синхронизации данных, работающий в режиме реального времени. Для доступа к iCloud потребуется аутентификация (Apple ID и пароль либо маркер аутентификации, извлечённый из компьютера пользователя). При использовании маркера аутентификации в использовании пароля нет необходимости; кроме того, обходится и дополнительная защита механизмом двухфакторной аутентификации (в результате чего пользователю не поступает предупреждение о том, что к его учётной записи получен доступ с нового устройства).

Для извлечения удалённой истории Safari воспользуйтесь Elcomsoft Phone Breaker 6.40, а для её просмотра — Elcomsoft Phone Viewer 2.25 (или более новыми версиями).

  • Запустите Elcomsoft Phone Breaker 6.40 или более новую версию
  • Нажмите “Download Synced Data from iCloud” и убедитесь, что данные «Safari» отмечены:
epb_synced-300x186.png


  • Авторизуйтесь в учётной записи пользователя с помощью логина и пароля Apple ID либо с помощью двоичного маркера аутентификации (его можно извлечь с компьютера пользователя с помощью Elcomsoft Phone Breaker)
  • Подождите, пока данные скачаются из «облака»
Для просмотра удалённой истории Safari данных воспользуйтесь Elcomsoft Phone Viewer 3.25 или более новой:

  • Запустите Elcomsoft Phone Viewer
  • Откройте скачанные данные и нажмите «Web»
epv1-300x249.png


  • Будет показана история сайтов, которые посетил пользователь
epv2-300x249.png


  • С помощью фильтра (значок воронки в левой верхней части программы) выберите режим просмотра полной истории браузера, только актуальных или только удалённых записей.
Внимание: Извлекаются как ссылки на веб-узлы, так и информация о дате и времени последнего посещения ссылки, а также дате и времени удаления записи из истории браузера. Для максимально полного исследования всей истории посещений пользователя используйте просмотр всего набора данных.

Где взять пароль
Для извлечения синхронизированных данных и «облачных» резервных копий из iCloud требуется авторизация в учётной записи пользователя. Авторизацию можно осуществить как с помощью логина и пароля, так и посредством двоичного маркера аутентификации. Авторизация с помощью маркера имеет некоторые преимущества:

  • Обходится защита с помощью двухфакторной аутентификации
  • Пользователь не получает предупреждения о входе в его учётную запись
Извлечь маркер аутентификации можно с компьютера пользователя, если на нём было установлено приложение iCloud Control Panel и пользователь включил синхронизацию с «облаком» iCloud. Маркер можно извлечь с помощью инструментария, встроенного в Elcomsoft Phone Breaker.
*****
Источник:
История Safari в «облаке»: удалить нельзя, извлечь - можно