HomePod取证：checkm8和数据提取

本文由小茆同学编译，Roe校对，转载请注明。

第一代HomePod是苹果公司开发的一款智能音箱，提供高质量的音频和一系列功能，包括Siri集成和智能家居控制。与其他电子设备一样，其存储有重要的信息，可能对取证调查有价值。本文我们将探讨如何使用适用于取证的checkm8提取，来访问存储在HomePod中的数据，包括钥匙串和文件系统镜像。我们还将阐述提取这些信息所需的工具和详细步骤，通过本篇文章你将对如何从第一代HomePod中提取数据以及这种提取方法的潜在限制有更好的了解。

HomePod提取：备忘录

(资料图片)

要从第一代HomePod中提取数据，请遵循以下步骤：

1. 启动iOS Forensic Toolkit 8.0 (Mac)

2. 用USB适配器将设备连接到电脑上（你需要一个定制的适配器来连接HomePod）

3. 将HomePod设为DFU模式（见下文）。

4. [可选]运行./EIFT_cmd info以确保HomePod进入DFU模式。

5. 运行./EIFT_cmd boot

6. 运行./EIFT_cmd unlockdata

7. 运行 ./EIFT_cmd ramdisk keychain -o {filename}来提取钥匙串。

8. 运行 ./EIFT_cmd ramdisk tar -o {filename}来提取文件系统镜像。

9. [可选]运行./EIFT_cmd ssh halt来关闭设备的电源。或者，直接拔掉插头。

注意：只要保持与USB连接并倒置，会导致其无法进入到正常的操作系统。

将HomePod设为DFU模式

将HomePod设为DFU模式，过程很简单。

1通过拉动电源线关闭扬声器的电源。

2把它倒过来（诊断端口朝上）。

3用适配器将其连接到电脑上。

4插上电源。

执行以上步骤后，HomePod进入DFU模式。

HomePod提取步骤解析

将HomePod连接到电脑后，将设备设为DFU模式。你可以通过运行以下可选的命令来验证设备是否处于DFU模式：

./EIFT_cmd info

一旦 "Mode:"显示[DFU]，通过运行以下命令，用iOS Forensic Toolkit应用该漏洞：

./EIFT_cmd boot

iOS Forensic Toolkit将检测到处于DFU模式的HomePod，并自动应用该漏洞。该工具包检测设备上安装的操作系统版本，并提供一个苹果固件镜像的下载链接。

如果有多个潜在的匹配，将显示多个下载链接。我们建议从列表中的最后一个链接开始。请注意，如果提供了一个错误的操作系统版本的链接，HomePod将无法启动。如果发生这种情况，请尝试不同的操作系统版本。

从链接中下载文件，并将其放到控制台窗口中，然后按ENTER键。或者，你也可以简单地粘贴固件下载链接。如果这样操作，该工具将只下载启动HomePod所需的部分固件镜像。

值得注意的是，苹果并没有为HomePod设备发布完整的IPSW镜像。我们的工具可以使用OTA更新镜像，以达到应用该漏洞的目的。

在许多情况下，操作系统版本将由EIFT在利用的第一阶段自动检测。该检测是基于检测到的iBoot版本和设备硬件。然而，在某些情况下，iBoot版本可能对应于几个操作系统build。如果使用了错误的build，将会有一个选择，要么用不同版本的固件重复这个过程，要么继续使用当前的固件镜像（这在许多情况下是可行的）。

./EIFT_cmd ramdisk unlockdata

该命令解锁了数据分区，并将其挂载为只读。由于HomePod没有密码，你将不需要提供密码。

./EIFT_cmd ramdisk keychain -o {filename}

该命令提取并解密钥匙串。如果没有指定路径，它将被保存到当前文件夹中。注意，与iPhone或iPad设备的内容相比，提取的钥匙链记录数量可能有限。由于HomePod不能有密码，HomePod设备不能访问iCloud中的任何端到端加密数据，这包括iCloud钥匙串。

./EIFT_cmd ramdisk tar -o {filename}

该命令对文件系统进行镜像。校验和（哈希值）是即时计算的，并在提取完成后显示。

在测试设备上，该命令转储了大约3.84GB的数据。

可以通过拔掉插头或先运行./EIFT_cmd ssh halt来关闭HomePod的电源。

结论

访问存储在第一代HomePod中的信息需要一套特定的工具和步骤，包括使用适用于取证的checkm8提取和一个定制的USB适配器。按照所述步骤并使用iOS Forensic Toolkit 8.0，可以从HomePod中提取钥匙串和文件系统镜像。然而，需要注意的是，与其他苹果设备相比，可以从HomePod中访问的数据量可能有限，而且HomePod不能访问iCloud中的任何端到端加密数据。尽管如此，这种提取方法在取证调查中还是很有用的，并揭示了可以从HomePod设备中获得的潜在数据。我们坚信，分析HomePod、Apple TV和Apple Watch等物联网设备对调查来说至关重要。

参考链接：

https://blog.elcomsoft.com/2023/03/homepod-forensics-ii-checkm8-and-data-extraction/