据IntaForensics数字取证分析师StaceyJury表示,苹果公司除了弱化iTunes备份的密码系统外,还弱化了Safari的无痕浏览(PrivateBrowsing)模式。
该问题和Safari如何存储关于无痕浏览会话的数据有关,特别是关于“暂停状态”的网址。
这些网址已被用户标记关闭,但浏览器仍会保留以方便用户在公有或者私有的浏览对话中来回访问。
Safari在数据库文件中保存无痕浏览链接
在之前的iOS版本中,Safari将无痕浏览“暂停状态”的网址列表存储在一个名为Plist的文件中。一旦用户关闭了无痕浏览会话,iOS将从Plist文件中清除这些链接。
但iOS10不同,Safari开始使用数据库存储这些信息。
专家表示,尽管苹果公司尽职尽责地从数据库中移除了“暂停状态”的网址,但不会用随机数复写数据库条目。
取证工具可以从以前的无痕浏览会话中恢复出链接
攻击者可以使用取证工具或者数据库恢复工具重新获取已删除的数据库内容。但如果Safari继续使用Plist文件,在技术上是不可能的恢复出数据的。
“XRY(数据恢复软件)能够恢复这些被关闭的网页,”Jury表示,“所以不管你是否以隐私模式浏览网页,只要使用最新的取证工具,Safari的网页历史都可以被恢复。”
iOS10自发布以来受到大量抱怨,除了性能差外,iOS 10似乎在安全和隐私方面也备受诟病。
此前安全研究人员曾发现iOS iTunes备份系统使用另一种密码系统,2500次就可轻松破解。另外iMessage应用程序中添加的链接预览功能会暴露用户的个人信息。
长按二维码,关注“代码卫士”
您的专属代码体检专家