La empresa forense BlackBag, una empresa de Cellebrite, descubrió recientemente que las notas de Apple bloqueadas se almacenan temporalmente en un estado inseguro.
“Seguro”
La investigadora principal Sarah Edwards descubrió que las notas de Apple bloqueadas con una contraseña son “parcial y temporalmente inseguras”. Usó macOS 10.15.3 e iOS 13.3, las últimas versiones de software. La base de datos de Apple Notes se almacena en ~ / Library / Group Containers / group.com.apple.notes / en macOS 10.15 y / private / var / mobile / Containers / Shared / AppGroup /
En un ejemplo, la Sra. Edwards creó una nota bloqueada de prueba. Usando la herramienta forense de la compañía llamada BlackLight, pudo ver el título de una nota parcial y la primera línea de una nota protegida con contraseña.
En este caso, el contenido se borró de cualquier cosa sensible y se movió al contenido ZDATA de la nota segura que está encriptada… Sin embargo, la columna ZSNIPPET muestra el contenido parcialmente no encriptado de esta nota. Aquí es donde se podría extraer información potencialmente sensible de la nota. Si bien no puedo ver el contenido completo de la nota segura, puedo ver el fragmento o la primera línea de la nota.
En otra prueba, adjuntó una foto y una ubicación de Apple Maps. Pudo ver los datos de ubicación incrustados, una sugerencia del contenido de la foto gracias al aprendizaje automático de Apple y otros metadatos.
Parece que los datos se borran en determinadas circunstancias: salir de la aplicación Notes en macOS, cerrar la ventana de Notes en macOS y navegar a la pantalla de inicio en iOS (cambiar a una aplicación diferente no necesariamente elimina las entradas). Sin embargo, a pesar de que esas entradas de datos se “borraron”, todavía quedaba parte de la información para mostrarse en BlackLight.
Otras lecturas
[Police Chased Criminals Using ‘Find My’ App]
[Cellebrite’s Acquisition Adds Computer Forensics to its Portfolio]
