Elcomsoft Phone Breaker取证工具

据俄罗斯数字取证公司Elcomsof发现，苹果iCloud多年来保存了用户删除的Safari浏览历史记录。Elcomsof的专家在尝试从iCloud帐户中提取记录时发现了问题，他们能够从帐户中检索所谓的已删除的Safari浏览器历史记录。研究人员能够提取信息，例如网站的访问日期和时间以及记录被删除的时间。在特定iCloud帐户使用的设备上同步Safari历史记录。当用户删除一个设备上的记录时，当设备连接到Internet时，该设备将在几秒钟内在所有其他设备上消失。

用户可以设置iCloud来存储他们的浏览历史，通过这种方式，它将可从所有用户的连接设备。研究人员发现，即使用户删除了历史记录，iCloud实际上并不擦除它，但保持了用户不可见的格式，它们仍然存在于Apple服务器上。

专家使用Elcomsoft Phone Breaker取证工具从iCloud帐户提取文件，为了从iCloud提取Safari历史记录，有必要认证到用户的Apple ID。可以使用登录凭证或通过使用从用户的计算机提取的认证口令来进行该操作。在与iCloud同步的Windows和Mac计算机上，iCloud Control Panel自动创建身份验证口令。

通过使用口令登录，如果在用户的帐户上启用双因素身份验证，将绕过密码和辅助身份验证提示。因此，iCloud访问警报将不会传递给用户。

以下使用Elcomsoft Phone Breaker从iCloud提取Safari浏览历史记录的过程：

1、启动Elcomsoft Phone Breaker 6.40或更高版本；

2、点击“从iCloud下载同步数据”；

3、使用Apple ID /密码或二进制身份验证口令进行身份验证；

4、指定要下载的所有内容。确保选中“Safari”。

Elcomsoft建议禁用从iCloud同步Safari浏览历史记录。