據俄羅斯數字取證公司Elcomsoft表示，蘋果數年來在iCloud中存儲用戶已刪除的Safari瀏覽歷史，大大敞開監(jiān)控之門。 Elcomsof的專家試圖提取iCloud賬戶記錄時發(fā)現該問題，他們能從iCloud賬戶中恢復已刪除的Safari瀏覽歷史。研究人員發(fā)現，即使瀏覽歷史已被刪除，他們仍能提取用戶訪問網頁的日期和時間，以及記錄刪除的時間。

特定iCloud賬戶可以使用蘋果設備同步Safari歷史。當用戶在某臺蘋果設備上刪除記錄，在設備連接到互聯(lián)網之時，所有其他蘋果設備上的瀏覽記錄會在幾秒內消失。

用戶可以設置在iCloud中存儲瀏覽歷史，這樣一來，用戶就可以在其所有蘋果聯(lián)網設備上查看瀏覽歷史。研究人員發(fā)現，即使用戶刪除瀏覽歷史，iCloud實際上并未真正刪除，而是以用戶不可見的形式繼續(xù)存儲已刪除的歷史。

Elcomsoft的首席執(zhí)行官Vladimir Katalov發(fā)表博文表示，“刪除的記錄將在iCloud中保存更久。事實上，我們能訪問超過一年的記錄。用戶看不到這些記錄，因此不知道這些記錄仍然存儲在蘋果的服務器上。”

專家使用Elcomsoft Phone Breaker取證工具從iCloud賬戶提取文件。

運作方式

為了提取iCloud的Safari歷史，專家有必要驗證用戶的蘋果賬戶。專家可以利用登錄憑證或從用戶計算機提取的驗證令牌執(zhí)行這項操作。驗證令牌由Windows和Mac電腦(與iCloud同步)上的iCloud 控制面板自動創(chuàng)建。

專家可以使用Elcomsoft Phone Breaker提取iCloud驗證令牌。

博文中寫道，“如果用戶啟用了雙因素驗證，令牌登錄可以繞過密碼和輔助身份驗證提示。因此，用戶不會收到iCloud訪問警告。”

iCloud提取Safari瀏覽歷史的步驟如下：

· 啟動Elcomsoft Phone Breaker 6.40或更高版本。

· 點擊“下載iCloud同步的數據”。

· 驗證蘋果ID/密碼或二進制驗證令牌。

· 指定要下載的任何文件。確保選中“Safari”。Katalov指出，同步數據的取證用途不能低估。iCloud同步與云備份(最多每日創(chuàng)建)不同，iCloud同步幾乎是實時的。這樣一來，iCloud同步能實時追蹤嫌疑人的活動，這對監(jiān)控和調查而言非常寶貴。因為用戶不可能刪除iCloud的瀏覽歷史，因此，發(fā)現非法活動變得更加容易。即使嫌疑人刪除了瀏覽歷史或清除了iPhone上的記錄，專家仍能恢復訪問極端主義和其它非法網站的記錄。

Katalov表示，保存用戶的瀏覽歷史對監(jiān)控和調查而言非常寶貴。但目前尚不清楚，蘋果是否知道其iCloud服務正在存儲已刪除的記錄。

蘋果并未立即給予答復。但Elcomsoft的專家注意到，問題披露后，蘋果開始從iCloud上清除較舊的瀏覽歷史。

Elcomsoft公司表示，“我們已經提前通知媒體該問題的存在，媒體相關人員也聯(lián)系了蘋果，據我們所知，蘋果未給予答復，但開始清除較舊的歷史記錄。據我們了解，他們可能只是將這些記錄移到其它服務器，使得外部無法訪問已刪除的記錄，但確切情況如何，我們不得而知。無論如何，就目前而言，我們可以看到大多數iCloud賬戶過去兩個星期的記錄(過去兩個星期刪除的記錄依然存在)。目前只能提取兩個星期的已刪除記錄。”

Elcomsoft建議用戶禁用iCloud同步Safari瀏覽歷史的功能。