Cracking ese túnel es un ejercicio no trivial. La respuesta corta es que el almacén de claves se encuentra en el archivo /private/var/keybags/systembag.kb
y se recupera con el servicio del núcleo llamado AppleEffaceableStorage
debajo de la etiqueta del casillero \BAG1
. Esta es la arquitectura:
Las propias claves se encriptan y se suman mediante el uso de AES y HMAC. Sería un gran proyecto para usted descifrar la secuencia. Sería mucho mejor encontrar el búfer de memoria donde el proceso del kernel almacena el flujo descifrado y solo monitorear el búfer. Creo que el proceso crítico se llama keybagd
(demonio keybag). También hay una extensión del kernel llamada AppleKeyStore
que tiene un subcomponente llamado MobileKeyBag
. Uno o todos esos procesos poseerán un búfer que contendrá el tráfico de texto sin cifrar.