iForensics - iBackdoor 2/2

Description

Lors d’un passage de douane, le douanier vous demande de lui remettre votre téléphone ainsi que son code de déverrouillage. Le téléphone vous est rendu quelques heures plus tard …

Suspicieux, vous envoyez votre téléphone pour analyse au CERT-FR de l’ANSSI. Les analystes du CERT-FR effectuent une collecte sur le téléphone, composée d’un sysdiagnose et d’un backup.

Maintenant que vous savez quelle application a été compromise, retrouvez comment est-ce que l’attaquant a récupéré l’application légitime, préalablement à l’infection.

Il vous faudra retrouver :

• L’identifiant de l’application utilisée pour récupérer l’application légitime;
• Le chemin utilisé pour stocker l’application légitime;
• La date de désinstallation de l’application légitime (en heure locale).

Le flag est au format FCSC{<identifiant application>|<chemin>|<date>}. Par exemple, si l’application utilisée est Example (com.example), que le chemin est /private/var/tmp/test.xyz et que la date de désinstallation est 2025-01-01 01:00:00 : FCSC{com.example|/private/var/tmp/test.xyz|2025-01-01 01:00:00}.

Cette épreuve fait partie d’une série. Les épreuves sont indépendantes sauf iBackdoor 2/2 qui dépend de iBackdoor 1/2 :

• iForensics - iCrash
• iForensics - iDevice
• iForensics - iWiFi
• iForensics - iTreasure
• iForensics - iNvisible
• iForensics - iBackdoor 1/2
• iForensics - iBackdoor 2/2
• iForensics - iC2
• iForensics - iCompromise