据俄罗斯数字取证公司Elcomsoft表示，苹果数年来在iCloud中存储用户已删除的Safari浏览历史，大大敞开监控之门。 Elcomsof的专家试图提取iCloud账户记录时发现该问题，他们能从iCloud账户中恢复已删除的Safari浏览历史。研究人员发现，即使浏览历史已被删除，他们仍能提取用户访问网页的日期和时间，以及记录删除的时间。

特定iCloud账户可以使用苹果设备同步Safari历史。当用户在某台苹果设备上删除记录，在设备连接到互联网之时，所有其他苹果设备上的浏览记录会在几秒内消失。

用户可以设置在iCloud中存储浏览历史，这样一来，用户就可以在其所有苹果联网设备上查看浏览历史。研究人员发现，即使用户删除浏览历史，iCloud实际上并未真正删除，而是以用户不可见的形式继续存储已删除的历史。

Elcomsoft的首席执行官Vladimir Katalov发表博文表示，“删除的记录将在iCloud中保存更久。事实上，我们能访问超过一年的记录。用户看不到这些记录，因此不知道这些记录仍然存储在苹果的服务器上。”

专家使用Elcomsoft Phone Breaker取证工具从iCloud账户提取文件。

运作方式

为了提取iCloud的Safari历史，专家有必要验证用户的苹果账户。专家可以利用登录凭证或从用户计算机提取的验证令牌执行这项操作。验证令牌由Windows和Mac电脑(与iCloud同步)上的iCloud 控制面板自动创建。

专家可以使用Elcomsoft Phone Breaker提取iCloud验证令牌。

博文中写道，“如果用户启用了双因素验证，令牌登录可以绕过密码和辅助身份验证提示。因此，用户不会收到iCloud访问警告。”

iCloud提取Safari浏览历史的步骤如下：

· 启动Elcomsoft Phone Breaker 6.40或更高版本。

· 点击“下载iCloud同步的数据”。

· 验证苹果ID/密码或二进制验证令牌。

· 指定要下载的任何文件。确保选中“Safari”。Katalov指出，同步数据的取证用途不能低估。iCloud同步与云备份(最多每日创建)不同，iCloud同步几乎是实时的。这样一来，iCloud同步能实时追踪嫌疑人的活动，这对监控和调查而言非常宝贵。因为用户不可能删除iCloud的浏览历史，因此，发现非法活动变得更加容易。即使嫌疑人删除了浏览历史或清除了iPhone上的记录，专家仍能恢复访问极端主义和其它非法网站的记录。

Katalov表示，保存用户的浏览历史对监控和调查而言非常宝贵。但目前尚不清楚，苹果是否知道其iCloud服务正在存储已删除的记录。

苹果并未立即给予答复。但Elcomsoft的专家注意到，问题披露后，苹果开始从iCloud上清除较旧的浏览历史。

Elcomsoft公司表示，“我们已经提前通知媒体该问题的存在，媒体相关人员也联系了苹果，据我们所知，苹果未给予答复，但开始清除较旧的历史记录。据我们了解，他们可能只是将这些记录移到其它服务器，使得外部无法访问已删除的记录，但确切情况如何，我们不得而知。无论如何，就目前而言，我们可以看到大多数iCloud账户过去两个星期的记录(过去两个星期删除的记录依然存在)。目前只能提取两个星期的已删除记录。”

Elcomsoft建议用户禁用iCloud同步Safari浏览历史的功能。